WordPress : 7 conseils pour sécuriser votre WordPress

0
79

Saviez-vous que WordPress est le CMS open source le plus utilisé au monde ? Environ 15% des sites internet dans le monde s’en servent.
Qui dit succès, dit revers de la médaille! Il est donc nécessaire de se protéger le mieux possible.

Vous trouverez ci-dessous quelques conseils que j’aurai souhaités connaître lorsque j’ai débuté avec WordPress. Ils vous permettront d’éviter de passer des heures à essayer de récupérer ce qu’il reste de votre site ou blog suite à une attaque.

Dès l’installation : il faut se préparer au pire !

En installant WordPress vous devez renseigner l’identifiant de l’administrateur. Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre des bâtons dans les roues à ceux qui veulent vous nuire ! Laissez faire votre imagination ou un générateur de mot de passe !.

Pour votre mot de passe, j’espère que je ne vous apprends rien en vous disant qu’il faut des minuscules, des majuscules, des chiffres et des signes de ponctuation. J’utilise toujours un générateur comme celui dont j’ai parlé un peu plus haut.

C’est la même chose pour le préfixe de vos tables, oubliez le “wp” habituel pour quelque chose de plus exotique comme “n9z” ou “qb2”. Je vous déconseille de mettre vos initiales, c’est la première chose à laquelle vos assaillants vont penser.

Maintenez WordPress à jour

WordPress est régulièrement mis à jour, n’oubliez pas d’installer les mises à jour lorsqu’elles sont disponibles dans votre tableau de bord. En migrant vers la dernière version de WordPress, vous éviterez que les failles de sécurité de la version précédente soient exploitées.

Avec la mise à jour automatique, cela sera fait en moins de 2 minutes (n’oubliez pas de sauvegarder votre base avant).

Chouchoutez vos fichiers sensibles

Il y a 2 fichiers qui sont très importants dans votre installation de WordPress : “wp-config.php” et “.htaccess”, il faut prendre bien soin d’eux. Vous pourrez ajouter d’autres choses au fichier “functions.php” de votre thème.

Dans wp-config.php

Générez et insérez y les clés de sécurité en vous rendant sur la page suivante : api.wordpress.org

Note : Vous aurez besoin de vous reconnecter après cette manipulation.

Dans .htaccess

Protégez votre fichier wp-config.php grâce à ce code :

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Protégez votre fichier .htaccess (ce code peut être contenu dans le même .htaccess) :

<Files .htaccess>
order allow,deny
deny from all
</Files>

Dans functions.php

Ce conseil est déjà bien répandu mais je vous le rappelle tout de même. Il s’agit de cacher le numéro de version de WordPress. En effet, un éventuel hacker pourrait, grâce à ce numéro connaitre les failles de sécurité de votre site (si vous n’avez pas mis WordPress à jour).

Voici le code à insérer :

remove_action('wp_head', 'wp_generator');

Cachez vos répertoires

Il se peut que vous n’ayez pas désactivé l’exploration de vos répertoires. Par exemple en entrant l’url suivante : votresite.com/wp-content/plugins n’importe qui peut apercevoir les plugins que vous utilisez et donc exploiter les failles éventuelles…

Retournez dans le fichier .htaccess et insérez-y le code suivant :

Options All -Indexes

Restreignez l’accès à votre administration

Le plugin Login Lockdown permet de limiter le nombre de tentatives pour se connecter à l’administration de WordPress. C’est particulièrement utile si quelqu’un essaie de deviner votre mot de passe. Attention à ne pas vous tromper plusieurs fois de suite, sinon vous devrez attendre pour vous connecter 🙂

Le plugin AskApache Password Protect devrait plaire aux plus soucieux. Il permet d’ajouter un niveau de sécurité supplémentaire en créant un identifiant et un mot de passe pour accéder à tout ce que contient le répertoire wp-admin.

N’oubliez pas ce plugin essentiel

WordPress Security Scan est un plugin qui se chargera de contrôler que tout est en ordre afin que vous ayez le moins de chances possibles de vous faire attaquer. Il vérifie entre autres que :

  • que votre WordPress est à jour
  • le préfixe de vos tables (et la possibilité de le changer)
  • que les permissions de fichiers sont bonnes
  • que vos fichiers et répertoires sont bien protégés
  • etc…

Backup, Backup et … Backup

S’il n’y avait qu’une seule chose à faire pour sécuriser votre site sous WordPress, c’est d’effectuer des sauvegardes régulièrement. Je me suis déjà fait avoir une fois, j’ai perdu absolument toute la base de données et quand il y a plusieurs dizaines d’articles c’est très triste

Il existe des dizaines de plugins WordPress pour sauvegarder vos fichiers (répertoire de vos extentions et thèmes WordPress ainsi que vos fichiers envoyés principalement) et votre base. Je ne les ai pas tous testés mais je vous recommande grandement WP-DB-Backup par Austin Matzko ou encore Backup Scheduler de SedLex.
Ces plugins sauvegarderont votre base à intervalle de temps régulier en vous l’envoyant par mail ou en la stockant sur votre serveur.

Il existe également des plugins qui utilisent Dropbox et Amazon S3 pour stocker vos sauvegardes. Vous pouvez aussi le faire manuellement en utilisant votre client FTP favori.

Vous avez maintenant toutes les clés en main pour que votre WordPress devienne une vrai forteresse. Avec ces conseils vous serez certain de figurer parmi ceux qui sécurisent le plus leurs sites/blogs.

Articles similaires