Il est important de savoir que un site WordPress, une fois référencé sur Google, va fort probablement être régulièrement la cible d’attaque, quel que soit l’importance du site.
Non pas car ce site aurait un intérêt quelconque pour les hackers, ni pour le planter ou le pourrir. Mais pour pouvoir, parfois pénétrer dans le serveur par son biais, et sinon y implanter de façon discrète des applications cachées (mineur de bitcoin, spammer, etc), ou des vers qui vont interagir secrètement avec le visiteur.
Tout site est donc à risque, un bon développeur WordPress le saura, mais les clients l’imaginent rarement.
Ici nous avons donc comme politique de protéger tous les sites que nous produisons, quel qu’il soit.
Et nous implémentons au minimum certains solutions opensources, puissantes, et quand le budget le permet, des versions Premium en plus.
Pour commencer, il est bon de lire ceci
https://updraftplus.com/protecting-wordpress-admin-area/
Ensuite voici une liste des extensions WordPress que nous cumulons le plus souvent, et qui ne conflictent pas.
Nous ne détaillerons pas ici les réglages que nous recommandons pour chacun, ça serait trop long. Et les réglages par défaut pour chacun, ou via un « wizard », sont déjà beaucoup mieux que de ne rien avoir.
SECURISATION GLOBALE
Chaque extension ci-dessous à une version gratuite disponible sur wordpress.org
- WORDFENCE – https://www.wordfence.com/
- SUCURI – https://sucuri.net/
- DEFENDER – https://wpmudev.com/project/wp-defender/
Ainsi que des extensions pour la Sauvegarde automatique de votre site.
Et nous recommandons, après de mutiples tests sur des années, celui ci
- UPDRAFT PLUS PRO – https://updraftplus.com/
SSO
Pour ce qui est , pour les plus gros sites avec de grosses structures utilisant du Single Sign On (SSO)
Il existe diverses extensions, notamment avec du SAML mais aussi d’autres protocoles.
Il faut plutôt étudier la bonne solution, en fonction de la solution SSO existant chez le client.
Dans certains cas il est même préférable de développer soit-même un appel à l’API / Webservice de SSO, comme nous l’avons fait par exemple pour une appli web pour Décathlon.
« BLOCKING LOGIN ATTEMPTS »
= Bloquer les tentatives de connexions intempestives à l’admin de wordpress.
C’est quelque part le plus important de tout.
Chacun des 3 extensions en amont peuvent participer à ceci.
Cependant pour plus de spécificité sur ce point précis, on peut aussi ajouter ceci, qui pousse un peu plus loin
- Limit Login Attempts Reloaded – https://www.limitloginattempts.com