Il y a deux moments où on prend la sécurité d’un site propulsé par WordPress au sérieux : lorsqu’on se réveille un beau matin et que ce dernier s’est fait hacker et lorsqu’on se réveille un matin et que le site web propulsé par WordPress d’un client/d’un proche s’est fait hacker .
Pour éviter de vous retrouver dans ces 2 cas de figure, voici 4 petits trucs que j’utilise pour protéger mes sites web propulsés par WordPress.

1. Installer et activer Clef. 

Clef est un module qui vous permet d’avoir un moyen de vous connecter à votre site web propulsé par WordPress d’une manière un peu futuriste : sans utiliser un mot de passe.
Si c’est possible …  le principe du service – gratuit, il faut le préciser – est de vous faire scanner une sorte de code barre animé – avec l’app mobile dédiée . Une fois les deux motifs/code barres synchronisés, le serveur de clef envoie une commande de login à votre site wordpress, qui chargera ensuite la page d’accueil du tableau de bord. Il va sans dire que l’app mobile est sécurisée par un code PIN que vous choisissez après son installation.
Futuriste, je vous avait dit . Clef vous permettra donc de vous passer d’un mot de passe, en plus de vous permettre d’impressionner vos petits copains développeurs

Cliquez ici pour ouvrir un compte (gratuit) sur Clef

2. Installer Wordfence Security

Wordfence – que j’ai découvert l’année passée – est, à mon avis, le moyen le plus sûr et le plus facile de sécuriser son site . C’est un sorte de gardien de WordPress, qui vous alertera à la moindre opération suspecte ( tentatives de login répétées (e.g bruteforce) , tentatives d’attaques, etc.). Qui plus est, Wordfence Security scanne votre site pour trouver les vulnérabilités et malwares qui y sont présents, le tout gratuitement : il n’y a donc aucune raison de ne pas l’installer.

Pour l’installation, c’est par ici que ça se passe 

3. Permissions de wp-config en 600

NB : Si ce que je viens d’écrire est trop technique pour vous, vous devriez peut être engager un spécialiste.

5. Créer un fichier robots.txt approprié

Et y ajouter
User-agent: *
Disallow: /wp-admin/
Disallow: /wp-includes/

Voila…tout en sachant que le risque zéro n’existe pas, les étapes mentionnées ci dessus devraient vous permettre de dormir un peu plus tranquille, car convaincu que votre site a moins de chance de se faire pirater que la moyenne des sites web propulsés par WordPress.

Jean Luc Houedanou