Communautés iWeb: Blog

Étant une compagnie d’hébergement web, ou tout simplement étant une compagnie web, iWeb a une longue expérience avec Wordpress. Nous avons des milliers d’installations Wordpress sur notre plateforme d’hébergement mutualisée et de serveurs dédiés. iWeb a aussi adopté très tôt Wordpress, au début pour publier des mises à jour des infrastructures, et aussi des nouvelles importantes de la compagnie. Nous avons aussi commandité WordCamp Montreal récemment. C’est sans aucun doute une des meilleures plateformes de publication sur le marché, avec son modèle de développement de logiciel libre, son système puissant de plug-ins et de thèmes, et aussi une communauté large et dynamique d’utilisateurs et de développeurs.

Une des conséquences directes de la popularité du logiciel est que Wordpress devient la cible constante d’attaques et tentatives de piratage. Il y a le problème du spam dans les commentaires, mais aussi les scripts et les pirates qui essayent de prendre le contrôle de votre site web. Par exemple, nous avons eu un problème de sécurité avec Wordpress et le blog iWeb en début de semaine, avec un pirate qui a réussi à s’identifier dans l’interface d’administration. Heureusement, le problème a été reglé rapidement, et nous avons introduit de nouvelles mesures qui empêcheront une tentative similaire, avec des mesures techniques, mais aussi des politiques TI de sécurité.

C’est facile de ne pas s’occuper de la sécurité d’un blogue, et l’incident ci-dessus est un bon exemple pourquoi chaque blogeur Wordpress devrait passer du temps sur le problème. Par exemple, Wordpress a publié une mise à jour de leur plateforme la semaine passée. La version 2.8.4 règle une vulnérabilité où un pirate pourrait avoir accès à l’interface d’administration d’un blogue Wordpress. Si vous n’avez pas fait la mise à jour, faites-le maintenant. Voici d’autres outils qui pourront vous aider:

• Le codex Wordpress  a un article complet sur comment sécuriser votre installation Wordpress
• Le plugin Wordpress Security Scan vous permet de trouver des failles de sécurité sur votre site, vérifier les mots de passe, les permissions fichiers, sécuriser la base de données. Le plugin cache aussi la version Wordpress et sécurise la zone d’administration.
• Le plugin login lockdown vous permet de contrôler les tentatives de connexion. Il règle par exemple le cas de scripts ou de robots qui font des attaques utilisant des dictionnaires.
• Le plugin Wordpress login logger vous permet d’enregistrer les tentatives de connexion, et permet donc de retracer les attaques.
• WP DB Backup est un plugin qui fait une copie de votre base de données wordpress. Utile dans le cas où un pirate aurait eu accès à votre worpdress et aurait publié ou supprimé des articles existants.

Il y aussi des tactiques efficaces comme ne pas autoriser l’accès à wp-admin, sauf provenant d’adresses IP sélectionnées. Les usagers ou les scripts avec une adresse inconnue auront alors une réponse 403.

Bien sûr, le minimum que vous pouvez faire est de mettre à jour à la version la plus récente, spécialement si c’est une version qui règle un problème de sécurité, comme c’est le cas de la 2.8.4.