Ultimate Security Checker est une extension vous permettant d’analyser la sécurité de votre installation WordPress. Dans les options de l’extension, un premier scan est effectué, de façon automatique. Une note vous est alors attribuée selon le niveau de sécurité de votre installation. Allant de 0 à 104 et de A à D, réparties sur six thèmes, cela permet de se faire une idée de l’optimisation effectuée au niveau de la sécurité.

Ultimate Security Checker explique également les marches à suivre pour améliorer ce résultat. Un point important pour cette extension, sortant ainsi du lot. Voici un récapitulatif des différents points mentionnés, ainsi que quelques conseils.

Les mises à jour

Il est important d’effectuer régulièrement les mises à jour vos extensions, thèmes et en priorité… de votre installation WordPress. Récemment, la version 3.1.2 de WordPress corrige principalement une faille de sécurité. Il est donc nécessaire de tenir à jour votre blog.

Désactiver l’éditeur de thèmes/plugins

Par défaut, depuis le panel d’administration de WordPress, il vous est possible d’éditer les fichiers de vos thèmes et extensions. Pour des raisons de sécurité, il est préférable de le désactiver avec la fonction DISALLOW_FILE_EDIT. Pour cela, il vous suffit de coller le bout de code suivant dans le fichier « wp-config.php » de votre installation WordPress.

define('DISALLOW_FILE_EDIT', true);

Masquer le numéro de version de WordPress

Bien que cette information peut être récupérée autrement, il est quand même recommandé de la masquer, un minimum. Ce numéro de version est disponible dans le fichier « readme.html » présent à la racine de votre blog, dans les flux d’informations, dans le haut de page (header.php) de votre thème, etc. Pour masquer le numéro de version de WordPress, il vous suffit de coller le bout de code suivant dans le fichier « functions.php » de votre thème.

function GkGenerator() {
return '';
}

add_filter('the_generator', 'GkGenerator');

Supprimer les fichiers inutiles

Dans une installation par défaut de WordPress, certains fichiers sont inutiles et il est préférable de les supprimer. Le fichier « readme.html » (présent à la racine du blog), cité un peu plus haut en fait partie, ainsi que le fichier d’installation de WordPress (install.php) présent dans le dossier « wp-admin ».

Vous protéger des requêtes malveillantes

Le code de Perishable Press est présenté comme une bonne solution pour se protéger contre les requêtes malveillantes. Le code est à placer dans le fichier « functions.php » de votre thème.

if (strpos($_SERVER['REQUEST_URI'], "eval(") ||
  strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
  strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
  strpos($_SERVER['REQUEST_URI'], "base64")) 
  {
    @header("HTTP/1.1 400 Bad Request");
    @header("Status: 400 Bad Request");
    @header("Connection: Close");
    @exit;
  }

Changer les permissions

Petit rappel concernant les permissions autorisées des dossiers de votre installation WordPress. Notons que pour changer les permissions d’un dossier, il vous suffit de faire clic droit (depuis le navigateur FTP) sur le dossier, puis « Informations ».

  • Le dossier /wp-content/
  • Ce dossier doit avoir une permissions 755. Mais si une extension vous demande une permissions 777 (temporaire), il n’y a pas de risque.

  • /themes/ & /plugins/
  • Ces dossiers doivent avoir une permissions 755

  • /wp-admin/ & /wp-includes/
  • Ces dossiers doivent avoir une permissions 755

  • Le fichier wp.config.php
  • Il doit avoir une permission 400 ou 440

  • Le .htaccess
  • Il doit avoir une permission 644 ou 664

BRANDT Valentin

Créateur de Geekeries.fr. Référentiel de ressources WordPress en Français qui a vu le jour pour la toute première fois en 2007. Je publie régulièrement des plugins, des outils SEO, des ressources et de l'actualités pour améliorer votre expérience avec le CMS WordPress.

Ne manquez pas nos autres contenus :