Des plugins simples pour WordPress
Limiter les tentatives de connexion
Dans son installation par défaut, WordPress ne prend pas en compte certains aspects de sécurité essentiels. Cependant, il existe des moyens simples et rapides à mettre en place pour palier à ces problèmes. L'une des premières chose à faire est d’installer le plugin Limit Login Attempts. Il permet de limiter le nombre de tentatives de connexion à l’espace d’administration du site. Cela évite que des robots puissent forcer le mot de passe. Vous pourrez choisir le délais nécessaire pour débloquer l’adresse IP ayant dépassé les tentatives autorisées.
Protéger le site avec Apache
Vous pouvez ajoutez un .htaccess et un .htpasswd pour soumettre l’accès à l’administration à une authentification supplémentaire. Vous trouverez toute la procédure sur ce tutoriel du site du zéro.
Il faudra également ajouter au fichier .htaccess les lignes suivantes pour empêcher l’accès au fichier de configuration de WordPress contenant, entre autres, les accès à votre base de données.
<Files wp-config.php>
Order Allow,Deny Deny from All
</Files>
De plus, pour protéger le fichier de configuration via son API, WordPress a mis à notre disposition des clés de sécurité supplémentaires que vous pouvez générer avec un simple lien. Ensuite, vous avez simplement à ouvrir le fichier wp-config.php et y ajouter les phrases générées. Ces clés sont intégrées de manière automatique depuis la version 2.6 du CMS.
Changer l'accès à votre page de login
Grâce au plugin Hide Login, vous pouvez personnaliser les URLs d’accès aux pages d’administration du blog. Ce plugin ne rend pas votre blog invulnérable mais complexifie nettement la tâche des éventuelles personnes qui voudraient du mal à votre site.
Pour aller plus loin
Un excellent plugin gratuit nommé Secure WordPress permet de rendre votre blog encore plus invulnérable. Il rend les messages d’erreurs lors du login plus flou et ainsi éviter de donner des informations précieuses à la mauvaise personne. En effet, lors d’une mauvaise saisie (mot de passe ou login), WordPress indique clairement lequel des deux est en cause. De plus, le plugin permet également de rendre inaccessible certaines informations aux utilisateurs non administrateurs du blog, comme les mises à jour de thèmes, plugins, ou du cœur de WordPress disponibles ou encore la version utilisée du CMS. Vous trouverez toutes les informations complémentaires sur ce module sur le site du plugin.
Ces quelques règles appliquées rendront votre WordPress plus robuste en terme de sécurité, elles offrent des barrières supplémentaires pour décourager les personnes malveillantes qui en voudraient à votre blog.