* Developpeur Web Bourges
Developpeur Web Bourges
Article:
Le système de gestion de contenu (CMS) Wordpress renferme par contre ses bémols. Quelques brèches de sécurité ont été proposées : ces impuissances peuvent être exploitées aussi bien par des internautes malveillants que par des robots hackers. Comment sécuriser ces brèches et adopter les bons réflexes de protection ? Les points primordiaux à sécuriser sur Wordpress Sécuriser l'ac à l'administration du site Un CMS activé a besoin d'un identifiant "admin" par défaut qui doit être changé. De la sorte, créer un nouvel identifiant d'administration et supprimer l'identifiant "admin", en se connectant avec le nouveau profil d'administration. Tableau de bord > Utilisateurs > tous les utilisateurs, choisir "admin" et supprimer. Confirmer la suppression. Supposé que des articles sont donnés à l'identifiant "admin", il est facile lors de cette étape de les ater à un autre auteur. NB : pencher pour un identifiant d'administration qui est différent de la signature des articles, par exemple avec une lettre en plus ou en moins. Le mot de passe se doit aussi d'être sécurisé. Choisir un mot de passe renforcé, avec des chiffres, des lettres, des symboles et des majuscules. Prévoir plusieurs mots de passe dans le cas où le site est accessible à plusieurs administrateurs. Circonscrire les droits des utilisateurs Si plusieurs rédacteurs sont appelés à intervenir sur le site, vérifier les rôles d'administration de chacun. Le CMS Wordpress propose plusieurs rôles : administrateur, éditeur, auteur, conteur, abonné. Délimiter le rôle d'administrateur au strict minimum permet d'éviter les mauvaises manipulations ou que des extensions et nouveaux thèmes non sécurisés ne soient installés. Prière de limiter aux éditeurs l'installation d'extensions ou de thèmes de façon manuelle : Rapprocher au fichier wp-config.php à la racine du FTP, Ajuster la ligne define ( 'DISALLOW_FILE_EDIT', true); Désactiver l'ac à l'administration depuis le site Nous apercevons des thèmes qui ont un ac à l'administration directement depuis le site. Dans ce cas, chaque utilisateur inscrit peut, dans la mesure des permissions définies, accéder aux contenus du CMS. Veuillez alors désactiver cette option, afin d'éviter les tentatives d'intrusion et l'inscription en masse par des robots (voir ci-dessous : vérifier les nouveaux abonnés). Rebaptiser l'ac au panneau d'administration Par défaut, le tableau de bord est accessible depuis l'adresse www.monsite.fr/wp-login.php, ou wp-admin. C'est donc sur cette adresse que des hackers peuvent tenter de se connecter pour corrompre la base de données. Il est possible de modifier ce lien, afin de personnaliser l'adresse d'ac au tableau de bord et la rendre moins visible. Cette manipulation est possible depuis la base MySQL.