Nous avons repris récemment le site wordpress d’un client qui souhaitait faire une une refonte graphique de son site web, mais qui nous assurait que l’ancienne version fonctionnait correctement et n’avait pas de problème particulier. Après avoir effectué un audit de sécurité de son site, il est apparu que des pages avaient été créées à son insu, contenant des liens vers des activités pas toujours recommandables. Cette pratique connue permet aux hackers de placer des liens vers leurs sites et ainsi de booster leur référencement naturel.

Règles de sécurisation d’un site wordpress

WordPress étant le CMS le plus répandu dans le monde, il est également le plus attaqué. Les attaques sont rarement ciblées. Il s’agit de piratage de masse, profitant de failles, généralement dans les plugins utilisés. C’est pourquoi il est indispensable :
– de créer votre site wordpress en respectant un certains nombres de règles de sécurité
– de faire faire des maintenances régulièrement par un professionnel

Les règles générales

Sans dévoiler l’intégralité de notre méthode, voici les principales règles de sécurisation de site wordpress que nous appliquons :
– création d’une adresse de connexion différente de votresite.com/wp-admin/
– choix de mots de passe complexes résistants au “brut force”
– installation d’un plugin de sécurité qui intègre un pare-feu applicatif
– choix des plugins : nous vérifions la réputation de l’éditeur, et la régularité des mises à jour
– scans antivirus
– mise en place d’alertes automatiques en cas de problème sur le site
– mise en place de captcha sur les formulaires

Mises à jour et sauvegardes de votre site wordpress

La sécurité d’un site web dépend également des mises à jour et des backups effectués. Pour cela nous effectuons les actions suivantes :
– mise à jour régulière et / ou automatisée des plugins
– mise à jour régulière et / ou automatisée de wordpress
– mise en place de backups automatisés sur le serveur
– sauvegarde de backup sur deux serveurs différents

Sécurisation du serveur d’hébergement

Nous prêtons également attention à la sécurisation du serveur d’hébergement. Pour cela, voici les tâches que nous réalisons :
– Upgrade régulier de la version de PHP
– Activation du pare-feu applicatif (ModSecurity disponible)
– Bannissement des IP suspects ou ayant mauvaise réputation
– Isolation des sites sur le serveur
– blocage de l’accès aux dossiers wordpress sur le serveur et de l’accès direct aux fichiers .php

Conseil bonus

Enfin nous invitons nos clients à être vigilant sur la gestion des comptes admin (penser à supprimer les comptes inutiles) et sur la façon dont ils partagent les mots de passe.

Vous souhaitez obtenir plus d’informations ?



    Vous souhaitez :

     

    RETROUVEZ-NOUS SUR LINKEDIN