WordPress n’est plus un CMS à présenter. C’est l’outil de création et de gestion de sites web le plus utilisé au monde avec Joomal et Drupal comme principaux concurrents. Pour éviter les cyberattaques et protéger son investissement, il convient d’adopter une bonne stratégie de sécurité pour son site. Comment alors améliorer et renforcer la sécurité de son site web sous WordPress ?
Sécurité d’un site créé sous WordPress, les bonnes pratiques
Il existe bien sûr des solutions gratuites et payantes afin de sécuriser au mieux un site créé avec WordPress, mais une bonne stratégie de sécurité commence par la mise en place des bonnes pratiques en matière de prudence. Cela commence par les droits de fichiers et l’interdiction d’accès à certaines parties de votre serveur. A l’aide d’un client FTP, définissez les droits d’utilisateurs pour vos dossiers et fichiers de façon à éviter par exemple que tout le monde puisse avoir accès en écriture à votre serveur (777). De même pour le préfixe et le nom de la base de données, pensez à les changer, les personnaliser pour les rendre moins évidents. Afin de prévenir les attaques, planifiez des sauvegardes systématiques pour la base de données sans oublier vos fichiers. Ainsi, vous pourrez rétablir rapidement votre site web en cas d’attaque majeur sans perdre toutes vos données. Enfin, adoptez un système de mots de passe fort, composés de lettres en minuscule, majuscule, nombres et caractères spéciaux, d’une longueur minimum de 10 caractères.
Extensions gratuites dédiées à la sécurité d’un site sous WordPress
iThemes Security fait partie des extensions de sécurité les plus utilisés par les webmasters ayant des sites sous WordPress. C’est une extension gratuite qui permet de faire de nombreuses choses : cacher la partie administration du site (modification du lien Wp-Login par exemple), effectuer des sauvegardes automatiques envoyées par mail, protéger contre les spams en commentaires, bannir certaines IP malveillantes, supprimer le compte admin ID 1 (grande faille de sécurité, car c’est commun à tous les sites sous WordPress), bannir ceux qui tentent de se connecter à plusieurs reprises sans succès (404 erreur), etc.