creat-digit.com > Blog > Améliorer la sécurité de votre site WordPress
WordPress est un outil génial permettant à tout le monde d’avoir son site web. Sans connaissance en programmation, il est possible de créer un véritable site vitrine ou e-commerce. Dans cet article, nous examinerons quelques actions à mettre en place afin de sécuriser votre site WordPress.
Vous venez d’installer WordPress et vous commencez la configuration. L’une des premières choses demandées est le nom d’utilisateur et le mot de passe du compte administrateur. Le nom d’utilisateur, en lui-même, n’est pas très important. Peu importe ce que vous mettez, il peut être retrouvé.
En revanche, le mot de passe l’est beaucoup plus. Si une personne mal attentionnée parvient à trouver le mot de passe du compte administrateur, alors les problèmes vont arriver très rapidement.
Pour éviter cela, je vous conseille de saisir un mot de passe d’au moins 12 caractères, avec minuscules, majuscules, chiffres et caractères spéciaux. Bien évidemment, si vous souhaitez faire plusieurs comptes administrateur, aucun des mots de passe ne doit être réutilisé.
Les extensions ajoutent un réel plus à votre site. Elles peuvent être payantes, mais également gratuites. Il est important de garder en tête que le prix d’une extension ne définit pas sa sécurité : une extension payante peut être bien moins sécurisée qu’une gratuite.
Le principal problème des extensions est qu’elles peuvent être développées par n’importe qui, et peuvent avoir d’importantes failles de sécurité.
Pour éviter cela, je vous recommande de les maintenir à jour et de supprimer celles dont vous ne vous servez pas. Une extension vulnérable, même désactivée, peut toujours être utilisée par un attaquant.
WordPress doit aussi être maintenu à jour régulièrement, afin de maintenir un niveau de sécurité convenable.
Par défaut, une page nommée “XMLRPC.php” est présente lorsque vous installez WordPress. Pour la consulter, allez simplement sur : votre_nom_de_domaine/xmlrpc.php.
Cette page était utilisée pour interagir avec son site WordPress depuis son téléphone, il y a de cela quelques années. Aujourd’hui, la liaison se fait via l’API REST rendant donc cette page inutile.
Ce n’est pas plus mal, car elle contient à elle seule un grand nombre de vulnérabilités, rendant possible plusieurs types d’attaques (DDOS, Bruteforce, …).
Si vous souhaitez la désactiver (ce que je vous recommande), il vous suffit de télécharger une extension. Pour cela, saisissez “xmlrpc” dans la barre de recherche des extensions, et installez celle qui vous plaît le plus.