5 façons simples de protéger son site WordPress
Protéger son site, son blog, c’est important, oui mais comment faire !?
Je vous propose ici 5 solutions de niveau débutant pour commencer à protéger votre site.
1. Renommer son login et mettre un mot de passe digne de ce nom
Vous êtes loggé en « ADMIN » ? Aie ça commence mal. Renommez ce login en autre chose car « ADMIN » sera utilisé en premier afin de brute-forcer votre accès au panneau de configuration en cas d’attaque. Mettez par exemple « jean-admin_59000 » ou autre subtilité du genre.
Votre mot de passe fait moins de 8 caractères ? c’est le nom de votre ami(e) ? votre date de naissance ? le nom de votre animal de compagnie ? ou il est compliqué mais c’est le même que votre boite mail ? Aie là aussi on continue sur une mauvaise voie … Votre mot de passe se doit d’être complexe et mnémonique.
2. Se tenir à jour sur la dernière version de WordPress
C’est bête mais, êtes-vous à jour ? Se mettre à jour permet de pallier aux possibles dernières failles de sécurité trouvées dans WordPress, vous sécurisez donc au plus vite votre site en obtenant toujours la dernière version. Obtenez la gratuitement ici : http://wordpress.org/ et ici en français http://fr.wordpress.org/. Vous pouvez aussi faire cette mise à jour automatiquement dans votre tableau de bord (http://[votre_site]/wp-admin/update-core.php)
3. Se tenir à jour aussi sur la version de vos plugins installés
Même chose ici, les plugins peuvent être touchés par des failles de sécurité pour pourraient coûter la vie de votre site. Même solution donc, mettez à jour vos plugins ! Facile aussi, sur la page des plugins (http://[votre_site]/wp-admin/plugins.php), chaque plugin a son propre lien de mise à jour automatique ! Là, vous n’avez pas d’excuses …
4. Supprimer les plugins inactifs
Si vous avez une fois installé un ou plusieurs plugins qui ne vous ont pas plus, supprimez les ! Car il est possible que nous ne les mettiez pas à jour puisque « De toute façon, je ne l’ai pas mis sur mon site ». Oui, mais les fichiers sont bel et bien là, même si le plugin n’est pas actif ! Il se peut qu’une faille critique passant par ce plugin affecte votre site complet, dommage, vous ne l’utilisiez pas …
5. Méfiez vous de votre boite mail
La boite mail qui est lié au compte admin surtout ! En cas de demande de récupération de mot de passe, si une personne venait à avoir accès à votre boite mail (non déconnecté en cyber café, pc familial, pc du travail etc) alors votre précieux sésame pourrait être dérobé en toute simplicité (sans parler de vos autres mails d’inscriptions …). Prenez donc soin de choisir là aussi un mot de passe complexe.
Ca se ressemble ...
Classé dans ...
Partagez !
Tout le site
Sécurité
Extensions validées
Extensions corrigées
Extensions vulnérables
Codes-sources
Conseils
Salut, je ne sais si tu vas pouvoir m’aider, puisque mon problème procède de WORDPRESS.COM …. Mais sait-on jamais !
Est-il possible d’inclure un lien RSS au sein des pages protégés de mon blog ? (sachant que celle-ci n’est pas découpée en différents posts) ?
Je te remercie de considérer ma demande.
Bien à toi, Dipoun
Hello
Insérer un lien RSS ? Je pense que la question n’est pas complète, voici un lien RSS :
http://blog.boiteaweb.fr/feed/
Puis, pourquoi l’insertion serait différente dans une page protégée ?
Je pense que ce que tu veux éviter c’est qu’un flux RSS d’une page protégée puisse être lu sans le mot de passe ?
Exemple :
http://monsite.fr/pagenormale/feed/ = RSS des commentaires, accessible partout
http://monsite.fr/pageprotegee/fedd/ = RSS des commentaires, accessible avec mot de passe !
Il faut avoir tapé le pass sur http://monsite.fr/pageprotegee/ pour que le RSS soit lisible.
Cela réponds-t-il à ta question ?
Effectivement supprimé les plugins que l’on utilise plus, il faut y songer !
Bonjour,
juste une question concernant :
Configurer les clés de sécurité secrètes dans le wp-config.php
Est-ce toujours nécessaire de le faire car dans la doc d’installation officielle, cet élément n’est pas abordé et je pose la question si cette action est absolument nécessaire.
Merci
Non ce n’est pas obligatoire. Logiquement depuis WP 3.0 ces clés sont générées aléatoirement et insérées dans le fichier wp-config.php
Néanmoins si le site en question date d’avant cette version et que les clé n’ont pas encore été définies, on peut lire dans wp-config quelquechose comme « Put your unique key here ».
Si le site a été mis à jour avec WP 3+, alors ces clés sont maintenant dans la base de données.
Si le site est en version < 3.0, alors oui il faut les changer (mais surtout mettre à jour !!)
Voilà !
Merci pour l’info !!!