On ne le répétera jamais assez, il est essentiel de mener quelques actions afin de rendre son site tournant sous WordPress un peu plus sécurisé. Si vous laissez la configuration par défaut de WordPress, vous n’êtes pas sous la menace directe de personnes malveillantes mais vous vous exposez à plus de risques qu’une personne qui aura lu cet article.
Afin de sécuriser son thème, ainsi que son esprit, WPTheme vous propose une liste de 10 astuces simple et rapide à mettre en place sans que cela implique une grande manipulation de code de votre part.
Bien sur cette liste de 10 astuces pour sécuriser votre WordPress n’est certainement pas la plus exhaustive. Vous pouvez toujours nous laisser un petit message afin de nous indiquer vos petits secrets qui font de votre site internet tournant sous WordPress un lieu plus sur !
1 – Faire des sauvegardes !
On ne le répete jamais assez, mais il est primordial d’effectuer des sauvegardes régulières de vos données WordPress.
Généralement, et pour éviter de se retrouver avec beaucoup trop de sauvegardes, effectuer cette tâche avant une modification (importante ou mineure) sur votre site tournant sous WordPress.
Cette sauvegarde peut être manuelle, en choissant d’exporter vos données dans l’onglet Outils et en sauvegardant la base de donnée ou bien vous pouvez utiliser des plugins comme « BackWPup«
[button link= »http://wordpress.org/extend/plugins/backwpup/ » type= »icon » newwindow= »yes »] Télécharger BackWPup[/button]
2 – Mettre à jour WordPress
WordPress sort régulièrement des nouvelles moutures (versions) de son fameux CMS. Ces mise à jour régulière ne sont pas que là pour vous embêter 🙂
En effet, à chaque mise à jour, de nombreuses failles de sécurité (plus ou moins importantes) sont colmatées. Ainsi, vous aurez beaucoup plus de risque à utiliser une ancienne version de WordPress que si vous utilisez la toute dernière mouture de WordPress.
Ces mises à jour peuvent se faire automatiquement, ou alors vous pouvez faire cette opération manuellement
3 – Changer votre mot de passe / identifiant
Cela peut vous paraitre évident mais la plupart des gens laissent l’identifiant par défaut de WordPress, admin, pour se connecter. Ce n’est pas très sur en sachant qu’un pirate pourra utiliser la technique dite de bruteforce pour essayer de deviner votre mot de passe.
Ne lui facilitez pas le travail en laissant l’identifiant par défaut. En lieu et place d’admin, utilisez plutot votre nom ou bien tout autre mot.
Concernant le mot de passe, évitez de mettre votre date de naissance ou le nom de votre chat. Ces mots de passe sont très simple à décrypter.
Essayez plutot de faire des combinaisons en associant des chiffres et des lettres en majuscules ou encore en minuscules !
4 – Bloquer l’indexation des dossiers admin WordPress
Pour fonctionner, le CMS WordPress nécessite des dossiers qui s’installent sur votre serveur et qui sont, par défaut, configurés pour être parcouru (crawlé) par les moteurs de recherche.
Pour éviter de dévoiler des informations qui peuvent se révéler sensibles, vous pouvez bloquer l’indexation de ces dossiers par les moteurs de recherche. Pour cela, rien de plus simple : ajoutez les informations ci-dessous dans votre fichier robots.txt et le tour est joué !
[box type= »info »]
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*[/box].
5 – Sécuriser le fichier wp-config.php
Le fichier wp-config.php est l’un des fichiers les plus important de votre site internet tournant sous WordPress. Pour sécuriser un peu plus ce fichier, rendez-vous sur le fichier .htaccess de votre site et vous n’avez plus qu’à copier ce bout de code !
[box type= »info »]
# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all [/box]
6 – Limiter l’accès au dossier wp-content
Le dossier wp-content dans WordPress est celui qui abrite les informations sur les thèmes ainsi que les plugins. Pour diverses raisons, vous pouvez décider que ce dossier ne regarde que vous et de ce fait interdire l’accès à ce dossier via votre .htaccess.
Placez le code ci-dessous dans votre fichier .htaccess et le tour est joué !
[box type= »info »]
Order deny,allow
Deny from all
<Files ~ “.(xml|css|jpeg|png|gif|js)$”>
Allow from all [/box]
7 – Prevenir une attaque par injection de scripts
Les pirates utilisent souvent des attaques dite par injection de scripts malveillants. Pour éviter d’avoir ce type d’ennuies, vous pouvez toujours copier/coller ce morceaux de code dans votre fichier .htaccess . Rapide et efficace, que demander de plus !
[box type= »info »]
# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L][/box]
8- Changer le préfixe par défaut de la base de donnée de WordPress
Par défaut, le préfixe de la base de donnée utilisée par WordPress est « _wp ». Vous vous doutez que si nous savons cela, les pirates le savent aussi.
Pour faire cela, deux solutions s’offrent à vous : le faire à la main (niveau avancé) ou bien installer un plugin qui va se charger de faire cela à votre place, en toute sécurité.
Si vous décidez de le faire à la main, nous vous recommandons le très bon tutoriel sur Wpchannel.
Si vous ne souhaitez pas mettre les mains dans le code de votre installation WordPress, nous vous proposons d’installer le plugin WP Security Scan. Cet excellent plugin vous permettra de faire cela automatiquement.
[button link= »http://wordpress.org/extend/plugins/wp-security-scan/ » type= »icon » newwindow= »yes »] Télécharger WP Security Scan[/button]
9 – Attention aux permissions CHMOD
Afin de pouvoir modifier certains de vos fichiers sous WordPress, comme les thèmes et les plugins notamment, vous devez quelquefois changer les permissions d’accès d’un fichier ou d’un répertoire. L’erreur souvent faite est d’attribuer le CHMOD 777 à un fichier, voir pire, à un répertoire entier !
Afin de vous faire éviter quelques soucis, nous vous conseillons le mode CHMOD 755, ce qui bien suffisant pour les modifications que vous aurez à effectuer.
Voici des informations sur la nomenclature :
- Read 4 – Autorisation de lire les fichiers
- Write 2 – Autorisation de lire / modifier les fichiers
- eXecute1 – Autorisation de lire / écrire / supprimer / changer un répertoire.
10 – Supprimer l’utilisateur « admin »
Par défaut, l’utilisateur Admin est présent sur toutes les installations de WordPress. Afin de ne pas faciliter le travail des pirates
[box type= »info »]Voici la démarche pour changer le compte admin et avoir un compte un peu plus sécurisé :
- Connectez-vous avec le compte admin. Dans la partie Utilisateurs, cliquez sur ajouter. Nommez le compte comme vous le souhaitez et remplissez les champs mot de passe correctement ainsi que la partie Rôle. Attribuez à votre compte les droits administrateurs.
- Déconnectez-vous du compte admin et connectez-vous avec le nouveau compte. Retour dans la partie Utilisateurs. Cliquez sur le compte Admin et faites supprimer le compte. WordPress va vous demander ce qu’il doit faire des articles du compte admin. Faites en sorte d’attribuer les anciens articles du compte Admin vers le nouvel utilisateur.
- Voilà ![/box]
[box type= »warning »] Attention :
Avant d’effectuer une des opérations ci-dessus, nous vous conseillons d’effectuer une sauvegarde de votre configuration.
Le site WPTheme ne saurait être tenu pour responsable si jamais les techniques listés n’ont pas d’impact. [/box]