Sécurisation de WordPress: trucs et astuces

WordPress est un fantastique système de gestion de contenu utilisé par des dizaines de millions de sites à travers le monde. Étant donné la popularité de WordPress à l’échelle mondiale, il n’est pas surprenant que les méchants sur Internet ciblent souvent les utilisateurs de WordPress pour toutes sortes d’attaques malveillantes. Quelles sont les solutions accessibles pour protéger son site WordPress de manière relativement rapide et gratuite? Lire la suite pour quelques conseils pour réduire vos chances d’être victime d’une attaque.

1 / Effectuer les mises à jour WordPress

Mise à jour WordPress

 

Les dernières versions de WordPress permettent d’effectuer la mise à jour en un seul clic. Vous pouvez lancer la mise à jour en cliquant sur le lien dans la bannière « nouvelle version disponible » ou en allant sur le tableau de bord> écran mises à jour.
Une fois sur la page « Mise à jour de WordPress », cliquez sur le bouton «Mettre à jour» pour démarrer le processus. Une fois terminé, votre version de WordPress sera à jour.

En général, les étapes suivantes sont recommandées lorsque vous effectuez une mise à jour:

  1. Sauvegardez votre site web
  2. Désactivez toutes les extensions de gestion de cache
  3. Mettez à jour vos extensions et votre thème WordPress
  4. Mise à jour WordPress
  5. Réactivez votre extension de gestion de cache et effacez votre cache

 

2 / Sauvegarder les fichiers de son site Web

Ayez toujours une gestion de sauvegarde solide et régulière pour votre site web. Ce n’est pas seulement le piratage qui peut compromettre votre site Web, mais d’autres facteurs comme une mise à jour défectueuse ou une installation d’extension.

Un plugin tel que UpdraftPlus permet une sauvegarde complète et régulière de vos fichiers et base de donnée.

3 / Gérer vos extensions

Extensions WordPress

 

La possibilité d’installer des extensions (plugins) d’une tierce partie est ce qui rend WordPress si populaire, mais c’est aussi le premier point d’entrée permettant une attaque sur votre site web. La mise à jour de toutes les extensions est également une tache que vous devez assurer régulièrement.

Pour cette raison, il est important de n’installer que les extensions qui ont une bonne réputation. Lisez  les commentaires sur le site  des Plugins WordPress car de nombreux plugins contiennent du code vulnérable, qui rend l’attaque de votre site très facile pour les pirates.

Vérifiez également s’il y a des vulnérabilités connues dans le plugin que vous vous apprêtez à installer. Cela peut être fait sur Secunia ou ExploitDB .

 

3 / Supprimer les extensions inutilisées

Les gens testent souvent différents plugins ou thèmes et oublient de les enlever une fois qu’ils ont fini de travailler dessus. Même désactivés, ils peuvent créer un risque potentiel pour la sécurité. Il est donc fortement conseillé de les enlever après tout test complété.

4 / Utiliser des identifiants sécurisés

Norton créer mot de passe

 

Pour tous les sites Web que vous fabriquez, vous aurez à créer et à gérer de nombreux comptes d’utilisateur. Pour chacun d’entre eux il convient de créer un mot de passe sécurisé. Choisir un mot de passe compliqué, que d’autres personnes ne pourront deviner facilement consiste en la création de combinaisons improbables de lettres et de chiffres.

Un bon mot de passe:

  • fait au moins huit caractères
  • ne contient pas votre nom d’utilisateur, nom réel, ou le nom de l’entreprise
  • ne contient pas un mot complet
  • est différent des mots de passe utilisés précédemment
  • contient un mélange de lettres minuscules, majuscules et de chiffres

Vous pouvez utiliser un outil gratuit comme le Safe Password Generator Norton Identity pour créer un mot de passe complexe pour vos comptes WordPress.

 

5 / Bloquer les visiteurs indésirables

Les bots sont des programmes informatiques automatisés exploités par des pirates qui utilisent ces outils pour attaquer de manière agressive votre site Web pour en gagner l’accès. Cela peut rapidement consommer de la bande passante et des ressources qui seront imputées sur votre offre d’hébergement, et pourrait compromettre l’accès à votre site WordPress.

Vous pouvez utiliser la 5G Blacklist fournies par Perishable Press.

La 5G Blacklist est une black list simple, flexible à ajouter à votre fichier .htaccess actuel. Cette liste aide à réduire le nombre de demandes malveillantes qui attaquent votre site. Ce « tri » advient coté serveur, et vous permet donc l’économie de ressources importantes pour votre site WordPress ainsi sa protection contre les visiteurs indésirables.

6 / Protéger votre page d’administration

Vous pouvez améliorer considérablement la sécurité de votre site WordPress si vous limitez l’accès à votre espace d’administration.

Vous pouvez restreindre l’accès au répertoire / wp-admin à votre adresse IP.

