Comme toute application web, les blogs sous Wordpress sont régulièrement la cible de pirates (et le seront de plus en plus par également par des vers).

Qu'elle en est la raison ? Tout d'abord de nouveaux bugs ou de nouvelles failles sont régulièrement découvertes, et ainsi des mises à jours sont proposés pour corriger ces vulnérabilités.

Une autre raison est que Wordpress est l'une des plateforme de blog parmi les plus répandues, ce qui offre un très grand "terrain de jeux" pour les hackers. Ainsi, dès la sortie d'une nouvelle vulnérabilité, ces vilains petits hackers (en culotte courte...) essaierons d'identifier des blogs vulnérables et dont les malheureux webmasters n'auront pas encore eu le temps de faire les mises à jour, ou n'auront simplement pas été informés de la disponibilité d'une mise à jour !

J'espère que vous aurez compris l'importance d'être au courant de ces mises à jours (et suffisamment tôt) pour éviter qu'un petit malin vienne exploiter une faille sur votre précieux blog... Je vous propose donc la trousse à outil indispensable pour protéger votre précieux blog:

[Suite:]

1) Etre alerté et installer régulièrement les mises à jours:

Une extension vérifie votre version de Wordpress et vous averti en cas de disponiblité d'une mise à jour !

Son principe est très simple puisqu'en cas de présence d'une mise à jour, ce plugin vous alerte par un message clairement visible en haut de chaque page de l'interface d'administration. Un message clignote en rouge en haut de l'interface d'administration: "Wordpress version is out of date, please upgrade": simple et très efficace !

Il existe une solution encore plus radicale: un plugin qui fait tout le travail lui-même:

Il s'agit du plugin Wordpress Instant Upgrade:

Il télécharge la dernière version directement sur les serveurs de WordPress, dézippe le fichier obtenu sur votre serveur. Ensuite il détruit tous vos anciens fichiers WordPress (sauf ceux contenus dans wp-content/ et wp-config.php et il conserve aussi les pack de langue) et place les nouveaux fichier dans votre répertoire WordPress. A la fin, il lance les scripts de mise à jour contenu dans la nouvelle version.

Bon, j'ai toujours un peu peur des désastres que ce genre de scripts entièrement automatisé peut faire en cas d'erreur...donc prévoyez toujours une sauvegarde avant de l'utiliser !

2) Sécuriser son installation, plugins et template compris:

Malheureusement, cela ne suffit pas toujours car un grand nombre de plugins (ou extensions) sont généralement utilisées et ajoute généralement des risques supplémentaire qu'il est nécessaire de vérifier.

Même un template peut comporter des risques !

Un outil en ligne permet maintenant de faire un contrôle de l'ensemble de ces risques.

Il s'agit de WordPress Scanner. Son utilisation est ultra simplet et gratuite (pour le moment en tout cas): Il suffit d'indiquer l'adresse de son blog et de lancer le script qui va alors vous fournir un rapport détaillé de ce qu'il a pu trouver.

Attention, aucune garantie n'est donnée...mais au moins vous serez informé si votre blog comporte des failles connues !

3) Etre informé des dernières vulnérabilités publiées:

Enfin, last but not least, il est important de suivre l'actualité des vulnérabilités de votre Wordpress adoré ! En effet, régulièrement de nouvelles failles sont découverte et annoncées officiellement. Autant que vous soyez informé au moins en même temps que les pirates.

Vous pourrez suivre cette actualité sur WordPress BlogWatch.

4) Faire des backups (sauvegardes) régulièrement de son blog:

Faire des copies de sauvegarde est indispensable, non seulement pour la base de données, mais également pour les fichiers que vous héberger (fichiers de configuration de votre blog, images et autres documents ou contenus multimédias).

Deux plugins vous permettent de sauvegarder votre base de données:

• WP-DBManager qui permet un certain nombre d'opérations sur votre base de données
• WP-DB-Backup qui est dédié aux sauvegardes et permet de recevoir le backup directement par email.

Un petit tutoriel est disponible en français ici.

Pour vos images, une autre solution peut être d'externaliser leur hébergement. Ainsi il est possible de mettre toutes vos images sur un service comme FlickR, Picasa ou ImageShack ce évite de les perdre en cas de destruction de vos fichiers par votre hébergeur de blog. Par contre, le risque subsiste sur le service tierce (FlickR, Picasa ou ImageShack) et il convient alors de faire un backup de vos données sur ces services.

Certains plugins Wordpress vous permettent d'envoyer vos images directement sur ces services tierces, comme c'est le cas pour le plugin ImageShack Uploader.

5) Utiliser des connexions sécurisées SSL pour adminsitrer votre blog:

Un plugin vous permet de forcer l'utilisation d'une connexion sécurisée pour l'authentification (wp-login.php) et l'administration (/wp-admin/), mais également de chiffrer le contenu des cookies.

Il s'agit du plugin Admin-SSL.

Ce plugin nécessite un minimum de connaissances techniques, mais je vous le conseille dans la mesure du possible.

Voilà, j'espère que cet article vous apportera un peu de support si vous souhaiter sécuriser votre blog. Si vous avez des infos complémentaires, n'hésitez pas à les proposer en commentaires.

Rappelez-vous que dans tous les cas, c'est toujours le bon sens et la prudence qui priment avant toute solution technique !