WEB2007 ALSO SPEAKS ENGLISH
06 44 00 14 84 (ou 0033644001484)

* Agence Web Bourges


Agence Web Bourges





Article:

Malgré le fait qu'il est très répandu, le système de gestion de contenu (CMS) Wordpress présente également ses limites. Ces failles sont exploitées aussi bien par des internautes malveillants que par des robots hackers. Comment sécuriser ces brèches et adopter les bons réflexes de protection ?
Les principaux points à sécuriser sur Wordpress
Sécuriser l'ac à l'administration du site
A chaque fois que le CMS est activé, son ac est possible avec un identifiant "admin" par défaut. l'identifiant doit être modifié. Pour cela, créer un nouvel identifiant d'administration et supprimer l'identifiant "admin", en se connectant avec le nouveau profil d'administration.
Tableau de bord > Utilisateurs > tous les utilisateurs, choisir "admin" et supprimer. Confirmer la suppression.
Au cas où des articles sont atés à l'identifiant "admin", vous pouvez les ater à un autre auteur.
Bon à savoir : préférer un identifiant d'administration diffèrent de la signature des articles, par exemple avec une lettre en plus ou en moins.
Il faut aussi sécuriser le mot de passe. Choisir un mot de passe renforcé, avec des chiffres, des lettres, des symboles et des majuscules. Prévoir des mots de passe différents dans le cas où le site est accessible à plusieurs administrateurs.
Limiter les droits des utilisateurs
Juger les rôles d'administration de chaque rédacteur présent dans le site. Le CMS Wordpress joue plusieurs rôles : administrateur, éditeur, auteur, conteur, abonné.
Le rôle d'administrateur doit être seulement d'éviter les mauvaises manipulations ou que des extensions et nouveaux thèmes non sécurisés ne soient installés.
Limiter également aux éditeurs l'installation d'extensions ou de thèmes de façon manuelle :
Accéder au fichier wp-config.php à la racine du FTP,
Ajouter la ligne define ( 'DISALLOW_FILE_EDIT', true);
Stopper l'ac à l'administration depuis le site
Quelques thèmes donnent un ac à l'administration directement depuis le site. Dans ce cas, chaque utilisateur inscrit peut, dans la mesure des permissions définies, accéder aux contenus du CMS. C'est mieux de désactiver cette option, afin d'éviter les tentatives d'intrusion et l'inscription en masse par des robots (voir ci-dessous : vérifier les nouveaux abonnés).
Renommer l'ac au panneau d'administration
Le tableau de bord est abordable par défaut depuis l'adresse www.monsite.fr/wp-login.php, ou wp-admin. C'est donc sur cette adresse que des hackers peuvent tenter de se connecter pour corrompre la base de données. Il est probable de modifier ce lien, afin de personnaliser l'adresse d'ac au tableau de bord et la rendre moins visible. Cette manipulation est possible depuis la base MySQL.






****Web2007 est un bureau indépendant situé à Genève et a l'habitude de travailler pour des entreprises PARTOUT en France et en Europe