Créez un fichier appelé « .htaccess » dans votre répertoire / wp-admin

Ouvrez le fichier et ajoutez les lignes suivantes

Deny from ALL
Allow from x.x.x.x

 

Notez que vous devez remplacer xxxx par votre adresse IP publique réelle. Pour connaître votre adresse, vous pouvez utiliser la whatismyip.com . Pour ajouter plusieurs adresses IP, ajoutez simplement autant autant de lignes « Allow from x.x.x.x  » que nécéssaires.

Attention: si votre fournisseur de services Internet vous fournit une adresse IP dynamique, l’option de restriction IP pourrait ne pas être appropriée pour vous: vous auriez à éditer le fichier .htaccess à chaque fois que votre IP change.

 

7 / Changer l’utilisateur Admin

Dans WordPress le nom d’utilisateur par défaut pour le super administrateur est… « admin ».
Les pirates se servent habituellement de ce login lors d’une attaque par « brute force« . Le simple fait de changer le nom de cet utilisateur réduit d’emblée considérablement les attaques qui tentent de craquer le compte de l’administrateur (admin). Il existe aussi d’autres attaques qui peuvent tenter de deviner l’ID par défaut du compte administrateur pour accéder au site.

Pour la procédure suivante faites très ATTENTION, une fausse manœuvre vous ferait perdre tous vos articles!

Pour créer un nouveau compte administrateur :

  1. Connectez-vous à votre espace admin WordPress.
  2. Cliquez sur « Ajouter » dans le menu « Utilisateurs ».
  3. Saisissez les informations du nouveau compte d’utilisateur. Vous devez utiliser une adresse email différente de ce que vous avez configuré pour votre login d’utilisateur « admin ». Assurez-vous de sélectionner « Administrateur » comme rôle. Choisissez un nouveau nom d’utilisateur qui n’est pas semblable à celui que vous affichez publiquement sur votre blog.
  4. Cliquez sur le bouton « Ajouter un utilisateur ».
  5. Déconnexion de WordPress.
  6. Connectez-vous à votre WordPress à nouveau, en utilisant votre nouveau nom d’utilisateur.
  7. Cliquez sur « Tous les utilisateurs » dans le menu « Utilisateurs ».
  8. Cliquez sur la colonne « Administrateurs ». Passez votre souris sur « admin » puis cliquez sur « supprimer » la case de l’utilisateur « admin » puis dans le menu « Actions groupées » choisissez « Supprimer ».
  9. Sélectionnez « Attribuer tout le contenu à » puis sélectionnez votre nouveau nom d’utilisateur dans la liste déroulante. Assurez-vous que vous sélectionnez cette option sinon tous vos messages seront supprimés!
  10. Cliquez sur le bouton « Confirmer la suppression ».

8 / Mettre en œuvre une authentification forte

Double authentification

 

L’authentification « forte » requiert au minimum deux facteurs d’authentification. Une technique courante est celle de l’ajout d’un code généré par une application sur votre iphone ou smartphone comme second facteur d’authentification.

Un moyen rapide et facile est d’utiliser Google authenticator

Il vous faudra installer le plugin sur WordPress, et l’application sur votre smartphone android ou iphone

9 / Désactiver l’accès au dossier wp-content

Les images téléchargées et les autres médias sont stockés dans le dossier wp-content. Pour empêcher l’accès non autorisé à ce dossier créez un fichier .htaccess dans votre dossier / wp-content / en y insérant ces lignes:

Order Allow,Deny
Deny from all
<files ?.(jpg|gif|png|js|css)$? ~>
Allow from all

 

10 / Désactiver l’exploration des répertoires de WordPress

Pour empêcher les visiteurs de naviguer dans  vos dossiers du site et d’afficher leur contenu, vous pouvez interdire la navigation par répertoire pour votre site web. Créez ou modifiez un fichier .htaccess existant dans votre répertoire racine WordPress avec le contenu suivant:

Options -Indexes

 

11 / Désactiver l’édition de fichiers via le tableau de bord

Dans une installation de WordPress par défaut, vous pouvez naviguer à Apparence> Editeur et modifier l’un de vos fichiers de thème à droite du tableau de bord.

Toutefois, si un pirate a réussi à accéder à votre panneau d’administration, il pourrait également modifier vos fichiers de cette façon, et exécuter le code qu’il voulait.

C’est donc une bonne idée de désactiver ce mode d’édition de fichiers, en ajoutant la ligne suivante à votre fichier wp-config.php:

define( ‘DISALLOW_FILE_EDIT’, true );

Damien Mesnager

Je fabrique des sites internet depuis 1996. 20 ans déjà...
Cette expérience, au-delà des compétences techniques et artistiques acquises, me permet de conseiller mes clients de manière pédagogique et efficace, sans charabia incompréhensible !
A chacun son métier...
WEB USER SAS existe depuis 2013

un commentaire, un avis ?

commentaires