WordPress est la plateforme de site/blog qui représente 25% des sites internet dans le monde, c’est vous dire si elle est utilisée. De très grosses entreprises comme des particuliers l’utilisent pour sa simplicité, sa fiabilité, sa robustesse et sa modularité. En effet, WordPress possède plusieurs dizaines de milliers d’extensions ou « plugins » souvent gratuits, parfois payants, qui lui permettent de s’adapter précisément aux besoins des sites.
WordPress, de par sa popularité, représente une cible pour les hackers ou simplement pour les personnes mal intentionnées. Le but de cet article est de vous familiariser avec la sécurisation d’un site wordpress.
La première étape de sécurisation, dès l’installation de votre site, est de choisir le nom de l’administrateur ainsi que son mot de passe. Il faut alors éviter les noms suivants : Admin, administrateur, webmaster, root, default, webmin… Allez sur quelque chose d’original… prenez quelque chose dont vous vous souviendrez.
Idem pour le mot de passe. Exit les « 123456 », les « abcdef » ou encore les « azertyui ». Pire encore les « mot de passe » comme mot de passe… WordPress vous demande un mot de passe sécurisé, avec au moins 8 caractères, avec des chiffres et des lettres… N’hésitez pas à alterner majuscules et minuscules, utilisez également des caractères dits « spéciaux » genre « ù » ou « à » (avant qu’un pirate international utilise ces caractères qui ne figure pas sur son clavier, on a du temps 🙂 ) voire « # » ou « @ »… Utilisez en plusieurs même.
Lorsque vos identifiant et mot de passe sont configurés, il vous faut protéger l’accès à l’interface administrateur. Je vous conseille d’installer l’extension « WPS Hide Login » qui va vous permettre de changer l’adresse de connexion ; au lieu de « www.monsite.fr/wp-login » vous pourrez mettre « www.monsite.fr/cequeje_veux ». C’est simple et efficace. Cela se fait dans les paramètres généraux du site lorsque l’extension est installée et activée.
Enfin, last but not least comme on dirait outre Manche et Atlantique, je vous conseille fortement d’empêcher les utilisateurs de TOR de vous visiter. Quand on vient visiter un site « normal » en utilisant TOR, c’est que l’on souhaite masquer son identité numérique, son IP. Certains défenseurs de la liberté vous diront que c’est une atteinte à la liberté d’interdire des visites anonymes, cependant, dans l’intérêt de la protection de votre site, bloquer TOR vous permet dans les logs d’identifier ceux qui essayeront de rentrer dans votre site grâce à leur IP. Je conçois que ce que j’écris sera incompréhensible pour le commun des mortels non initiés aux nouvelles technologies. Alors je vous recommande d’installer et d’activer « Maltor » qui bloquera tout trafic suspect.
Voilà, votre site est sécurisé… C’est largement suffisant pour un site usuel.