Quelques bonnes pratiques pour sécuriser un minimum votre site WordPress
WordPress est le CMS (Content Management System : gestionnaire de contenus) le plus utilisé et représente en 2015, 25 % des sites web. Ce qui fait des sites utilisant WordPress des cibles potentielles au piratage. Cet article a pour but de vous aider à sécuriser un minimum votre site pour éviter cet inconvénient.
Il y a plusieurs choses à faire pour sécuriser votre site, certaines nécessitent l’installation de plugins, d’autres, modifier les fichiers sur le serveur ou dans la base de données. Nous allons voir ça ensemble dans plusieurs points.
Modifier le préfixe de vos tables
La première chose à faire lors de l’installation de votre site est de changer le préfixe de vos tables. En effet, quelqu’un de malveillant connaissant un minimum le CMS sait que le préfixe par défaut est wp_.
Générez une clef aléatoirement vous permettra de sécuriser les attaques sur la base.Pour ceux qui ont un site déjà installé, je vous conseille de passer par l’interface PhpMyAdmin qui vous permettra de manipuler les bases plus facilement.
Dans PhpMyAdmin, allez dans Base de données, sur la page suivante sélectionnez la base qui vous intéresse.
Cochez toutes les tables de votre base WordPress et en bas de page dans la liste déroulante, sélectionnez Remplacer le préfixe de table.
Ensuite renseignez wp_ dans le premier champ puis le nouveau préfixe dans le second et validez. C’est presque fini, il faut maintenant actualiser une table qui conserve encore les anciens préfixes.
Sur la table usermeta, lancez la requête suivante pour remplacer le préfixe :
UPDATE `votre_préfixe_usermeta` SET `meta_key` = REPLACE (meta_key,’wp_’,’votre_préfixe_’) WHERE `meta_key` LIKE ‘%wp_%’;
Dernière étape, modifier votre fichier wp-config.php et éditez la ligne suivante : $table_prefix = ‘votre_préfixe_’;
Ne jamais utiliser l’identifiant admin
C’est un identifiant à éviter car c’est le premier que les pirates tenteront d’attaquer. De plus choisissez un mot de passe compliqué avec des caractères spéciaux, des minuscules ainsi que des majuscules et des chiffres.
Cela peut être une contrainte à vos yeux mais plus le mot de passe est compliqué et plus il sera difficile au pirate de trouver vos identifiants.
Créer un compte pour publier vos articles
Une chose que vous devriez faire, c’est d’utiliser un compte uniquement pour l’administration et un autre pour uniquement pour poster vos articles pour ne pas donner d’indices.
TOUJOURS mettre votre site et les plugins à jour
Les mises à jour permettent de corriger les failles de sécurité et de diminuer les risques de piratage.
Faire des sauvegardes régulières de votre base de données
Il est recommandé d’installer un plugin réalisant des sauvegardes de votre base en cas d’attaque pour éviter de tous perdre. Il existe des plugins comme UpdraftPlus, BackupBuddy, BulletProofSecurity et j’en passe.
Installer un plugin pour prévenir les attaques
Il existe pas mal de plugins très simple d’utilisation permettant de surveiller les tentatives d’attaques. Il y a Wordfence Security, Sucuri.
Conclusion
J’espère que ces quelques conseils vous aiderons avec votre site. N’hésitez pas à venir échanger avec moi à ce sujet.