WEB2007 ALSO SPEAKS ENGLISH
06 44 00 14 84 (ou 0033644001484)

* Developpeur PHP Bourges


Developpeur PHP Bourges





Article:

Aisé pour mettre en ligne et très ordinaire, le système de gestion de contenu (CMS) Wordpress a également ses bémols. Quelques brèches de sécurité vous sont proposées : ces failles peuvent être abusées aussi bien par des internautes malveillants que par des robots hackers. Comment sécuriser ces brèches et adopter les bons réflexes de protection ?
Les points indispensables à sécuriser sur Wordpress
Sécuriser l'ac à l'administration du site
Quand le CMS est activé, il est accessible avec un identifiant "admin" par défaut. l'identifiant doit être modifié. Pour cela, créer un nouvel identifiant d'administration et supprimer l'identifiant "admin", en se connectant avec le nouveau profil d'administration.
Tableau de bord > Utilisateurs > tous les utilisateurs, choisir "admin" et supprimer. Confirmer la suppression.
Pour les articles qui sont atés à l'identifiant "admin", il est possible lors de cette étape de les ater à un autre auteur.
A consigner : choisir un identifiant d'administration qui diffère de la signature des articles, par exemple avec une lettre en plus ou en moins.
Le mot de passe doit également être protégé. Un mot de passe conforté, avec des chiffres, des lettres, des symboles et des majuscules, est de plus en plus apprécié. Prévoir des mots de passe différents dans le cas où le site est accessible à plusieurs administrateurs.
Restreindre les droits des utilisateurs
Dans la mesure où plusieurs rédacteurs sont amenés à intervenir sur le site, vérifier les rôles d'administration de chacun. Le CMS Wordpress propose plusieurs rôles : administrateur, éditeur, auteur, conteur, abonné.
Le rôle d'administrateur doit simplement être d'éviter les mauvaises manipulations ou que des extensions et nouveaux thèmes non sécurisés ne soient installés.
Vous pouvez aussi limiter aux éditeurs l'installation d'extensions ou de thèmes de façon manuelle :
Entrer au fichier wp-config.php à la racine du FTP,
Additionner la ligne define ( 'DISALLOW_FILE_EDIT', true);
Désactiver l'ac à l'administration depuis le site
Certains thèmes présentent un ac à l'administration directement depuis le site. Ainsi, chaque utilisateur inscrit peut, dans la mesure des permissions définies, accéder aux contenus du CMS. Il est mieux de désactiver cette option, afin d'éviter les tentatives d'intrusion et l'inscription en masse par des robots (voir ci-dessous : vérifier les nouveaux abonnés).
Nommer l'ac au panneau d'administration
Le tableau de bord peut être abordable à partir de l'adresse www.monsite.fr/wp-login.php, ou wp-admin. C'est depuis cette adresse que des hackers peuvent tenter de se connecter pour corrompre la base de données. Il est possible de modifier ce lien, afin de personnaliser l'adresse d'ac au tableau de bord et la rendre moins visible. Cette manipulation peut se faire depuis la base MySQL.






****Web2007 est un bureau indépendant situé à Genève et a l'habitude de travailler pour des entreprises PARTOUT en France et en Europe