Vous êtes paranoïaque, vous avez l’impression que votre site est attaqué. C’est une possibilitée, mais comment éviter le pire.  Voici quelques point récolté ici ou là qui pourront vous sauver la mise.

Mettre sa version de wordpress à jour

Je sais c’est tout bête mais les mises à jour corrigent un ensemble de faille et de bug qui vous permettrons d’être plus à l’abris. De plus il suffit généralement de suivre les instructions fournies dans la documentation de leur site officiel.

Ne pas renseigner sur la version WordPress du blog

La plupart des thèmes sur le Net, contiennent une instruction qui renseigne sur la version de WordPress que vous utilisez. Pour la supprimer rien de plus simple :

  • Dans l’interface d’administration de votre blog, allez dans “Apparence“, puis “Editeur de thèmes“.

  • Choisissez le fichier « en tête » ou header.php” pour pouvoir l’éditer.
  • Cherchez l’instruction bloginfo(‘version’) et effacez la.

Pour info le Plugin « Secure WordPress« , propose, dans ces options de le faire de manière automatique.

 

Mettre un fichier “index.php” vide dans le répertoire des plugins

Cela a pour effet de masquer la liste des plugins que vous utilisez dans le répertoire « /wcontent/plugins« .

  • Ouvrez votre éditeur de texte favori, et créez un nouveau fichier vide.
  • Enregistrez-le sous le nom “index.html” ou « index.php« 
  • Chargez-le dans le dossier plugins de votre installation WordPress.

Option disponible dans le plugin secure WordPress.

Placer une copie du fichier “.htaccess” dans le dossier “wp-admin

On peut limiter l’accès au dossier wp-admin par adresse IP, pour éviter qu’une personne malintentionnée y accède.

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Bloquer les robots d’accèder aux répertoires “wp-admin” et “wp-includes

Il est possible de spécifier aux moteurs de recherche, de ne pas indexer les répertoires internes de votre blog. Pour cela, il faut éditer votre fichier robots.txt ou d’en créer un si vous ne l’avez pas encore fait.

  • Ouvrez le fichier “robots.txt”, et ajoute-y les lignes de codes suivantes :
# On spécifie que la règle est à appliquer à  tous les moteurs de recherche
User-agent: *

# On bloque l’accès aux répertoires et les fichiers qui y sont inclus
Disallow: /wp-admin/
Disallow: /wp-includes/

Le fichier « robots.txt » est placé à la racine du web

Faire des backups périodiquement

Comme il n’existe pas de sécurité parfaite, la meilleure façon de se protéger reste le backup périodique de votre base de données, et des fichiers de votre blog. Si vous ne souhaitez pas effectuer une sauvegarde manuelle de vos données, sachez qu’il existe pas mal de plugins sous WordPress pour automatiser cette tâche;

Je ne vous conseillerais pas de plugin en particulier car j’ai ma propore solution de sauvegarde. La plupart des gens utilise WordPress Database Backup.

Merci à chergaoui.com pour son tuto