10 conseils pour sécuriser WordPress (2)

Bonjour,

j’avais commencé une série d’articles sur la sécurité des blogs wordpress il y a quelques semaines.

Il se trouve que depuis le premier article publié, j’ai vu bon nombre de blogs  Wordpress corrompus par des hackers.

Pendant cette période, j’ai testé beaucoup de solutions pour sécuriser convenablement WordPress. Au fure et à  mesure, j’ai recommandé à  mes clients d’installer des extensions afin de combler les failles de WordPress utilisées par les Hackeurs.

Un peu comme dans un laboratoire, cette démarche m’a permis de connaître les extensions qui sont vraiment efficaces et celles qui le sont moins ou pas du tout.

Beaucoup des clients hébergés sur les serveurs Global Net Concept utilisent WordPress. Les résultats que je vous livre aujourd’hui sont d’autant plus intéressants qu’ils concernent un panel de noms de domaine sur différents comptes avec des configurations variées. Quand un blog est hacké, le premier réflexe du client est de me contacter afin de lui débloquer la situation. En effet, le hacker a généralement changé les codes d’accès au tableau de bord WordPress et corrompu la base de données. Si le client n’a pas effectué de sauvegarde, il est coincé. Soit il efface tout et perd l’ensemble de son travail, soit il me contacte.

Ce qui ne marche pas :

- Firewall 2

- Les extensions Wordfence et Sucuri Scaner (pour celles ou ceux qui les utilisent) ne sont pas plus sûr.

- Idem pour l’extension BulletProof Security

Associer ces extensions ne bloque pas les hackeurs. J’ai testé ces extensions ou l’association de ces extensions sur plusieurs comptes (soit des sites WordPress que j’ai personnellement créés pour des clients et dont j’assure la maintenance et les mises à  jour, soit pour des clients en hébergement).

Actuellement (j’écris actuellement, car les hackeurs cherchent toujours de nouvelles failles), pour protéger vos blogs de façon efficace, vous devez :

- Prendre en compte les 5 premiers points du précédent article

Ces points sont importants

Le point numéro 6 concernant l’extension firewall 2 n’est plus d’actualité puisque les hackeurs arrivent à  contourner cette protection.

Vous devez installer :

Pour un maximum de sécurité, vous devez installer l’extension Better WP Security

Cette extension est très complète. Bien configurée, elle sécurise totalement votre blog WordPress. Si vous ne savez pas comment la configurer, posez vos questions dans les commentaires ci-dessous. Attention, certaines options sont susceptibles de changer les chemins des répertoires de votre blog ou d’acitiver le SSL pour les connections au panel d’administration. Si vous les activez sans faire les modifications adéquates, votre blog ne fonctionnera plus.

Vous pouvez également installer d’autres extensions de firewall qui vous permettront de recevoir des alertes. Par exemple OSE Firewall.

Quelques précisions importantes :

- Sachez qu’il y a, actuellement, une forte recrudescence d’attaques et peu importe l’hébergeur de vos sites. Certains sites importants sur le web sont régulièrement hackés. Par exemple le dernier en date :  http://www.huffingtonpost.fr/2012/10/28/piratage-site-euromillions-message-religieux-anti-jeu-maroc_n_2034606.html?utm_hp_ref=france

- Cet article n’a pas pour vocation de vous faire peur. Ce n’est pas le genre de la maison. Simplement, en tant qu’hébergeur, je suis régulièrement confronté à  ce problème. Trouver des solutions, c’est d’abord aider les clients qui me font confiance. Ce week-end j’ai personnellement aidé 6 de mes clients à  nettoyer leurs sites.

- Je ne peux apporter un support technique qu’à  mes clients. Si vous n’êtes pas client Global Net Concept, contactez votre hébergeur pour toute demande de support. Si vous souhaitez que Global Net Concept héberge vos sites, rendez-vous ici http://www.global-net-concept.com/hebergement/index.php

Amicalement,

signature Eric Cardonnel

Eric Cardonnel
Global Net Concept