4 plugins complémentaires pour sécuriser votre site WordPress

WordPress est un formidable outil, puissant, collaboratif, et largement reconnu pour sa fiabilité. Malheureusement, sa large utilisation en fait la cible privilégiée des pirates, qui cherchent sans cesse de nouvelles failles à exploiter. 

J’ai déjà traité du sujet dans plusieurs articles (Sécuriser son thème wordpress, simplement et rapidement !Plugin de sécurité, vraiment utile ?) mais de nouvelles solutions apparaissent. Nous allons ici nous concentrer sur des extensions complémentaires à des solutions plus complètes de sécurité, visant un domaine en particulier. 


1. Blackhole for Bad Bots

Cette extension est un peu la copie de certaines sécurités présentes sur les serveurs ou data centers. L’idée est d’ajouter de faux liens  sur votre site, avec des règles de type « nofollow » qui indiquent aux robots d’indexation de ne pas suivre un lien. Les « mauvais » robots qui chercheront à crawler votre site web à la recherche d’informations sensibles (mails, url de login, informations sur votre version de wordpress) vont volontairement transgresser ces règles et donc accéder au faux lien… et le piège se refermera sur eux pour bannir l’ip du robot. Malin n’est-ce pas ?

Le plugin dispose de quelques paramètres, dont des alertes en temps réel.

A découvrir ici

2. Block Bad Queries (BBQ)

BBQ a été développé par Jeff Star tout comme le plugin précédent. Vous pouvez d’ailleurs voir l’ensemble de son oeuvre sur son site. Il vous permet de bloquer les requête faites via l’url, les paramètres trop longs ou reconnus malveillants, notamment ceux écrits en base64.

Il est aussi entièrement personnalisable et vous pouvez facilement ajouter d’autres paramètres à bloquer. De plus, il agit comme un firewall en scannant votre traffic (seulement les requêtes à vrai dire) pour éventuellement détecter les mauvaises.

Ce plugin n’est pas indispensable car, en général, ce travail est réalisé par l’hébergeur qui dispose d’un « vrai » firewall, ou par des solutions de sécurité plus complètes qui jouent le même rôle. Mais cela peut s’avérer utile si vous ne disposez pas d’hébergeur dédié à WordPress, ou ne souhaitez pas de solution trop lourde.

A découvrir ici

 

3. Disable XML-RPC

Ce genre d’extension est apparu après la mise en place de l’API intégrée à WordPress, avec la mise à jours 3.5 qui l’active par défaut. Le problème est que cette API comportait initialement beaucoup de failles (corrigées par la suite) et on en découvre encore de nouvelles. L’API utilise le protocole XML-RPC qui permet donc d’accéder à votre site web pour en récupérer des informations et interagir avec. Si vous n’avez pas l’utilité d’un tel protocole (qui est aussi utilisé par certains CRM, ERP, etc.) il est très fortement recommandé de le désactiver. Cette extension vous permet de manière très simple de le faire.

A télécharger ici

 

4. Google Apps Login Premium

Google Apps Login Premium n’est pas une extension de sécurité à proprement parler, mais elle résout en bloc tous vos problèmes de sécurité liés à la connexion. Cette extension remplace partiellement ou totalement (selon les options) la connexion via le système classique de compte et vous permet de vous connecter via votre compte Google. Réellement pratique pour les entreprises, cela permet à n’importe quel utilisateur de votre domaine (par exemple mb@1min30.com) de se connecter d’un seul clic et, par la même occasion, si le compte n’existe pas, d’en créer un automatiquement.

La force de l’outil réside dans la connexion asynchrone avec Google. Si vous supprimez le compte Google, l’utilisateur ne pourra plus se connecter à votre site, et vous n’aurez qu’un endroit pour la gestion de vos utilisateurs.

A télécharger ici

 

La sécurité est un élément important de votre site, et doit être au coeur de vos préoccupations. Chaque entreprise ne peut pas dédier une personne pour gérer cela, mais avec quelques connaissances et grâce à certaines extensions et bonnes pratiques, vous pouvez déjà prendre les premières mesures de sécurité et bloquer une bonne partie des attaques, pour vous éviter bien des problèmes.

Bien entendu, ces extensions ne sont pas indispensables. Vous pouvez très bien réaliser cela directement dans le code de votre site, ce sera plus léger et plus adapté. Mais si vous n’avez ni le temps ni les ressources, installez donc ces extensions. Elles ne sont pas très lourdes et vous protègent contre des attaques moins « classiques ».


Si cet article vous a plu, nous vous invitons à découvrir notre agence wordpress et à télécharger notre livre blanc « Les 11 commandements d’un site internet qui convertit vos visiteurs en clients »

Mathieu Benhalima

Titulaire d’un Master de chef de projet multimédia, adepte de l’expérimentation, j’ai occupé diverses fonctions chez Schneider Electric et Indexel pendant mes années d’études en alternance : technicien du web, administrateur réseau, intégrateur. J’ai aujourd’hui trouvé ma voie : développeur web. Recruté en 2015 par 1min30, je suis le référent technique et le responsable qualité des sites produits par l’agence. J’anime maintenant une équipe de développeurs. Veilleur infatigable, je suis à l’affût de toutes les nouveautés et travaille en osmose avec les chefs de projet. Vous souhaitez un site performant ? Une infographie animée utilisant les dernières technologies ? Je serais ravi de partager avec vous vos objectifs et de mettre en place la meilleure solution. Contactez-moi et avançons ensemble, ensemble construisons le web de demain.