WEB2007 ALSO SPEAKS ENGLISH
06 44 00 14 84 (ou 0033644001484)

* Agence Magento Bourges




Agence Magento Bourges





Article:

Pratique pour mettre en ligne et très connu, le système de gestion de contenu (CMS) Wordpress a également ses bémols. Quelques brèches de sécurité vous sont proposées : ces failles peuvent être abusées aussi bien par des internautes malveillants que par des robots hackers. Comment sécuriser ces brèches et adopter les bons réflexes de protection ?
Les points essentiels à sécuriser sur Wordpress
Sécuriser l'ac à l'administration du site
Lorsque le CMS est activé, il est accessible avec un identifiant "admin" par défaut. l'identifiant doit être modifié. Pour cela, créer un nouvel identifiant d'administration et supprimer l'identifiant "admin", en se connectant avec le nouveau profil d'administration.
Tableau de bord > Utilisateurs > tous les utilisateurs, choisir "admin" et supprimer. Confirmer la suppression.
Pour les articles qui sont atés à l'identifiant "admin", il est possible lors de cette étape de les ater à un autre auteur.
A noter : choisir un identifiant d'administration qui diffère de la signature des articles, par exemple avec une lettre en plus ou en moins.
Le mot de passe doit également être sécurisé. Un mot de passe renforcé, avec des chiffres, des lettres, des symboles et des majuscules, est de plus en plus apprécié. Prévoir des mots de passe différents dans le cas où le site est accessible à plusieurs administrateurs.
Restreindre les droits des utilisateurs
Si plusieurs rédacteurs sont amenés à intervenir sur le site, vérifier les rôles d'administration de chacun. Le CMS Wordpress propose plusieurs rôles : administrateur, éditeur, auteur, conteur, abonné.
Limiter le rôle d'administrateur au strict minimum, afin d'éviter les mauvaises manipulations ou que des extensions et nouveaux thèmes non sécurisés ne soient installés.
Vous pouvez aussi limiter aux éditeurs l'installation d'extensions ou de thèmes de façon manuelle :
Entrer au fichier wp-config.php à la racine du FTP,
Additionner la ligne define ( 'DISALLOW_FILE_EDIT', true);
Désactiver l'ac à l'administration depuis le site
Certains thèmes offrent un ac à l'administration directement depuis le site. Dans ce cas, chaque utilisateur inscrit peut, dans la mesure des permissions définies, accéder aux contenus du CMS. Il est mieux de désactiver cette option, afin d'éviter les tentatives d'intrusion et l'inscription en masse par des robots (voir ci-dessous : vérifier les nouveaux abonnés).
Nommer l'ac au panneau d'administration
Le tableau de bord peut être accessible depuis l'adresse www.monsite.fr/wp-login.php, ou wp-admin. C'est donc sur cette adresse que des hackers peuvent tenter de se connecter pour corrompre la base de données. Il est possible de modifier ce lien, afin de personnaliser l'adresse d'ac au tableau de bord et la rendre moins visible. Cette manipulation peut se faire depuis la base MySQL.






****Web2007 est un bureau indépendant situé à Genève et a l'habitude de travailler pour des entreprises PARTOUT en France et en Europe