Sécuriser son site WordPress – Les meilleurs plugins

Après avoir été quelque peu attaqué sur le site, certaines recherches de sécurisation WordPress se sont imposées. Depuis longtemps, WordPress est considéré comme un acteur majeur dans les CMS open-source pour la création de blogs, de sites voire même d’e-commerce, mais il reste souvent une plateforme facile à attaquer pour les visiteurs mal intentionnés.

Quelques mesures avant d’installer tous vos plugins WordPress pour la sécurisation.

Le travail de sécurisation de WordPress débute avant même la création du site par la configuration des tables de la base de données. Par défaut, toutes ces tables crées lors de la création du site sont précédées de « wp_ ». Avant de créer votre site pensez donc à modifier ce champ ce qui vous évitera des complications ultérieures pour la sécurisation du blog.

Si vous hébergez plusieurs sites sur un même espace, pensez à mettre chaque site dans un sous-sous-dossier. (explications sur ce détail dans la suite de l’article)

La création du site – Configurer son site WordPress en vue d’une meilleure protection.

Une Architecture de l’espace web spéciale pour WordPress

Les dernières versions de WordPress permettent de déplacer le fichier wp-config.php dans un dossier supérieur de l’hébergement. Autrement dit si l’architecture de votre espace sur le serveur est du type:

Root

– Public_ftp

– Public-html

– WP-Admin

– WP-Content

– WP-Includes

– wp-config.php

– index.php

– …

– www

– …

Si vous êtes dans ce cas, il est possible de déplacer le fichier wp-config.php en racine (par défaut, ce dernier se trouvant dans le dossier Public-html).

Votre architecture devrait alors être semblable à ceci:

Root

– Public_ftp

– Public-html

– WP-Admin

– WP-Content

– WP-Includes

– index.php

– …

– wp-config.php

– www

– …

Dans le cas où vous hébergeriez plusieurs sites sur un même espace, il sera alors préférable d’opter pour des sous-sous-dossiers.

Root

– Public_ftp

– Public-html

– WP-Admin

– WP-Includes

– WP-Content

– index.php

– …

– wp-config.php

– Site2

– Sous-sous-dossier-site2

– WP-Admin

– WP-Includes

– WP-Content

– index.php

– …

– wp-config.php

– Site3

– Sous-sous-dossier-site-3

– WP-Admin

– WP-Includes

– WP-Content

– index.php

– …

– wp-config.php

– …

Vous pourrez ainsi créer une infinité de sites tout en sécurisant l’accès au fichier wp-config.php.

Le choix de l’administrateur

Choisissez enfin un nom d’administrateur général différent de « admin », « Admin », « nomdevotresite » ou encore « Administrateur ». Ce seront les noms les plus faciles à trouver.

Désactivez aussi l’option de signature des articles, qui feront apparaître le nom de l’administrateur si ce dernier rédige un article. Si vous désirez conserver cette option, écrivez alors TOUS vos articles avec un compte rédacteur et non celui de l’administrateur du site.

Les plugins WordPress pour sécuriser son site

Voici quelques plugins WordPress incontournables pour la sécurisation de votre site.

Le plugin 6scan – Pentester son site internet

6scan est un plugin qui vous permettra de faire des « tests de pénétration » sur votre site WordPress. Le plugin à jour connait toutes les principales failles de sécurité de WordPress et vous proposera une solution pour les patcher très facilement et ainsi éviter toute mauvaise surprise. Si vous ne souhaitez pas payer d’abonnement pour sa version premium (qui automatise tout et vous propose un plan de backup), vous devrez cependant « patcher » ces fichiers à la main (très simple puisque toute la procédure est détaillée).

Plugin WordPress – Secure WordPress

Secure WordPress est un plugin qui vous permettra de corriger les principales failles de WordPress automatiquement, en masquant par exemple la version de WordPress utilisée sur le site ou autre.

Ce plugin WordPress protégera aussi vos sous dossiers par la création d’un fichier index.php dans chacun d’eux.

Le plugin Ultimate Security Checker

Ultimate Security Checker est un plugin qui vous permettra de scanner l’ensemble de votre site et qui vous donnera tous les points à corriger ainsi que les moyens d’y parvenir le plus simplement.

Ce plugin est vraiment indispensable et propose aussi un service payant pour les professionnels qui permet de faire sécuriser son site par des professionnels avec des forfaits abordables puisqu’il existe un pack à 500€ par an permettant de faire sécuriser une infinité de sites. Un très bon service pour les professionnels de la création de site pour PME/PMI.

Le plugin BulletProof Security

Ce dernier plugin, BulletProof Security, sera un moyen de sécurisation de vos backups. Il programmera les backups et protégera le dossier dédié.

Ce fichier permettra aussi de modifier le fichier .htaccess afin de sécuriser certains dossiers sensibles.

Il est aussi conseiller de faire appel à d’autres plugins WordPress, comme les plugins de cache, qui vous permettront d’accélérer votre site et aussi de limiter les appels à la bande passante.

 

Cadeau – Une vidéo sur les meilleurs plugins WordPress pour sécuriser son site:

 

Conseil de lecture:

Super article de SEOMIX sur les Plugins WordPress de gestion du cache. Sa trouvaille du couplage des plugins WP Super Cache et DB Cache Reloaded est une vraie merveille !

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *