[av_hr class=’invisible’ height=’50’ shadow=’no-shadow’ position=’center’ custom_border=’av-border-thin’ custom_width=’50px’ custom_border_color= » custom_margin_top=’30px’ custom_margin_bottom=’30px’ icon_select=’yes’ custom_icon_color= » icon=’ue808′ font=’entypo-fontello’]
[av_textblock size= » font_color= » color= »]
WordPress aime un peu de sécurité autour de lui et il a plusieurs extensions pour lui offrir cette sécurité. Aucune n’est essentielle mais WordPress les aime. D’après mes connaissances, vous devriez protéger votre site contre les commentaires bidons, les intrus et les pépins. Vous devriez en plus faire des sauvegardes de votre site, vos extensions, votre thème, vos images et votre base de données SQL . WordPress par lui-même est une plate-forme sécuritaire mais seulement si vous la garder en bonne santé. Dans cet article, je partage mes notes sur 4 extensions préférées pour la sécurité de WordPress: Akismet, WordPress Database Backup, WP Security Scan et Limit Login Attempts.
1. Akismet
Je pense qu’Akismet est l’extension la plus ancienne chez WordPress. Elle a été créée par son fondateur, Matt Mullenweg, en 2005, pour filtrer les commentaires bidons de WordPress. Elle est installée par défaut dans toutes les installations WordPress et je l’active pour tous les sites WordPress que je fais. Akismet est un « must » pour tous les sites WordPress. Elle reconnaît les commentaires bidons et vous donne l’occasion de les filtrer. J’aime ça.
2. WordPress Database Backup (WP-DB-Backup)
Vous installez WordPress Database Backup puisque vous voulez faire des sauvegardes régulières de votre base de données SQL. Un site WordPress est construit essentiellement de 2 éléments importants:
- Une installation WordPress comprenant 900 fichiers installés sur votre serveur. Ces fichiers comprennent, entre autres, votre Tableau de Bord WordPress, votre thème et vos extensions.
- Une base de données SQL dans laquelle WordPress entrepose vos données. Ces données comprennent, entre autres, vos articles, pages, articles, commentaires, catégories, mots-clés et blogoliste. Votre SQL ne comprend pas vos images ni votre thème.
WordPress Database Backup fait une sauvegarde de votre base de données SQL. Elle entrepose ce fichier sur votre serveur, votre ordi ou vous l’envoie par courriel. N’est-ce pas extraordinaire?
3. Acunetix WP Security
Acunetix WP Security (autrefois WP Security Scan) est une extension qui garde un oeil sur votre site WordPress. Elle signale des pépins et vous donne des conseils sur comment améliorer votre site. Je trouve ça formidable. Voici ce qu’elle me dit par rapport à ce site:
4. Limit Login Attempts
Limit Login Attempts est une petite extension que l’on ajoute à notre site WordPress pour prévenir le piratage (hacking) de votre site en entrant par /wp-login.php. Elle s’installe facilement et bloque automatiquement toute personne (incluant vous) qui tente de se connecter à votre site sans succès. Voici les options:
Liens utiles
Akismet at WordPress.org
Akismet developer website: Matt Mullenweg
WP Security Scan at WordPress.org
Security Scan developer website: Michael Torbert
WordPress Database Backup at WordPress.org
WP Database Backup developer website: Austin Matzko
[/av_textblock]
Il y a également le plugin « WP-Secure Remove WordPress Version », qui permet de supprimer le meta-tag relatif à la version de WordPress utilisée, évitant ainsi de probables « bug exploits ».
Le plugin est disponible à cette adresse : http://wordpress.org/extend/plugins/wp-secure-remove-wordpress-version/
Très bonne suggestion iDorian. Merci!
This is a great list of things to do to secure your WordPress site…
I recently had some security problems with my WordPress sites, and ended up doing a lot of research into securing WordPress sites…
I have now written up my experiences in a WordPress Security Checklist which can be downloaded for free on http://www.wpsecuritychecklist.com.
My checklist has a few more items and detailed steps for how to get the job done.
Hopefully the checklist can help other people securing their WordPress sites…
J’utilisais ce plugin auparavant, mais je trouve dommage d’empêcher les lecteurs « honnêtes » de pouvoir citer un passage de ses articles.
Pour ma part, c’est un peu une épée à double tranchant :s !
Bonjour MarieBo, Je penche du côté de iDorian – ça me flatte quand les internautes copient mes billets sur leurs sites. Jusqu’à date, plusieurs de mes articles se retrouvent sur d’autres sites mais toujours avec un lien vers mon site. Ça me flatte. Selon moi, Google aime ça (liens entrants) et je vois le geste comme un élément de partage avancé.
Je suis complètement d’accord avec toi que de copier un article sans mentionner la source est un vol pur et simple. J’espère ne pas rencontrer cette situation puisque ça doit être comme tu dis – lonnnggg et frustrant. Merci beaucoup de partager tes expériences.
