Ultimate Security Checker est une extension vous permettant d’analyser la sécurité de votre installation WordPress. Dans les options de l’extension, un premier scan est effectué, de façon automatique. Une note vous est alors attribuée selon le niveau de sécurité de votre installation. Allant de 0 à 104 et de A à D, réparties sur six thèmes, cela permet de se faire une idée de l’optimisation effectuée au niveau de la sécurité.
Ultimate Security Checker explique également les marches à suivre pour améliorer ce résultat. Un point important pour cette extension, sortant ainsi du lot. Voici un récapitulatif des différents points mentionnés, ainsi que quelques conseils.
Les mises à jour
Il est important d’effectuer régulièrement les mises à jour vos extensions, thèmes et en priorité… de votre installation WordPress. Récemment, la version 3.1.2 de WordPress corrige principalement une faille de sécurité. Il est donc nécessaire de tenir à jour votre blog.
Désactiver l’éditeur de thèmes/plugins
Par défaut, depuis le panel d’administration de WordPress, il vous est possible d’éditer les fichiers de vos thèmes et extensions. Pour des raisons de sécurité, il est préférable de le désactiver avec la fonction DISALLOW_FILE_EDIT. Pour cela, il vous suffit de coller le bout de code suivant dans le fichier « wp-config.php » de votre installation WordPress.
[code]
define(‘DISALLOW_FILE_EDIT’, true);
[/code]
Masquer le numéro de version de WordPress
Bien que cette information peut être récupérée autrement, il est quand même recommandé de la masquer, un minimum. Ce numéro de version est disponible dans le fichier « readme.html » présent à la racine de votre blog, dans les flux d’informations, dans le haut de page (header.php) de votre thème, etc. Pour masquer le numéro de version de WordPress, il vous suffit de coller le bout de code suivant dans le fichier « functions.php » de votre thème.
[code]
function GkGenerator() {
return »;
}
add_filter(‘the_generator’, ‘GkGenerator’);
[/code]
Supprimer les fichiers inutiles
Dans une installation par défaut de WordPress, certains fichiers sont inutiles et il est préférable de les supprimer. Le fichier « readme.html » (présent à la racine du blog), cité un peu plus haut en fait partie, ainsi que le fichier d’installation de WordPress (install.php) présent dans le dossier « wp-admin ».
Vous protéger des requêtes malveillantes
Le code de Perishable Press est présenté comme une bonne solution pour se protéger contre les requêtes malveillantes. Le code est à placer dans le fichier « functions.php » de votre thème.
[code]
if (strpos($_SERVER[‘REQUEST_URI’], « eval(« ) ||
strpos($_SERVER[‘REQUEST_URI’], « CONCAT ») ||
strpos($_SERVER[‘REQUEST_URI’], « UNION+SELECT ») ||
strpos($_SERVER[‘REQUEST_URI’], « base64 »))
{
@header(« HTTP/1.1 400 Bad Request »);
@header(« Status: 400 Bad Request »);
@header(« Connection: Close »);
@exit;
}
[/code]
Changer les permissions
Petit rappel concernant les permissions autorisées des dossiers de votre installation WordPress. Notons que pour changer les permissions d’un dossier, il vous suffit de faire clic droit (depuis le navigateur FTP) sur le dossier, puis « Informations ».
- Le dossier /wp-content/
- /themes/ & /plugins/
- /wp-admin/ & /wp-includes/
- Le fichier wp.config.php
- Le .htaccess
Ce dossier doit avoir une permissions 755. Mais si une extension vous demande une permissions 777 (temporaire), il n’y a pas de risque.
Ces dossiers doivent avoir une permissions 755
Ces dossiers doivent avoir une permissions 755
Il doit avoir une permission 400 ou 440
Il doit avoir une permission 644 ou 664
Publié à l'origine le : 29 avril 2011 @ 12 h 39 min
