WordPress est la plateforme la plus hackée dans le monde…

Être à jour

Conseil évident, mais tellement souvent mis de coté… il faut mettre à jour le plus possible son installation (PHP, PHP-FPM etc.), son infrastructure (Nginx, Firewall etc.) mais surtout son WordPress ainsi que les Plugins utilisés, tout simplement car des exploits sont régulièrement publiés sur internet et accessibles aux attaquants.
Autre check simple à réaliser, désinstaller ou désactiver les plugins et thèmes inutilisés.

Scanner son site

Il existe des outils en ligne qui permettent de vérifier l’état de santé de notre installation WordPress.
Il existe par sitecheck.sucuri.net qui va vérifier si notre blog est blacklistée ou infectée et va nous prodiguer des conseils tels que ceux ci:

Protection
No website application firewall detected. Please install a cloud-based WAF to prevent website hacks and DDoS attacks.

Security Headers
Missing security header for XSS Protection.
Missing security header to prevent Content Type sniffing.
Missing Strict-Transport-Security security header.

Sécuriser l’accès

Des outils disponible via des Extensions WordPress nous permettent de sécuriser l’accès à la partie admin avec la mise en place de Captchas (pour limiter les attaques automatisés) ou de l’authentification à 2 facteurs.

• 2FA
• captcha

Liens sécurité

• guide complet de WordPress.org
• guide sucuri.net wordpress-security et les rapports annuels
• renforcer la sécurité de wordpress en 19 étapes