Attaque site WordPress : comme tous les créateurs, je suis très énervée quand je constate le matin dans mon tableau de bord que des personnes mal attentionnées ont visité un des sites que j’administre, juste pour le plaisir de le « pourrir » ou même le mettre HS, gratuitement. Non seulement, cela me gâche ma matinée, mais l’éternelle question revient me chatouiller inlassablement : quel plaisir peut-on trouver à détruire de nombreuses heures de travail et la satisfaction du créateur ? Pour ma part, les attaques des sites sont du même ordre que brûler des livres ou des œuvres d’artiste : c’est un autodafé !
Attaque site WordPress : trouvez une parade aux visites non désirées
Et en matière de sécurité, c’est toujours la surenchère… Ainsi, même si le site tient le coup grâce aux protections de base, on a toujours le sentiment que c’est une histoire de temps. L’épée de Damoclès est au-dessus de notre tête. Or, avec les CMS dont WordPress (c’est la même chose pour Drupal ou Joomla), le problème est que ces visiteurs indésirables ont déjà le plan de l’arrière-boutique !
La semaine dernière, excédée, j’ai décidé de trouver une solution plus radicale et rapide (le temps, c’est de l’argent !). Après avoir relevé mes manches et passer plusieurs heures à fouiner sur le web, j’ai trouvé plusieurs articles à propos d’une extension payante, mais peu onéreuse, efficace (à confirmer dans le temps) et rapide : Hide My WP.
Commercialisé sur Codecanyon.net au prix de 23 $ (soit environ entre 16,5 € et 17 €, selon le taux de conversion actuel), ce plugin fait la promesse de protéger votre site WordPress contre les « dernières attaques massives sur les installations WordPress » et les futures prophétisées par Zack Whittaker dans son article relatif à l’attaque Botnet contre les blogs WordPress.
Hide My WP : présentation générale
Ce plugin n’est plus distribué par codecanyon, mais par son éditeur à l’adresse http://wpwave.com/
Selon l’auteur et Codecanyon, Hide My WP assure une protection efficace contre 90 % des attaques par injection SQL et XSS causés par l’accès direct aux fichiers PHP. Ainsi, toujours selon les mêmes références, il n’est plus nécessaire de s’inquiéter de la qualité des plugins installés en matière de sécurité…
Une chose est sûre, c’est que Hide My WP modifie les adresses de vos fichiers sensibles et rend non identifiable le CMS (WordPress) d’administration. Et ça, c’est déjà grandiose, car votre « arrière-boutique » n’étant pas identifiée, tout visiteur mal intentionné devra perdre pas mal de temps pour trouver le bout du fil d’Ariane…
A noter que la documentation est en anglais et simpliste, et que la configuration prend une bonne heure, entre le paramétrage et les tests. Certaines options peuvent être incompatibles avec votre thème, mais si votre template est de qualité, vous devriez avoir pas ou peu d’incompatibilités.
Pour aller plus loin
- Dossier HideMyWP : tous les articles pour configurer l’extension HMWP
- Extension similaire : Hide My WP Ghost – Security Plugin
Commentaires récents