Bonnes pratiques pour sécuriser votre WordPress

WordPress est le CMS le plus utilisé sur le web. Cependant, du fait qu’il est le plus utilisé c’est également celui sur lequel les tentatives de piratages sont le plus courantes.

Nous allons donc voir comment protéger efficacement l’installation de son wordpress à l’aide du plugin itheme sécurity dédié à la sécurité de wordpress et évidemment des bonnes pratique à mettre en oeuvre lors du développement de votre site.

Bonnes pratiques générales

La première chose à faire absolument est de développer soi-même son thème et ne surtout pas l’acheter ou le récupérer quelque part!

En effet même si il existe beaucoup de très beau thèmes gratuits disponibles, un grand nombre d’eux contiennent des code malicieux pouvant aller jusqu’à donner au créateur du thème (ou tout autre personnes) un accès complet à votre serveur! (Hé oui! toujours ce méfier du « gratuit« !)

De la même façon et pour les même raison installer une tripotés de plugins dès qu’on a un besoin spécifique quelconque n’est réellement pas l’idée du siècle. D’autant que la majorité de ces plugins peuvent être re-créer par vous même à l’aide de quelques lignes de codes dans votre fichier function.php ce qui à l’avantage d’être bien plus maintenable lors des mises à jour de votre wordpress!

Evidemment on ne peut pas tout re-créer!!

Donc si vous devez installer un plugin avant d’activer celui-ci veillez à lui faire passer un audit de sécurité. Sous linux vous pouvez simplement aller à l’aide du terminal dans le répertoire de votre plugin et à l’aide de la commande rgrep rechercher les occurrence de base64_encode, eval, gzdeflatestr_rot13, gzcompress,  strrev, rawurlencode, … (la liste n’est pas exhaustive). Ces fonctions php, java, autres… étant souvent utilisés pour faire de l’obfuscation de code (cacher du code en le rendant illisible par l’être humain mais lisible par une machine) ce qui indique souvent le signe de la présence de scripts malicieux.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Partenaires

Cekome Graal Network Panoramaweb