La sécurité de votre site WordPress : Conseils & Plugins essentiels
Si vous possédez un blog ou un site sous WordPress, vous faites partis des cibles très sensibles des pirates informatiques. Ces derniers mois, des milliers de site WordPress se sont vus infiltrés par des pirates et rendu leurs sites si ce n’est inutilisables, bourrés de spams et de Torjan susceptibles d’atteindre tous vos internautes (déjà qu’on a du mal à les faire venir alors on ne va pas en plus infecter leurs ordinateurs !).
J’ai personnellement été victime de plusieurs attaques de pirates sur deux de mes sites et c’est pourquoi j’ai décidé de faire un post sur les points de sécurité à mettre en place si vous voulez plus de sécurité pour votre site et pour vos chers visiteurs…
Si vous appliquez toutes ces précautions, vous aurez un site un plus préservé d’attaques groupés, mais il ne faut pas oublier que si réellement vous étiez la cible direct d’un hacker (conseil pratique : Ne jamais se mettre un hacker à dos 
), alors toutes ces mesures le retarderont peut-être un peu, mais ne l’arrêteront pas.
Comment protéger votre site des méchants pirates une fois pour toutes ?
Pour commencer, assurez-vous de toujours posséder la dernière version de WordPress et de systématiquement faire vos mises à jour. Cela va de soi également pour tous vos plugins.
Conseils essentiels
Changer le préfixe par défaut “_wp”
Lorsque vous installez un site WordPress, dans le fichier wp-config.php, vous indiquez le préfixe qu’auront toutes vos tables dans votre base de données. Par défaut, celui-ci est appelé “_wp“.
Si vous êtes sur le point d’installer un site sous WordPress, pensez donc à changer cette valeur dans votre fichier wp_config.php. La ligne à rechercher :
Modifiez :
$table_prefix = ‘wp_’;
par :
$table_prefix = ‘xx_’;
Si vous avez déjà installé votre site et que, oh malheur! Vous n’avez pas pensé à faire cette modification, vous pouvez le faire facilement avec le plugin, WP Security Scan plugin.
Vérifier les autorisations d’accès à vos répertoires avec les Chmods :
Vous pouvez consultez le post faisant déjà référence aux réglages des Chmods ici :
http://creative-people.net/securiser-votre-site-wordpress-les-chmods/
Créer un fichier .htaccess
Une fois votre installation de WordPress terminée, il est primordial d’y créer des fichiers .htaccess qui vous permettront de sécuriser votre site internet.
Mais d’abord qu’est-ce qu’un fichier .htaccess ?
Un fichier .htaccess, est un fichier de configuration Apache, qui va vous permettre de pouvoir définir des règles et droits d’accès à vos répertoires et sous répertoires. Il agit sur les fichiers et sous-répertoire du répertoire dans lequel il est placé.
Quoi mettre dans mon fichier .htaccess ?
Il y a beaucoup de manière de configurer votre fichier .htaccess, qui dépendent de votre hébergeur (certaines configuration sont inutiles parce que déjà présentes sur votre serveur), et surtout du niveau de sécurité dont vous avez besoin. Je vous propose ici une solution simple et basique qui est loin d’être exhaustive :
- Placer un .htaccess dans votre /root (à la racine de votre site):
<files wp-config.php>
order allow,deny
deny from all
</files>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
ServerSignature Off
Options All -Indexes
Options +FollowSymLinks
# SVN protect
RewriteRule ^(.*/)?\.svn/ – [F,L]
# Secure .htaccess
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>
- Placer un .htaccess dans votre …/wp_includes :
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
Utiliser un fichier Robots.txt pour interdire certains accès
Les fichiers Robots sont utilisés pour indiquer aux moteurs de recherche quels dossiers de vos sites ils ne doivent pas inspecter. Si vous voulez leur dire de ne pas aller fouiner dans certains dossiers inutiles pour eux, comme le dossier “wp_admin” ou le dossier de “themes”, copiez-collez le code suivant dans un document texte et enregistrez le sous “robtots.txt” puis transférez le à la racine de votre site :
#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Masquer les messages d’erreur de Login
Les messages d’erreurs de “Login” vous rendent vulnérable et donne une idée aux hackers si ils ont juste ou non avec un nom d’utilisateur ou un mot de passe. Il est recommandé de masquer ces messages aux utilisateurs non autorisés. Pour masquer ces messages, placez simplement le code suivant dans le fichier “functions.php“.
add_filter('login_errors',create_function('$a', "return null;"));
Protéger votre dossier Wp-Admin
Protéger votre dossier “wp_admin” des intrusions, vous offrira un niveau de protection supplémentaire. N’importe qui pouvant accéder à ce dossier, aura le pouvoir de connaître vos mots de passe et donc de s’identifier en votre nom.
