La sécurité est-elle un problème dans Wordpress?

De manière générale, toute plate-forme bien entretenue peut être utilisée pour créer un site Web avec une bonne sécurité. Il est à noter que vous ne construirez jamais de site Web entièrement sécurisé contre le piratage et le spam, quelle que soit la plate-forme que vous utilisez et quel que soit votre génie ou votre compétence. Les pirates informatiques évoluent plus vite que la sécurité d'un morceau de code spécifique visant à les empêcher d'entrer.

Le noyau de Wordpress lui-même est assez sûr avec une bonne sécurité. Le gros avantage est que le noyau est bien entretenu et mis à jour, de sorte que les risques de sécurité sont réduits au minimum. Le seul inconvénient est que ce noyau est toujours rendu compatible avec PHP 5.2. Quelque chose qui a été supprimé il y a des années. PHP 5.3 a été supprimé il y a presque un an.

Cela mis à part, la sécurité de la plate-forme que vous utilisez n'a pas d'importance, il s'agit du code personnalisé que vous allez utiliser. C'est un fait, il y a des milliers de thèmes écrits et de plugins vraiment médiocres que je ne voudrais même pas installer sur mon installation de test locale. Je pourrais être piraté hors ligne via ces plugins et thèmes, hahaha ;-). Pour revenir à la gravité, vous devez vous assurer que tout le code personnalisé est sécurisé. Ne prenez jamais une entrée pour acquise et ne faites jamais confiance à tout type d'entrée (spécialement les valeurs provenant de l'URL ou les informations provenant d'un champ de saisie de texte), et n'exécutez jamais php dans les champs de texte. VALIDER ESCAPE SANITIZE , souvenez-vous de ces termes. Traiter toutes les données sur le mérite et utiliser les méthodes appropriées en fonction des données pour échapper, valider et assainir les données pour les rendre sûres. Les données d'entrée utilisateur constituent le moyen le plus simple d'injecter des données sur votre site par des pirates. Une simple ligne de javascript entrée dans l'URL ou un champ de texte peut donner à un pirate un accès complet à votre site afin d'injecter du code personnalisé.

Une note très importante: maintenez votre site et votre code à jour. Utilisez des sociétés d'hébergement bien connues. Les hôtes de mauvaise qualité supportent rarement PHP versions plus récentes que PHP 5.4. Comme je l'ai dit, PHP 5.3 a été supprimé il y a presque un an. Il n'est donc plus maintenu, ce qui entraîne de gros problèmes de sécurité si vous l'utilisez toujours. Obtenez un hôte qui supporte au moins PHP 5.4 et qui est toujours maintenu. Les hôtes appropriés ont également des fonctionnalités supplémentaires pour plus de sécurité.

Mettez à niveau Wordpress lorsqu'une mise à jour est disponible. Essayez d'avoir la dernière version installée. Il existe également de très bons plugins de sécurité disponibles et des plugins de validation captcha pour les formulaires.

Enfin, si vous ne l'avez pas encore fait, procurez-vous une installation locale de test hors ligne appropriée dans laquelle vous pourrez tester le code, les plug-ins et les thèmes. Parcourez le code et assurez-vous de son intégrité. Ajoutez du code, des plugins ou des thèmes à votre site en direct si vous en êtes satisfait après des tests hors ligne appropriés.

Cela devrait être un guide minimum pour vous aider