@ MarieBo Solutions: aujourd’hui tu dois être à l’abri des copies, Avast bloque ton site pour une histoire de cheval de troie.
bonjour,
je suis vos recommandations, merci encore. Mon site est sur wordpress 3.0 et je cherche sans succès une solution pour intégrer un « glossaire » ou un wiki dans le site. De même j’ai installé bbpress our un forum mais je n’arrive pas à l’intégrer..quelqu’un a t-il une idée ?! j’ai mis un bouton « feedback » en première page, c’est une extension « uservoice ». merci, a+
Bonjour Diane,
D’abord merci infiniment pour votre site qui est bien fait, très complet et vraiment utile. J’ai appris beaucoup en le visitant et pu améliorer la qualité de mon Blog.
J’ai une question concernant la sécurité. Il est recommandé partout de ne pas utiliser « admin » (qui est celui par défaut) comme « Identifiant », mais je constate que ce compte ne peut pas être effacé. Ou du moins je n’ai pas trouvé comment.
Avez vous un conseil à me donner à ce sujet. Merci par avance.
@Corinne – j’ai écrit un article à ce sujet = Comment supprimer l’utilisateur admin dans WordPress https://dianebourque.com/2009/08/20/comment-supprimer-lutilisateur-admin-dans-wordpress/
@Philippe – je trouve ma solution plus facile. Qu’en penses-tu? Les clients ne connaissent pas phpMyAdmin et j’en connais aucun qui a les connaissances avancées pour s’aventurer là-dedans!
J’ai une autre petite question qui n’a rien à voir avec le sécurité mais que je me pose depuis longtemps.
Comment fait on pour pouvoir rajouter sa photo, pour qu’elle apparaisse dans les commentaires qu’on écrit sur WordPress. Merci encore.
Pour la photo il faut s’inscrire sur http://fr.gravatar.com/ et à chaque que tu utilises l’adresse email d’inscription tu es reconnu, et pour l’admin il faut passer par la base de données (à partir de la version 3, il est possible de choisir son pseudo)
Merci beaucoup pour ta réponse à mes deux questions. Très sympa de ta part !
As tu moyen de détailler un peu « pour l’admin il faut passer par la base de données…).
Eh bien d’habitude il faut passer par phpmyadmin, allez dans la table: wp_users et modifier le user_login et le user_nicename (enfin si mes souvenirs sont bons)
Tel que mentionné plus haut – je trouve qu’il est beaucoup plus facile de suivre la procédure mentionnée dans mon article Comment supprimer l’utilisateur admin dans WordPress https://dianebourque.com/2009/08/20/comment-supprimer-lutilisateur-admin-dans-wordpress/ Je ne conseille pas aux clients d’aller dans phpMyAdmin à moins d’avoir des connaissances PHP très avancées. Mais ta solution donnerait aussi un bon résultat.
Merci beaucoup à vous deux pour vos précieux conseils.
J’ai suivi ta procédure et cela fonctionne parfaitement, merci. Mais pour passer tous les posts a
@Diane. Plus simple ta procédure.
En fait je dirais que le passage par phpmyadmin était a effectuer par le webmaster qui participait à la création du site, il est effectivement préférable de ne pas laisser le client se promener dans la base de données.
C’est à toi que l’on doit toute cette neige en France?
Merci beaucoup pour ton aide.
J’ai suivi ta procédure et cela fonctionne parfaitement, merci. Mais pour passer tous les posts au nouveau administrateur. Il y a encore plus rapide, il suffit d’aller effacer le compte directement et au moment de l’effacer, il nous demande si on veut soit :
. Supprimer tous les articles et les liens.
. attribuer tous les articles et les liens à…
Il suffit de sélectionner le nouveau nom dans la liste proposée.
Certains des plug-ins suggérés ont plus de 2 ans et WP mentionne alors « This plugin hasn’t been updated in over 2 years. It may no longer be maintained or supported and may have compatibility issues when used with more recent versions of WordPress. ».
Si j’ai la dernière version de WP (3.5.1), pensez-vous qu’il soit avisé de les installer quand même? Il s’agit de WP-DB-Backup, Login LockDown et WP-Secure Remove WordPress Version.
Merci!
Bonjour
Pour sécuriser facilement et efficacement les sites web de mes clients j utilise l extension Wp better security….
Salut,
La sécurité de son blog WordPress est vraiment essentielle. Ce n’est pas marrant de perdre tous ses articles, etc, lorsqu’on y a travaillé pendant tellement de temps !
D’excellentes extensions !
Au plaisir de te lire et à bientôt,
Hugo.
Un exemple récent vaut mieux qu’une poignée d’arguments. En effet, que vous soyez sous Windows, OS X, GNU/Linux et que vous utilisez cette machine virtuelle abominable qu’est Flash Player, votre ordinateur est potentiellement sous surveillance à votre insu. Autrement dit, il ne vous appartient plus puisque l’attaquant dispose d’un contrôle total de celui-ci. Il peut par exemple télécharger tous vos documents, relevés bancaires, etc sans que vous le sachiez et même héberger du contenu illicite sur votre ordinateur. Vous comprenez alors pourquoi il vaut mieux éviter de laisser activés en permanence ses plugins tels que Flash, Java et compagnies si vous ne voulez pas vous faire pirater par le premier venu.
La sécurité d’un blog WordPress m’intéresse beaucoup en ce moment car je viens de créer le mien grâce à l’aide des vidéos sur http://www.alphorm.com/tutoriel/formation-en-ligne-wordpress-4-1. Je vais suivre ces conseils. Merci pour ce partage.