Nous vous présentons sur ce billet, une série de conseils et astuces vous permettant de mieux sécuriser votre site WordPress, ou limiter les dégâts potentiels.

#1 – Gardez votre installation WordPress à jour

90% des sites web qui se font pirater sont des sites dont les webmasters n’ont pas fait de mise à jour pendant des semaines ou des mois, les équipes WP fournissent des mises à jour régulières, qui comprennent en grande partie des correctifs de sécurité, il en va de même pour les plugins qui doivent également être mis à jour régulièrement.

Notez que WordPress offre un système de mise à jour et de réinstallation entièrement automatisé. Une notification est disponible sur votre tableau de bord à chaque fois qu’une mise à jour est disponible, suivez-là! et en deux clic, votre mise à jour sera installée.

#2 – Bien choisir son login et mot de passe

Au début de votre installation WordPress, évitez de créer votre compte avec le login par défaut “admin”, choisissez plutôt un nom générique à votre blog.

Concernant le mot de passe, les règles élémentaires à suivre sont de le créer en 8 caractères ou plus, y utiliser des chiffres, caractères spéciaux et lettres en majuscule/minuscule. Il existe des outils en ligne qui vous permettent de générer rapidement des mots de passe comme le site Strong password generator.

#3 – Utilisez les clés secrètes dans wp-config.php

Vous avez la possibilité d’inclure des clés secrètes dans le fichier wp-config.php, comme suit :

define('AUTH_KEY', '{zSq`#=nO*rE~~#;3.Z{3Bm_x7; A`>m_B%9');
define('SECURE_AUTH_KEY', '#,1-PL;:KBGqbsm7~P3>_W?g![L1nc?kC');
define('LOGGED_IN_KEY', 'NbwnZfZ_4?i%#h8sgmtKeOm;Tki+2g}NLi+T9');

Vous pouvez générer des clés aléatoires à l’aide de ce lien : https://api.wordpress.org/secret-key/1.1/

#4 – Protégez votre fichier wp-config.php

Modifiez votre fichier .htaccess situé à la racine de votre serveur FTP en y ajoutant les lignes ci-dessous. Ces commandes empêcheront un hacker de récupérer votre identifiant et mot de passe MySQL en cas de problèmes avec PHP.

<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>

Vous pouvez renforcer la sécurité de ce fichier en le mettant sous CHMOD 400 (Lecture pour le propriétaire), ceci interdira sa lecture par le public en cas de problème PHP.

#5 – Modifiez le préfixe des tables WP

Le préfixe wp_ est proposé au début de l’installation WordPress, il est préférable de le modifier en n’importe quel autre préfixe.

#6 – Sauvegardez régulièrement votre site ou blog WordPress

Pensez à effectuer une sauvegarde régulière de votre site web, WP est livré avec un outil d’exportation qui sauvegarde tout votre site en un seul fichier XML. Il est disponible sur le menu Outils > Exporter. Cette opération sauvegarde les articles, pages, commentaires, champs personnalisés, termes, menus et contenus personnalisés.

Vous pouvez également effectuer la sauvegarde entière ou partielle de votre site web, en utilisant la fonction de sauvegarde de cPanel offerte à nos clients sur tous nos packs d’hébergement.

Une solution payante de sauvegarde spécial WP VaultPress est aussi disponible, créée par Automattic (la société éditrice de WordPress).

#7 – Augmentez votre sécurité avec des plugins spécialisés

• Login LockDown est un plugin qui vous protège contre des attaques de type Brut Force en faisant diminuer le nombre d’essai de login/password sur votre page de connexion.
• Secure WordPress est un plugin complet qui permet d’activer des fonctions spéciales pour sécuriser au maximum votre blog ou site sous WP.
• WP Security Scan vous permets de tester la vulnérabilité de votre installation WordPress et vous suggère des corrections à effectuer.

#8 – N’utilisez que les plugins téléchargeables sur le site officiel WordPress

Des milliers de plugins sont disponibles pour WordPress, cependant, gardez la bonne habitude les choisir et les télécharger à partir du Plugin Directory officiel de WordPress, ou bien à partir de votre tableau de bord au menu Plugin > Ajouter.

Le design site web est simple inspiré des couleurs et d’une maquette réalisée au sein de l’école, ADK Media s’est chargée de réaliser le thème graphique du site sous WordPress, la création de la page et compte twitter de l’école et leur ajout sur le site.

• Site web de l’école : http://www.ecole-design.com
• Page officielle sur Facebook : http://www.facebook.com/pages/esdav/218575434825178
• Compte twitter : http://www.twitter.com/ecoledesign

Attention, plusieurs paramètres des tables de la DB ont changé, peut être ne faut-il pas s’aventurer prématurément à remplacer les anciens fichiers de wordpress par les nouveaux, attendons un manuel ou utilitaire d’upgrade officiel.

A première vue, on découvre la simplicité de l’interface, pas beaucoup de boutons ni de menus, le tableau de bord revisité devient plus convivial, tout a été centralisé et minimisé sur quelques liens en haut, et quelques boîtes en bas qui contiennent les derniers commentaires et liens, plus les actus de WP. En haut en retrouve des liens vers la doc en français (toujours utile même si incomplète) et le forum d’entraide français. On s’y retrouve facilement avec un sommaire des articles publiés ou en attente et l’on peut même y ajouter des fils RSS ou éditer la façon avec laquelle la page est représentée.

La navigation sur deux niveaux permet aux utilisateurs un confort inégalé alors que les versions précédentes présentaient une prise en main moins évidente. Notons les couleurs légères et conviviales à la mode 2.0

Pour écrire

Très joli espace d’écriture et d’édition des billets, les menus ont été redessinés, un léger changement du menu droit qui va en bas du formulaire d’édition, un formulaire revu (selon les dires des développeurs de WP) et s’est fait un lifting avec les outils d’insertion média (image, audio, vidéo), une des grandes fonctions manquantes de wordpress a été amélioré, la gestion des images où maintenant il est possible de régler la taille des images en miniature ou moyennes via le panneau de réglages; Un mode plein écran a été ajouté au formulaire d’écriture pour un grand confort d’utilisation, aussi le formulaire se dote d’un gestionnaire de tags amélioré (avec complétion de texte SVP).
Le menu “écrire” reçois désormais la gestion des liens et leurs catégories, le lien “blogoliste” se voit supprimé de l’interface d’administration.
Ce panneau de vient “intelligent” dans la mesure où il garde la dernière “vue” des sous menus étendus ou dernièrement utilisés.

Pour gérer

Une bibliothèque de médias apparaît, et prends la place du menu “fichiers envoyés”, sinon le changement a touché juste le côté design de la chose.
Petite note : Si vous êtes sur le menu “écrire > articles” et vous cliquez sur “gérer” vous gérerez automatiquement les articles, et c’est valide pour les liens et pages.

Apparence

On déplore le “drug and drop” des widgets sur le menu de gestion de ces dernières, mais la gestion reste conviviale quand même avec l’apparition d’un nouveau widget “pages”.

Réglages et Extensions

Les plugins sont renommés “extensions”, et les réglages sont revus par quelques petites nouveautés: permaliens qui reçoivent une option des plus courantes “mois et titre” mieux que (date et titre).

N’hésitez pas à tester cette nouvelle version :

Téléchargement (français) : http://fr.wordpress.org/releases
Mailing list spéciale testeurs : http://lists.automattic.com/mailman/listinfo/wp-testers