Ne cachez pas que vous utilisez WordPress

De nombreux blogs, plugin et trucs et astuces vous suggèrent régulièrement de cacher le numéro de version de WordPress, ou de masquer totalement que vous utilisez WordPress. Ne le faites pas, c’est totalement inutile!

Proud tio use WordPress

Il y a des centaines, voir des milliers de façons de trouver que vous utilisez WordPress, mais aussi de trouver le numéro de version exacte, indépendamment des plugin ou trucs et astuces qui changent ou cachent le générateur de balises méta, le fichier readme.html, etc…

Et la sécurité?

La plupart des solutions qui servent à cacher « votre WordPress » ont tendance à être commercialisées, arguant la sécurité, surtout en voyant les attaque de botnet contre les sites WordPress, ou le piratage en général, de nombreux hackers recherchent des sites WordPress car ils savent qu’une grande majorité de ces sites ne sont pas sécurisés, thème, plugin ou fichiers principaux ne sont pas mis à jour.

La vérité, c’est que les attaquants ne se soucient pas vraiment quelle version de WordPress vous utilisez. En fait, ils ne se soucient pas du tout que vous utilisez WordPress! Comment?

Eh bien c’est facile, ils prennent votre domaine lancent aveuglément des requêtes POST vers un fichier appelé « wp-login.php », même si vous utilisez un site HTML pur. Le même principe s’applique aux vulnérabilités connues des thèmes et des plugin.

sécurité WordPress

Vérifiez les journaux d’accès de votre serveur web, il y a de fortes chances que vous trouviez des demandes pour timthumb.php même si aucun de vos thèmes ou plugin n’utilise cette bibliothèque.

Si vous voulez plus de détails pour protéger votre site, le Codex WordPress vous explique comment sécuriser votre site, avec les « moyens du bord ». Quoiqu’il en soit, aucune sécurité n’est jamais parfaite, et même si aujourd’hui votre site est impénétrables pour des attaquants, qu’en sera-t-il demain, avec de nouveaux outils et de nouvelles techniques?

Donc, au point de vue sécurité, l’ingrédient secret c’est d’utiliser un mot de passe fort, et de garder vos thèmes, plugin et le noyau WordPress à jour, tout le temps.

Des plugin tels que Google Authenticator et Limit Login Attempts peuvent vous apporter un peu de protection supplémentaire.

L’article 8 conseils pour créer un mot de passe sécurisé vous aidera à mieux choisir votre mot de passe.

Parfois, les gens essaient de cacher qu’ils utilisent WordPress parce qu’ils ont peur que certaines personnes s’en rendent compte et qu’elles pensent qu’ils ne sont pas « professionnels ».

WordPress

Eh bien WordPress est le système de gestion de contenu le plus professionnel, et la confiance de certaines des plus grandes entreprises du monde, le fait qu’il soit gratuit et open source, n’effraie plus personne.

Un autre point de vueLogo Porsche

Supposons que demain, vous alliez vous acheter une Porsche, allez-vous supprimer le logo Porsche avant de la montrer à vos amis? Non, évidemment pas, et même si vous le faisiez, il serait toujours évident que votre voiture est une Porsche, et il y aurait toujours des gens envieux qui souhaiteraient vous la subtiliser….

wp-porsche

Pour conclure, ne vous cachez pas d’utiliser WordPress. Utilisez un mot de passe fort, faites régulièrement les mises à jour, je ne le répéterai jamais assez, et soyez fier de faire partie de la communauté des utilisateurs de WordPress. Si vous avez acheté un plugin premium du style « Je suis le meilleur pour cacher WordPress », vous devriez demander un remboursement et acheter quelque chose d’utile à la place.

Publié à l'origine le : 22 janvier 2015 @ 15 h 13 min

Pour compléter votre lecture.