Il vous suffira de quelques clics pour protéger votre dossier “wp_admin” par un nom d’utilisateur et un mot de passe :
- Avec un plugin – En utilisant AskApache Password Protect plugin.
Interdire la navigation directe dans les répertoires de votre site
Un autre point sensible de votre site est la navigation directe dans vos dossiers. Voilà une astuce pour vérifier si les répertoires de votre site sont directement accessibles par n’importe quel internaute, entez l’url suivante dans votre barre d’adresse :
http://www.tonsiteweb/wp-includes
Si votre navigateur affiche une page blanche ou vous redirige vers votre page d’accueil, vous êtes sauvé.
Si vous voyez un écran similaire à celui ci-dessous, vous avez un problème et il vous faut régler les accès aux répertoires de votre site. Pour cela vous pouvez consulter ce post qui parle du sujet :
http://creative-people.net/securiser-votre-site-wordpress-les-chmods/
Et placez le code ci-dessous dans votre fichier .htaccess à la racine de votre site
# Prevent folder browsing Options All -Indexes
Avoir des mots de passe en béton
Vos mots de passe sont-ils réellement efficaces ? Un mot de passe efficace est plus que juste quelque chose de simple à retenir. Votre mot de passe doit contenir un minimum de 12 caractères avec une combinaison de chiffres et de lettres en majuscules et minuscules.
Voici quelques applications qui vous permettront de générer un mot de passe digne de ce nom :
Vous pouvez tester la robustesse de votre mot de passe sur le site ci-dessous :
Supprimer l’utilisateur “Admin”
Par défaut à l’installation de votre site WordPress, un utilisateur “Admin” est créé. Si vous conservez cet utilisateur, vous facilitez la vie des pirates de 50%. Créez un nouvel administrateur et supprimez le profil “Admin”
- Enregistrez-vous sur votre tableau de bord WordPress
- Allez sur Utilisateurs -> Ajouter nouveau
- Ajouter un nouvel utilisateur avec des droits Administrateur, assurez-vous de créer un mot de passe correct.
- Déconnectez-vous de WordPress, ré-enregistrez-vous avec votre nouvel identifiant.
- Allez sur Utilisateurs
- Retirez l’utilisateur nommé “Admin”
- Si vous avez écrit des posts sous ”Admin”, pensez bien à les attribuer au nouvel utilisateur avant de le supprimer.
Faire des Backups (sauvegarde)
Faire des sauvegardes régulières de votre site tout entier est primordial. Si vous échouez dans votre lutte contre les Hackers, vous aurez au moins tous les moyens pour remettre votre site en place.
Des plugins pour une meilleure sécurité
WP DB Backup
WP DB Backup est un plugin simple qui vous permettra de faire une sauvegarde de votre base de données en quelques clics.
Ce plugin scannera votre site pour y trouver les points vulnérables et vous aidera a y remédier.
Ce plugin limitera le nombre de tentatives de connexions possibles à votre tableau de bord.
Encore un autre plugin bien utile, qui vous permettra de gérer facilement votre base de données. Il peut être utilisé en alternative au plugin WordPress Backup Manager.
Antivirus est un plugin très populaire qui vous aidera à garder votre site à l’abri des bots,virus et malwares.
Un plugin qui vous aidera à lutter contre ces spammers malvenus et assez agaçants ! Bad Behavior ne vous aidera pas seulement à vous protéger des spams, mais tentera également de limiter l’accès de votre blog/site à ceux-ci, ce qui fait qu’ils ne seront même pas capables de lire votre site.
A propos de l’auteur
