Sécuriser son site WordPress

Les membres de mon équipe sont des grands fans de WordPress à commencer par moi-même qui ai choisi de réaliser des sites web sous cette plate-forme depuis 2008, à l’origine pour un site sur les jeux olympiques de Beijing. Depuis des dizaines et des dizaines de projets ont été réalisés pour des petits clients comme des grands comptes, avec du développement de modules sur mesure ou du paiement sécurisé.

En tant que CMS avec un code source à disposition du grand public, WordPress présente de nombreuses failles de sécurité.  La plus connue consistant à hacker le compte admin en trouvant le bon mot de passe. Cela est possible pour trois raisons :

1.  le login standard de WordPress est « Admin », en connaissant cet accès login, il ne reste plus qu’à « seulement » découvrir le mot de passe, le boulot est déjà à moitie fait.
2. les mots de passe sont souvent assez simple à trouver car présent dans le dictionnaire ou juste une date
3. les tentatives d’accès au compte sont illimités par défaut,  donc rien n’empêche de faire 1000 tentatives jusqu’à trouver le bon mot de passe.

La solution pour sécuriser son site WordPress à 99% est donc très simple :

1. supprimer le compte « Admin » et mettre un identifiant assez compliqué de type « m0NidenT1fiAnt »
2. arrêter de mettre votre date de naissance ou le nom de votre femme en mot de passe, optez pour quelque chose qui mélange lettres, chiffres, majuscules, symboles.
3. installer un plugin qui limite les tentatives d’accès au site, comme http://wordpress.org/extend/plugins/limit-login-attempts/ (attention de ne pas vous bloquer vous-même).

Cela ne vous prendra pas longtemps mais vous évitera bien des désagréments sur WordPress!