Category: WordPress

La sécurité d’un site WordPress n’est pas à prendre à la légère. Se faire hacker peut arriver à n’importe qui et ces 14 conseils vous permettront de limiter les dégâts potentiels. C’est quand tout fonctionne correctement qu’il faut mener des actions de prévention !

#1 – Sauvegarder intégralement et régulièrement votre site WordPress

Avant toute intervention, faites une sauvegarde régulière de votre site WordPress. Vous devez sauvegarder les éléments suivants :

• Votre base de données MySQL ;
• Votre compte FTP ;

Il se peut que votre hébergeur dispose d’un système de sauvegarde intégrale directement accessible via cPanel par exemple. Profitez-en pour obtenir un ZIP complet de votre site !

Vous pouvez également avoir recours au système de sauvegarde dans le cloud proposé par Automattic – l’organisation en charge de WordPress, qui s’intitule VaultPress. Il permet de télécharger une sauvegarde intégrale ou partielle (plugins, thèmes, MySQL) à intervalles réguliers (plusieurs sauvegardes quotidiennes).

N’oubliez pas de mettre en place un système de sauvegarde automatique de votre base de données MySQL.

#2 – Tenez votre site WordPress à jour

85% des sites WordPress qui se font hackés sont des sites qui n’ont pas fait de mise à jour depuis plusieurs mois voire plusieurs années.

Chaque mise à jour du cœur de WordPress apporte des correctifs de sécurité. Il en va de même pour vos plugins !

Notez que WordPress bénéficie d’un système de mise à jour – et de réinstallation, entièrement automatisé. Il arrive qu’on me reporte régulièrement que cette fonctionnalité pose problème : la solution consiste à changer d’hébergeur.

Je vous invite à visionner notre podcast pour savoir comment Effectuer une mise à jour de WordPress.

#3 – Utiliser des mots de passe sécurisés

Un compte administrateur disposant de privilèges élevés – que ce soit sur votre site WordPress ou votre ordinateur personnel, doit disposer d’un mot de passe d’au moins 8 caractères incluant :

1. Des chiffres ;
2. Des symboles spéciaux ;

Cela vous évitera de subir des attaques de hackers consistant à tester les mots du dictionnaire.

Évitez toute donnée faisant référence à votre vie personnelle comme une date de naissance, un numéro de département. De nos jours, la vie privée est très mal protégée sur Internet.

Bien entendu, utilisez des mots de passe uniques pour vos différents comptes. Un mot de passe pour les gouverner tous… et l’on voit comment ça finit (cf. Le Seigneur des Anneaux de Tolkien) !

#4 – Changer le préfixe de votre base de données

Lorsque vous procédez à l’installation de WordPress, le préfixe attribué à votre base MySQL est wp_

Si vous n’avez pas prêté attention à ce paramètre, il n’est pas trop tard. Pour ce faire, utilisez le plugin WP Security Scan.

#5 – Bloquer la navigation de vos dossiers WordPress

Par défaut, n’importe qui peut accéder au contenu de vos dossiers par défaut – comme /wp-content, via un simple navigateur.

Suivez ce podcast vidéo pour apprendre comment bloquer l’accès aux répertoires de votre installation de WordPress.

#6 – Supprimer le compte ‘admin’ par défaut

Par défaut, WordPress vous propose de créer un compte intitulé admin lors de l’installation. Si vous ne pensez pas à changer cet identifiant commun, un hacker n’aura plus qu’à trouver votre mot de passe.

Limitez les risques en visionnant ce podcast vidéo pour savoir comment supprimer le compte administrateur de WordPress.

#7 – Ajouter des clés de sécurité secrètes dans le fichier wp-config.php

Vérifiez que votre fichier de configuration wp-config.php – un fichier stratégique situé à la racine de votre installation WordPress contenant vos données de connexion à la base de données MySQL, contient bel et bien des clés de sécurité générées aléatoirement.

Pour en savoir plus, je vous recommande vivement de lire ce tutoriel vidéo pour configurer ces clés de sécurité.

#8 – Masquer la version de WordPress

Si vous affichez le code source de votre site WordPress, vous remarquerez la présence d’une balise meta indiquant la version de votre WordPress.

<meta name="generator" content="WordPress 3.0.5" />

Le problème réside dans le fait qu’un hacker pourra identifier facilement les failles relatives à la version que vous utilisez – d’où le conseil de mettre à jour votre installation WordPress.

Suivez le tutoriel intitulé Masquer le numéro de version de WordPress.

#9 – Protéger l’accès au wp-config.php via .htaccess

Ouvrez le fichier .htaccess situé à la racine de votre serveur FTP puis rajoutez la ligne suivante. Elle empêchera un hacker de récupérer votre identifiant et mot de passe en cas de problèmes avec PHP sur le serveur.

<FilesMatch ^wp-config.php$>
 deny from all
 </FilesMatch>

#10 – Bloquer les attaques de type « brute force »

Par défaut, il est possible de tester autant de couples identifiant / mot de passe que souhaitez pour se connecter à votre administration WordPress.

Installez donc le plugin Login LockDown pour restreindre le nombre de tentatives autorisées pour un certain laps de temps.

#11 – Utiliser un scanner de failles de sécurité

Le plugin WP Security Scan dispose d’outils très pratique pour identifier vos failles de sécurité. Il vous indiquera notamment le CHMOD de vos répertoires et le CHMOD conseillé. Si tout est vert, vos données sont en sécurité. Un point rouge, il vous faut intervenir avec un client FTP.

Ce plugin vous permet également de changer le préfixe de votre base de données WordPress et de générer des mots de passe costauds.

Un second plugin très complet est également disponible. Il s’agit de Better WP Security que vous pouvez télécharger ci-dessous :

N.B : toutefois, je vous mets en garde sur certaines actions qui pourraient causer des dommages sur votre site. Le fait de pouvoir modifier en quelques clics des paramètres sensibles peut constituer un risque pour les utilisateurs non initiés. Notez bien que ce plugin est aussi en version bêta. Les testeurs pourront donc s’amuser sur des installations de tests !

#12 – Masquer les erreurs de connexion

Lors du processus de connexion, WordPress affichera des messages d’erreurs explicites suite à une saisie. Il convient donc de masquer ces erreurs en intervenant dans le fichier functions.php de votre thème WordPress.

Il suffit ensuite de rajouter la ligne de code suivante :

add_filter('login_errors',create_function('$a', "return null;"));

Notez que cette sécurité est propre au thème utilisé et qu’il convient donc de la réitérer en cas de changement.

Une astuce tirée de l’excellent site WpRecipes.

#13 – Désactiver Windows Live Writer

Windows Live Writer est un logiciel Microsoft permettant de bloguer depuis une application de bureau. Or, pour des raisons de compatibilité, WordPress ajoute une ligne de code supplémentaire dans le header de votre blog. Inutile et source d’insécurité !

Consultez le tutoriel Désactiver Windows Live Writer sous WordPress.

#14 – Vérifiez la sécurité de votre hébergeur

Terminons par une astuce de sécurité d’ordre plus générale. Il est important que votre hébergeur vous propose des versions relativement récentes – on ne peut pas être à jour en permanence, de Apache, MySQL (base de données) et PHP.

Renseignez-vous auprès de votre hébergeur ou utilisez un fichier PHP pour obtenir ces informations cruciales.

Je vous recommande l’hébergeur Mavenhosting qui fait tourner WordPress Channel sans soucis depuis sa création !

J’ai migré dernièrement sur un VPS de PlanetHoster pour des performances supérieures.

#15 – Supprimer le fichier readme.html

Une nouvelle astuce communiquée dans ce commentaire. Il est important de supprimer le fichier readme.html situé à la racine de votre WordPress car il affiche le numéro de version de WordPress.

14 astuces de sécurité pour WordPress est un bon début pour commencer ! En effet, il est possible d’aller bien plus loin pour améliorer le niveau de sécurité de votre site. Libre à vous de me proposer vos trouvailles et autres hacks via les commentaires !

---

 

{{ source }}