Sécurité d’un site WordPress

securiteOn ne va pas ré-inventer la poudre, et redire ce que d’autres disent mieux que moi. Attaché à la sécurité, pour mon nouveau site WordPress, j’ai voulu le protéger. J’ai donc attaqué sur plusieurs orientations.

Les accès – les fichiers – les commentaires – les sauvegardes

Sécurité des accès

google_authLe site est tout sauf collaboratif.
J’ai donc un compte d’administrateur, un compte d’éditeur et un compte de test.
Les deux derniers ne nécessitent pas de protection particulière.
Par contre le compte privilégié doit être protégé. Adepte de la connexion en 2 étapes, je me suis attaché à Google Authenticator pour sécurisé l’accès. Cela me permet d’empêcher l’usurpation d’identité si le mot de passe est trouvé ou divulgué. Attention tout de même à bien garder les codes de secours et à avoir votre téléphone à portée de main.

 

Sécurité des fichiers

J’ai voulu, un temps, protéger l’accès au répertoire wp-admin. Un .htaccess avec .passwrd qui va bien auraient dû faire l’affaire. Mais je me suis aperçu que même les utilisateurs non privilégiés devaient avoir accès à ce répertoire et que donc, à l’inverse de Joomla que je connais bien, cette solution n’était pas appropriée si le site devait comporter plusieurs utilisateurs.

Sécurité des commentaires

captchaAu début, j’ai vite été assailli par des commentaires bidons que des personnes mal intentionnées ou des robots de saisie déposaient sur les articles. Je me suis donc associé à un contrôle avec Captcha, ce qui oblige d’avoir un humain devant l’écran.

 

 

Sauvegardes

backwpupLà c’est un point essentiel. Sauvegarder son site et surtout savoir le restaurer est crucial. Je me suis donc attaché les services du plugin BackWPup qui génère un ficher de sauvegarde contenant le site et la base associée.
Tester la sauvegarde et la restaurer en local sur le PC avec un émulateur web (WampServer par exemple) est incontournable.

Et pour terminer…

Enfin (bien que cet article soit régulièrement mis à jour), 14 astuces pour sécuriser un site WordPress ne fera de mal à personne et évitera de redire la même chose; plus un inventaire des outils de backup pour WordPress.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *