WordPress est la plateforme de sites/blogs la plus utilisée dans le monde. Elle est aussi considérée comme une plateforme bien sécurisée. Cependant, quelques erreurs sont commises par beaucoup d’utilisateurs de WordPress lesquelles peuvent être exploitées par des attaquants. 10 conseils pour améliorer la sécurité d’un site bâti sous WordPress suivent.
1. Restez à jour
En règle générale, chaque fois que le noyau WordPress ou un plug-in que vous utilisez a une mise à jour disponible ne vous posez pas de questions, appliquez-la.
On distingue deux types de mises à jour :
- Celles qui apportent de nouvelles fonctionnalités,
- Celles correctives de sécurité.
Bien que WordPress dispose de mises à jour automatiques en arrière-plan depuis la version 3.7, vous devez toujours garder un œil sur le mécanisme, car les mises à jour automatiques peuvent échouer à causer d’autres problèmes de compatibilité.
Les plug-in présentent également une partie sensible de votre site WordPress. N’oubliez pas de les mettre à jour dès qu’une mise à jour est disponible. N’utiliser qu’un minimum de plug-in c’est-à-dire ceux dont vous avez réellement besoin et supprimer les plug-in que vous n’utilisez pas.
2. Choisissez un mot de passe fort
Il est bien dommage qu’à la fin de l’année 2016 on parle encore de mot de passe, mais on constate que des gens utilisent encore des mots de passe ou des pseudos faibles (admin / admin pour ne citer que l’exemple le plus stupide) pour protéger quelque chose d’aussi important que leur propre site Web.
Un mot de passe fort a :
- Au moins 12 caractères
- lettres capitales
- minuscules
- nombres
- symboles, tels que ` ! » ? $ ? % ^ & * ( ) _ – + = { [ } ] : ` ! » ? $ ? % ^ & * ( ) _ – + = { [ } ] :
Un mot de passe fort n’est pas:
- Votre login ou nom d’utilisateur
- Votre nom, le nom de votre ami, le nom de votre famille ou un nom commun
- Un mot du dictionnaire
- votre date de naissance
- Un motif de clavier, tel qwerty, asdfghjkl ou 12345678
Besoin d’aide pour choisir un mot de passe super fort ? Plus d’explications dans cet article
3. Choisissez un nom d’utilisateur aléatoire
Les attaquants savent que la plupart des gens utilisent des noms d’utilisateur tels que «admin» ou l’URL ou le nom de leur site Web. Soyez du coup original ! Si votre pseudo est aussi connu sur la toile ne l’utilisez pas.
En choisissant un nom d’utilisateur aléatoire, vous rendez leur tâche plus difficile.
Voici par exemple, pour un client, les noms d’utilisateurs les plus utilisés pour des tentatives de connexions :
- test
- admin
- administrator
- azerty
4. Hébergez votre site Web chez un hébergeur fiable
La plupart des petits sites comme un blog personnel ou même une petite entreprise hébergent aujourd’hui leur site sur un serveur mutualisé (partage de l’hébergement avec plusieurs autres sites). Dans ce cas il faut bien choisir son hébergeur qui doit être fiable et connaît au minimum son travail et les règles de sécurité.
Par exemple, si vous êtes en France, inutile d’aller chercher un hébergeur aux Etats-Unis ou en Nouvelle-Zélande pour gagner quelques euros mensuellement.
Nous n’allons pas faire de la publicité pour les hébergeurs mais il en existe une dizaine qui sont bien connus pour le nombre de leur clients ainsi que la fiabilité de leur hébergement.
5. Faites des sauvegardes régulières de votre site
Si un problème se produit, il est essentiel que vous ayez une sauvegarde à la fois de votre base de données et de vos fichiers, afin de pouvoir faire une restauration sur votre serveur.
Les sauvegardes peuvent être effectuées manuellement ou à l’aide d’un plug-in tels que WP Database Backup .
Votre hébergeur peut également effectuer régulièrement des sauvegardes de votre site Web et de votre base de données.
Si vous allez faire confiance aux sauvegardes de votre hébergeur, il faudra demander la fréquence des sauvegardes ainsi que la possibilité et le mode de récupération des sauvegardes, sinon il faudra bien faire par vous-même la sauvegarde de votre site.
6. Protégez votre fichier wp-login (ou wp-admin)
C’est connu, sur WordPress il faudra se rendre à la page wp-login.php (ou la page wp-admin.php) pour se connecter à l’espace d’administration de votre site.
Toujours dans le cadre de rendre plus difficile la vie d’un pirate potentiel il sera judicieux de changer l’adresse de connexion à l’espace administrateur.
Pour ce faire, on va créer un fichier qu’on va appeler « monfichier.php » et que depuis lequel on fera la connexion à l’espace d’administration.
On va éditer notre fichier .htaccess et ajouter ces liens à la fin (Attention, faite une sauvegarde au préalable pour votre fichier .htaccess au cas où):
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_COOKIE} !^.*cookie\-admin\-blog=439568581.*$ [NC]
RewriteRule wp-login.php – [F]
On va maintenant créer notre fichier « monfichier.php » qu’on va utiliser pour la connexion. Créer le fichier et coller ces lignes :
setcookie("cookie-admin-blog", 494198580);
header('Location: wp-login.php');
Pour vous connecter à votre espace d’administrateur, vous devez maintenant utiliser l’adresse www.monsite.com/monfichier.php et si quelqu’un essai d’aller sur wp-login.php il aura un joli message d’erreur.
7. Supprimez les messages d’erreur inutiles
Les messages d’erreur lors de la connexion peuvent être utiles pour comprendre la nature de l’erreur, mais malheureusement, ils peuvent également fournir des informations aux potentiels pirates.
Pour ne plus afficher ces messages d’erreurs de connexion, éditer le fichier functions.php et ajoutez le code :
Add_filter (‘login_errors’, create_function (‘$ a’, « return null; »));
8. Soyez prudent avec les plug-in et les thèmes
Avoir toujours en tête comme principe que tout ce que vous ajoutez à votre site WordPress (un thème ou des plug-in) contient potentiellement du code vulnérable et donc avant d’ajouter un thème ou un plug-in, assurez-vous que :
- Vous obtenez le thème ou le plug-in d’une source fiable, comme le dépôt officiel WordPress.org
- Le plug-in / thème est régulièrement entretenu et il existe des mises à jour pour ces produits
- Le plug-in dispose d’un nombre important d’installations et / ou de notations
Les thèmes Premium et les plug-in que vous pouvez trouver gratuitement (téléchargés depuis des sites pirates) peuvent souvent contenir du code malveillant injecté.
9. Renommez vos tables de bases de données
Par défaut, WordPress utilise wp_ comme préfixe des tables de la base de données. La plupart des utilisateurs ne modifient pas malheureusement ce préfixe rendant plus facile pour les pirates de cibler votre base de données ayant connaissance du schéma et des noms des tables.
La modification de ce préfixe peut se faire lors de l’installation mais si vous avez oublié de le faire, il faudra aller dans l’administration de la base de données et exécuter quelques requêtes SQL. Nous allons nous intéresser au sujet dans un article ultérieurement étant donné que c’est une procédure qui doit être bien détaillée.
10. Désactiver l’édition des fichiers
WordPress dispose d’un éditeur de fichiers intégré, qui peut être très utile pour modifier votre thème à la volée (voir dans le menu Apparence -> éditeur).
Malheureusement, si un pirate accède à votre tableau de bord WordPress en tant qu’administrateur, il pourra modifier vos fichiers et faire beaucoup de dégâts dans avoir accès à votre FTP. Pour cette raison, il faut désactiver l’éditeur de fichiers intégré dans WordPress et utiliser FTP pour modifier vos fichiers de thème.
Pour ce faire, il suffit de coller ce code dans le fichier wp-config.php :
Define (‘DISALLOW_FILE_EDIT’, true);
11. Bonus : Utilisez le plug-in All In One WP Security & Firewall
All In One WP Security & Firewall est un plug-in de sécurité WordPress téléchargé plus de 400 000 fois. Le plug-in est conçu pour réduire le risque de piratage en vérifiant les vulnérabilités et en mettant en œuvre et en appliquant les dernières pratiques et techniques de sécurité recommandées par WordPress.
Installez All In One WP Security à partir de votre tableau de bord WordPress ou en le téléchargeant ici.
Si vous avez d’autres conseils à nous donner n’hésitez pas à nous le faire savoir en nous laissant un commentaire.
1 Commentaire
Bonjour
J’ai utilisé le code suggéré en 6 « Protégez votre fichier wp-login (ou wp-admin) ».
Cela fonctionne parfaitement MAIS quand je crée une page protégée par mot de passe, je rencontre le message suivant lorsque j’entre le mot de passe :
« Forbidden
You don’t have permission to access /wp-login.php on this server. » :-S
et l’url qui s’affiche est http://nomdemonsite.info/wp-login.php?action=postpass
donc je pense qu’il y a un problème à ce niveau-là, que le serveur tente d’exécuter le wp-login.php…
Pouvez-vous nous dire comment résoudre ce problème svp ?
Pour info il y a le code suivant au début du .htacess qui je pense peut poser un problème de compatibilité avec le code de redirection du wp-login (mais est indispensable au site) :
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Il faut peut-être le modifier…?