WEB2007 ALSO SPEAKS ENGLISH
06 44 00 14 84 (ou 0033644001484)

* Wordpress Beziers




Wordpress Beziers





Article:

Le système de gestion de contenu (CMS) Wordpress est facile à mettre en ligne et très répandu ; il a également ses limites. Quelques brèches de sécurité ont été mises à jour : ces failles peuvent être exploitées aussi bien par des internautes malveillants que par des robots hackers. Comment sécuriser ces brèches et adopter les bons réflexes de protection ?
Les principaux endroits à sécuriser sur Wordpress
Sécuriser l'ac à l'administration du site
Lorsque le CMS est activé, il est important de créer un nouvel identifiant d'administration et supprimer l'identifiant "admin", en se connectant avec le nouveau profil d'administration.
Tableau de bord > Utilisateurs > tous les utilisateurs, choisir "admin" et supprimer. Confirmer la suppression.
Si des articles appartiennent à l'identifiant "admin", il est possible lors de cette étape de les ater à un autre auteur.
Bon à savoir : choisir un identifiant d'administration qui diffère de la signature des articles, par exemple avec une lettre en plus ou en moins.
Le mot de passe doit également être sécurisé. Choisir un mot de passe renforcé, avec des chiffres, des lettres, des symboles et des majuscules. Prévoir des mots de passe différents dans le cas où le site est accessible à plusieurs administrateurs.
Restreindre les droits des utilisateurs
Si plusieurs rédacteurs sont amenés à intervenir sur le site, vérifier les rôles d'administration de chacun. Le CMS Wordpress propose plusieurs rôles : administrateur, éditeur, auteur, conteur, abonné.
Limiter le rôle d'administrateur afin de contrecarrer les mauvaises manipulations ou que des extensions et nouveaux thèmes non sécurisés ne soient installés.
Limiter aux éditeurs l'installation d'extensions ou de thèmes de façon manuelle :
Accéder au fichier wp-config.php à la racine du FTP,
Ajouter la ligne define ( 'DISALLOW_FILE_EDIT', true);
Désactiver l'ac à l'administration depuis le site
En effet, chaque utilisateur inscrit peut, dans la mesure des permissions indiquées, accéder aux contenus du CMS. Il est préférable de désactiver cette option, afin d'éviter les tentatives d'intrusion et l'inscription en masse par des robots (voir ci-dessous : vérifier les nouveaux abonnés).
Renommer l'ac au panneau d'administration
Par défaut, le tableau de bord est accessible depuis l'adresse www.monsite.fr/wp-login.php, ou wp-admin. C'est donc sur cette adresse que des hackers peuvent tenter de se connecter pour corrompre la base de données. Il est possible de changer ce lien, afin de personnaliser l'adresse d'ac au tableau de bord et la rendre moins visible. Cette utilisation est possible depuis la base MySQL.






****Web2007 est un bureau indépendant situé à Genève et a l'habitude de travailler pour des entreprises PARTOUT en France et en Europe