par

Problématiques de sécurité et solutions

Tout d’abord WordPress n’est pas plus vulnérable qu’un autre CMS mais il est beaucoup plus utilisés donc plus visé. Afin de se prémunir des risques les plus évidents il convient toutefois d’installer :

  • Une solution pour limiter le bruteforce sur le login (par exemple le module inclus dans jetpack) https://jetpack.com/support/security-features/
  • un htaccess dans le répertoire uploads pour éviter l’execution de code dans ce dossier généralement ouvert en écriture.
Options -Indexes
<Files *.php>
Deny from all
</Files>
  • Disposer d’une solution d’alerting et / ou de diagnostic sur les mises à jour disponibles type « wordfence, sucuri, secupress »
  • Ne pas avoir d’utilisateur admin ni de préfixe de table par défaut.
  • Adapter le wp-config.php pour empêcher les modifications de code via le back-office.
define( 'DISALLOW_FILE_EDIT', true );
define( 'DISALLOW_FILE_MODS', true );

le fichier wp-config.php peut largement être customizé pour toutes les installations de WordPress, pour bien le connaitre il est important de lire cet article : https://codex.wordpress.org/fr:Modifier_wp-config.php

Ecrire un Commentaire

Commenter