Communauté
Rejoignez la communauté Geekeries sur Google+ › Découvrez mag.geekeries.fr
Sécuriser WordPress : Le guide complet !

Sécuriser WordPress : Le guide complet !

Publié par Valentin dans WordPress
Modifié le 30 mars 2013 à 13:00.

Aujourd’hui, je vous propose de découvrir un guide complet écrit par Paul, plus connus sous le nom de « NightAngel ». Ce guide regroupant tout ce que vous avez besoin de savoir sur comment bien sécuriser votre blog WordPress. Plusieurs point sont abordé et permettent en quelques minutes de bien sécuriser son blog avec de bons plugins WordPress ou d’autre manipulation externe que vous devrez faire.

Informations

Au lieu de reprendre des informations déjà présentes sur des milliers de blogs concernant la sécurisation de WordPress, je vous propose pour la première fois de visiter un très bon dossier de vingt-trois pages et une vingt-quatrième contenant des ressources externes et sources.

Sécuriser WordPress : Le guide complet !

Mettre à jour WordPress

Cette première page du dossier traite tout simplement de la mise à jour de WordPress. Votre blog doit être tenu à jour à chaque nouvelle version de WordPress. Plusieurs moyens sont disponibles tels que la mise à jour automatique ou par client FTP. Les plugins doivent être également tenu à jour pour minimiser le risque d’intrusion. Le risque zéro n’existe pas, étant donné que n’importe quels plugins peut vous faire tomber. Choisissez bien vos plugins, en avez vous vraiment besoin ?

Utilisez le protocol HTTPS

Cette mesure est peut-être une solution simple, mais n’est peut-être pas compatible avec certain serveur. Ce protocole HTTPS permet d’encrypter vos donnés envoyé lors de votre connexion au panel d’administration de WordPress, que se soit vous ou vos membres essayant de se connecter à leurs espace membres. Un plugin est à installés, si toutefois votre serveur le permet. Le plugin n’étant pas sur le site officiel de WordPress, il faudra télécharger le fichier texte (.txt) et le transformer en fichier php (.php) et par la suite l’envoyer sur votre serveur.

Renommer votre compte

Lors du lancement de votre premier blog sous WordPress, il est nécessaire de faire quelques modifications basique dans les paramètres de votre blog. En premier lieu il faut bien évidemment changer votre de passe généré automatiquement grâce à l’outil de WordPress. Ce mot de passe doit être unique et facilement mémorisable. Mais il faut également changer la valeur « admin » de votre compte. En effet, lorsque vous avez votre compte WordPress sur votre blog, un login par défaut vous est attribué, « Admin ». Celui-ci doit être changé pour avoir un nom d’utilisateur unique et secret.

Choisir votre mot de passe

Comme je l’ai dit précédemment, il faut un mot de passe solide, sans ça, vous êtes une cible de plus pour les pirates. Le mot de passe doit être simple à retenir, mais très efficace. Je vous conseille un minimum de dix caractère pour votre mot de passe. N’insérez aucune date de naissance, aucun code portale, inséré simplement des chiffres et des lettres avec en bonus des caractère spéciaux.

Vérifier les autorisations

Les dossiers de WordPress ont une permissions par défaut sur votre serveur. Ces différentes permissions devront être changées si elles ne sont pas valides. WP Security Scan le fait très bien et permet en un coup d’oeil de voir si vos dossiers ont bien les bonnes autorisations. Pour modifier les autorisations d’un dossier sur votre client FTP il vous suffit de faire un clic droit sur le dossier, de cliquer sur « Informations » ou « CHMOD » et d’insérer le nombre donné par le plugin.

Le préfixes des tables

Sous WordPress, l’architecture des données est assez simple. Par défaut, WordPress créer une table « wp_ » contenant toutes vos données, sous la forme « wp_comments ». Cette valeur doit être changée et doit demeurer unique et secret. En modifiant cette valeur, cela optimise un peu plus l’impossibilité d’être une victime.

Refuser l’accès (IP)

Grâce au fichier « htaccess » il vous est possible d’interdire l’accès à certain dossier. Pour cela il vous suffit d’insérer le code de l’article, de modifier l’adresse IP par la vôtre ou autre personne et d’envoyer le fichier dans le dossier voulus de votre serveur. Cette restriction est plutôt bonne du fait qu’on interdit l’accès à un dossier. Vous pouvez par exemple le mettre dans le dossier « wp-admin ».

Le listage des répertoires

Sur certain serveur, le listage des répertoires est impossible. Prenons par exemple 1and1 qui lui met une simple erreur, rendant la lecture d’un répertoire vide ou pleins impossible. Mais pour les autres, il se peut qu’une personne puisse avoir accès aux différents fichiers de vos dossiers. Ce listage est assez embêtant, mais plutôt facile à résoudre. Pour cela il faut créer un fichier « index.php » contenant un texte ou non et de le mettre dans le dossier voulus. D’autre solution existe.

Masquer la version

Cette information peut éventuellement vous nuire, si vous ne faites pas les mises à jour. De ce côté, cela vous regarde, mais WordPress met à disposions le numéros de version de votre installation. Cette information, toute simple permet à n’importe qui, si vous n’êtes pas jour d’exploiter les précédente failles.

Protéger le fichier « Config »

Ce fichier « wp-config.php » est important du fait qu’il contient toutes les données de connexion de votre blog. Étant un fichier « php » il ne peut normalement pas être lus directement via le serveur, mais juste au cas où… Cette méthode de sécurisation est plutôt simple, il vous suffit d’insérer les quelques lignes présenté dans l’article dans votre fichier « .htaccess » se trouvant à la racine de votre installation WordPress. Cette astuces affichera une erreur 403 sur si une personne tente d’y accéder directement.

Sécuriser WordPress : Lire le reste du dossier !