Sécuriser WordPress

Classé dans : WebMaster - Mots clés : sécurité, wordpress

Voici une liste des choses à faire pour sécuriser votre site WordPress !

WordPress est déjà relativement sûr mais étant la plate-forme la plus utilisée ... c'est aussi celle que les hackers vont préférer ! Il est donc nécessaire de rajouter des éléments de sécurité.

Sauvegardes

La première des sécurités est d'archiver des sauvegardes (sur un autre serveur que celui utilisé pour le site) afin d'être sur de pouvoir récupérer ses données en cas d'incident grave. La plupart des hébergeurs effectuent des sauvegardes régulièrement (généralement journalière) pour vous, sinon vous pouvez ajouter un plugin de sauvegarde.

Actions de base

Il faut effectuer les actions qu'on réalise pour tout système :

  • mettre à jour les éléments : WordPress, les plugins et le thème utilisé (pensez à utiliser un thème enfant)
  • choisir des mots de passe complexes : au moins 8 caractères et mélange de chiffres et lettres majuscules et minuscules.
  • ne pas utiliser de login admin mais en créer un autre !

Spécifiques WordPress

  • On supprime le numéro de version (que des hackers peuvent utiliser pour trouver des failles ... pour le cas où on aurait oublier de mettre à jour), en ajoutant au fichier fonctions.php :

remove_action("wp_head", "wp_generator");

  • Dans la même idée, on supprime le fichier readme.html (à la racine du site) qui contient le numéro de version de WordPress.
     ATTENTION :  à refaire après chaque mise à jour de WordPress.
  • On révoque l'accès au contenu des répertoires et aux fichiers wp-config.php et .htaccess, en ajoutant les lignes suivantes à .htaccess :

(On peut en faire encore plus en suivant les instructions de WP Marmite)

<Files wp-config.php>
order allow,deny
deny from all
</Files>
<Files .htaccess>
 order allow,deny
 deny from all
</Files>
#hide dir
Options All -Indexes

  • On re-nomme les pages de connexion (wp-admin et wp-login) à l'aide du plugin Move Login (qui est inclus dans le plugin SecuPress ... voir le dernier chapitre) ou WPS Hide Login.
  • (tant qu'on en est au login) On limite les tentatives de connexion par brute force en limitant le nombre d'erreurs à la connexion avec le plugin Limit Login Attemps Reloaded (SecuPress inclus cette fonction également).
  • On bloque les mauvaises requêtes http en installant le plugin  Block Bad Queries.
  • On renomme le préfixe des tables de la base de données en suivant les instructions de Informatique DIY (avec le renommage facile des tables dans phpMyAdmin) et aussi celles de WP Channel.
  • On peut aussi installer les plugins de sécurité : Acunetix WP Security, Bulletproof security, iThemes security, Wordfence security ou encore Sucuri security.

Tester la Sécurité

Pour tester la sécurité de son site :

  • On peut tester son site depuis WordPress Security Scan.
  • On peut installer WP Scan sur son ordinateur, pour lancer les tests directement depuis son ordinateur.
  • On peut installer le plugin SecuPress qui fera une analyse de sécurité mais qui permet également de prendre des mesures pour sécuriser le site : probablement le meilleur outil de sécurité pour WordPress !

Passer en HTTPS

D'un point de vue de la sécurité, il n'est pas obligatoire de passer un site en HTTPS. Cela n'est impératif que si vous utilisez des informations confidentielles (mots de passe, numéro de carte bleu etc) : HTTPS chiffrera les données saisies (ainsi que tout le reste) grâce à SSL ... donc un pirate qui "écouterait" le réseau pour lire vos informations ne verrait que des données encryptées.

Lisez dans un autre post les opérations à effectuer pour changer un site HTTP en HTTPS.

 

EDIT : J'ai également écrit un article sur la sécurité avancé dans WordPress, qui pourrait vous intéresser.

Bonne sécurisation de votre site ! ! !  wink

 

[ Aucun commentaire ]

© Le Computing Froggy  !

Écrire un commentaire

Quelle est la troisième lettre du mot 68e5bn ? :