Wordpress - Informations et recommandations

Vous trouverez ci-dessous des informations et recommandations concernant le CMS Wordpress.

Voici une liste non-exhaustive des modifications a apporter afin de sécuriser au minimum votre site Wordpress :

  • Mettre à jour le core, les plugins et les thèmes du site fonctionnant sous Wordpress.
  • Modifier le lien d'accès à l’administration (ex : http://votre_site/bo-securise/ au lieu de de http://votre_site/wp-admin/).
  • Modifier le numéro d'ID du compte administrateur par autre chose que le numéro 1.
  • Ne pas avoir d'utilisateur nommé admin
  • Limiter l'accès au fichier XMLRPC.PHP voir l'interdire lorsqu'il n'y a pas besoin d'accès externe ou de pingback.
  • Modifier les clés de sécurité (Salt et Sécurity Key par défaut de Wordpress).
  • Protéger contre le brute force les formulaires d'authentification.
  • Supprimer les numéros de version dans le code du thème et du core Wordpress.
  • Supprimer les messages d'erreur sur le formulaire de connexion à l'admistration.
  • Prévoir une mise à jour régulière des plugins et du core Wordpress au moins 2 fois par mois pour les plugins et régulièrement pour les mises à jour majeures du core de Wordpress (les mises à jour mineures s'effectuant automatiquement depuis la version 4.1 de Wordpress).

Certains plugins Wordpress existent pour vous aider à cela, comme par exemple les plugins Ithemes Security,Wordfence Security, Sucuri Security ou encore SecuPress qui englobent une grande majorité de ces recommandations.