Ultimate Security Checker analyse vos paramètres de sécurité

Ultimate Security Checker est une extension vous permettant d’analyser la sécurité de votre installation WordPress. Dans les options de l’extension, un premier scan est effectué, de façon automatique. Une note vous est alors attribuée selon le niveau de sécurité de votre installation. Allant de 0 à 104 et de A à D, réparties sur six thèmes, cela permet de se faire une idée de l’optimisation effectuée au niveau de la sécurité.

Ultimate Security Checker explique également les marches à suivre pour améliorer ce résultat. Un point important pour cette extension, sortant ainsi du lot. Voici un récapitulatif des différents points mentionnés, ainsi que quelques conseils.

Les mises à jour

Il est important d’effectuer régulièrement les mises à jour vos extensions, thèmes et en priorité… de votre installation WordPress. Récemment, la version 3.1.2 de WordPress corrige principalement une faille de sécurité. Il est donc nécessaire de tenir à jour votre blog.

Désactiver l’éditeur de thèmes/plugins

Par défaut, depuis le panel d’administration de WordPress, il vous est possible d’éditer les fichiers de vos thèmes et extensions. Pour des raisons de sécurité, il est préférable de le désactiver avec la fonction DISALLOW_FILE_EDIT. Pour cela, il vous suffit de coller le bout de code suivant dans le fichier « wp-config.php » de votre installation WordPress.

[code]
define(‘DISALLOW_FILE_EDIT’, true);
[/code]

Masquer le numéro de version de WordPress

Bien que cette information peut être récupérée autrement, il est quand même recommandé de la masquer, un minimum. Ce numéro de version est disponible dans le fichier « readme.html » présent à la racine de votre blog, dans les flux d’informations, dans le haut de page (header.php) de votre thème, etc. Pour masquer le numéro de version de WordPress, il vous suffit de coller le bout de code suivant dans le fichier « functions.php » de votre thème.

[code]
function GkGenerator() {
return  »;
}

add_filter(‘the_generator’, ‘GkGenerator’);
[/code]

Supprimer les fichiers inutiles

Dans une installation par défaut de WordPress, certains fichiers sont inutiles et il est préférable de les supprimer. Le fichier « readme.html » (présent à la racine du blog), cité un peu plus haut en fait partie, ainsi que le fichier d’installation de WordPress (install.php) présent dans le dossier « wp-admin ».

Vous protéger des requêtes malveillantes

Le code de Perishable Press est présenté comme une bonne solution pour se protéger contre les requêtes malveillantes. Le code est à placer dans le fichier « functions.php » de votre thème.
[code]
if (strpos($_SERVER[‘REQUEST_URI’], « eval(« ) ||
strpos($_SERVER[‘REQUEST_URI’], « CONCAT ») ||
strpos($_SERVER[‘REQUEST_URI’], « UNION+SELECT ») ||
strpos($_SERVER[‘REQUEST_URI’], « base64 »))
{
@header(« HTTP/1.1 400 Bad Request »);
@header(« Status: 400 Bad Request »);
@header(« Connection: Close »);
@exit;
}
[/code]

Changer les permissions

Petit rappel concernant les permissions autorisées des dossiers de votre installation WordPress. Notons que pour changer les permissions d’un dossier, il vous suffit de faire clic droit (depuis le navigateur FTP) sur le dossier, puis « Informations ».

  • Le dossier /wp-content/
  • Ce dossier doit avoir une permissions 755. Mais si une extension vous demande une permissions 777 (temporaire), il n’y a pas de risque.

  • /themes/ & /plugins/
  • Ces dossiers doivent avoir une permissions 755

  • /wp-admin/ & /wp-includes/
  • Ces dossiers doivent avoir une permissions 755

  • Le fichier wp.config.php
  • Il doit avoir une permission 400 ou 440

  • Le .htaccess
  • Il doit avoir une permission 644 ou 664

Allez plus loins

6 réponses

  1. Merci pour cet article très instructif.

    Pour ma part, j’ai appliqué plusieurs recommandations de ce plugin « Ultimate Security Checker », et ça a bien marché, sauf pour bloquer les requêtes des URL malicieuses où même après avoir placé le code de Perishable Press dans le fichier « functions.php » ou encore l’installer comme plugin, le test me montre toujours que je suis encore vulnérable de ce côté!

    En tous cas, très bon plugin, et très bon article.

  2. Merci pour cet article fort intéressant !
    Je ne connaissais pas toutes ces astuces pour la sécurité…
    Dès lors j’ai mis en place ces paramètres et tout marche nickel chrome.

  3. Merci val pour ces infos !

    Je me suis fais prendre mon ancien site à cause de faille, avec ça j’espère être en sécurité :)

  4. Bonjour, j’aurais aimer un peu plus d’explication concernant certaine faille comme celle de désactiver l’édition des templates via le panel d’administration worpdress.

    Merci.
    Cordialement.

  5. Merci pour cet article qui a réussi à … me faire froid dans le dos quand j’ai vu mon score (50/115 !).
    Je ne suis pas sûr d’avoir ni le temps ni la patience de corriger l’ensemble des vulnérabilités indiquées. En revanche, j’ai vu qu’ils proposent un service pour le faire pour toi. J’ai failli me laisser tenter par la formule à 0$ mais on me demandait mon compte admin ainsi que mon compte FTP ! Je peux comprendre qu’ils en aient besoin mais ne les connaissant pas, j’ai préféré rester prudent.
    Quel degré de confiance peut-on leur accorder ? Une formule payante offre-t-elle plus de garanties que la formule gratuite ?
    Merci ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *