Vous avez probablement lu ici même, ou entendu, les conseils qui vous indique de supprimer les plugin inutilisés ou indésirables de votre blog. Les plugin sont généralement en tête de liste lorsqu’il s’agit de faire le ménage. C’est probablement dû au fait que sur un site WordPress ‘normal’, vous n’utilisez généralement qu’un seul thème alors que les plugin se multiplient, parfois plusieurs dizaines.
Dans le lot, il y a bien entendu des plugin non utilisés, mais comme il est peu pratique de faire défiler la liste des plugin installés et de résoudre les conflits, la plupart du temps, les blogueurs ne se soucient guère des plugin périmés ou inutilisés, qui peuvent ainsi devenir un problème de sécurité lorsqu’ils ne sont pas mises à jour.
Nettoyez le répertoire de thèmes de votre blog!
Mais qu’en est-il des thèmes? Le nettoyage du répertoire de thèmes WordPress est tout aussi important que faire le ménage dans les plugin. Le pack d’installation standard de WordPress est livré avec trois thèmes pré-installé par défaut: Twenty Fourteen, Twenty Thirteen, et Twenty Twelve. Il est même possible que le thème Twenty Eleven soit toujours sur votre site, de même que tous les thèmes que vous avez testé.
Il y a de fortes chances que vous n’avez pas besoin de tout cela. Tous les thèmes inutilisés n’ont pas leur place dans le répertoire, à une exception près, et elle est importante, un thème par défaut en cas de problème. Vous pouvez toujours réinstaller un thème, plus tard, si vous décidez que vous en avez besoin.
Essayer toutes sortes de thèmes et les laisser dans le répertoire est quelque peu identique au fait de laisser traîner vos vêtements sur le sol, au lieu de les mettre dans le panier à linge. Quand il s’agit de WordPress, cette pratique négligente peut avoir de graves conséquences.
Les thèmes peuvent être un point d’accès pour les pirates
Compte tenu que WordPress alimente plus de vingt pour cent des sites Internet, les sites WordPress sont devenus la cible de choix pour les pirates et les spammeurs. Si votre site n’est pas sécurisé, les pirates peuvent utiliser vos thèmes comme points d’entrée. Ils ont étudié WordPress et savent comment tirer parti de tous ses défauts pour attaquer votre site, votre serveur et ses ressources.
Les pirates peuvent insérer des fichiers malveillants ou modifier votre thème pour essayer de détourner votre site. Parfois, à l’aide de scripts vulnérables, comme ce fut le cas avec le plugin timthumb.php en 2011, ce qui représente un risque grave pour la sécurité de millions de sites WordPress qui utilisent des thèmes dans lesquels ce script est fourni.
Une fois un piratage réussi, vous passerez un temps considérable à essayer de décrypter ce qui a été fait et de convaincre votre hébergeur de remettre votre site en ligne.
C’est l’heure du ménage!
Les anciennes versions des thèmes et des plugin WordPress, sont la cause la plus fréquente de piratage des sites WordPress. À tout le moins, vous aurez envie de garder le vôtre à jour. Activer les mises à jour automatiques est un excellent moyen de conserver votre site à jour, en particulier pour les sites que vous possédez mais visitez rarement.
Voici une liste de ce que vous devez faire, dès maintenant, pour nettoyer votre répertoire de thèmes WordPress:
- Retirez tous les thèmes WordPress non utilisés (à l’exception d’un thème de secours, en cas de problème majeur)
- Mettez à jour tous les thèmes que vous conservez
- Assurez-vous que les permissions d’accès au dossier ‘wp-content‘ et au répertoires de thèmes sont à 0755
- Activez les mises à jour automatiques
Cette liste couvrent l’essentiel, mais des mesures plus avancées peuvent être mises en place si vous désirez explorer des options de sécurité supplémentaires. Pour plus d’informations sur la façon de mieux sécuriser WordPress contre les intrusions, consultez le codex et ses ressources.
Comment activer les mises à jour automatiques ?
Nous allons faire simple.Vous avez en gros trois options pour les mises à jour de base de WordPress:
1. Mettre à jour le noyau pour les versions mineures (par défaut):
Si vous utilisez WordPress 4.0, il n’y a rien à faire pour activer cette option. Les mises à jour de sécurité et les versions mineures seront installées automatiquement. Voici à quoi cela ressemble dans ‘wp-config.php‘:
define ('WP_AUTO_UPDATE_CORE »,« mineur »);
2. Désactivez toutes les mises à jour essentielles:
Si vous savez garder votre site à jour pour les versions mineures et les mises à jour de sécurité, voici comment désactiver l’automatisme. Ajoutez ces lignes à votre fichier ‘wp-config.php‘:
define ('WP_AUTO_UPDATE_CORE', false);
Cependant, je vous encourage à ne pas le faire pour éviter tout risque que cela entraînerait si vous veniez à ne pas faire les mises à jour essentielles.
3. Obtenez toutes les mises à jour (Majeures, mineures et version développeurs)
Cette option est plutôt du genre casse cou, que vous serez susceptibles d’activer sur un blog personnel, mais surtout pas sur un blog d’entreprise. Si vous activez cette option dans ‘wp-config.php‘, votre blog sera automatiquement mis à jour pour chaque nouvelle version que WordPress mettra en ligne:
define ('WP_AUTO_UPDATE_CORE', true);
Si vous vous demandez quelle option choisir, le mieux est de laisser l’option par défaut. WordPress déconseille fortement de désactiver les mises à jour automatiques de sécurité. Ces mises à jour ont été testées et sont tout à fait sûres.
Conclusion
Aussi bizarre que cela a pu paraître en début d’article, vous avez pu constater que nettoyer le répertoire de thèmes n’est pas une lubie, mais une véritable nécessité. Trop de blogs se font pirater pour ne pas avoir mis en place les mesures de sécurité recommandées. Ne faites pas parti du lot et pensez à nettoyer dès aujourd’hui le répertoire de thèmes de votre blog WordPress.
Cet article vous a été utile? Partagez le, Merci!
Publié à l'origine le : 19 novembre 2014 @ 11 h 25 min
