Quelques conseils pour sécuriser WordPress

Pour peu que votre site WordPress soit totalement intégré dans une stratégie globale de communication, vous ne pouvez vous permettre de faire l’impasse sur quelques mesures basiques de sécurité. Il en va de même si votre site représente une partie plus ou moins importante de vos travaux.

Quand on parle de sécurité sur WordPress, on pense tout de suite à des choses compliqués, des trucs réservés à des gars vissés sur une chaise nuit et jour, nourris à la pizza et désaltérés à grand renfort de cette célèbre boisson gazeuse dans une bouteille un peu rouge.

Que nenni ! Si le niveau «zéro risque» n’existe pas en informatique (et n’existera jamais), vous pouvez tout de même vous donner la peine d’installer deux trois petites choses qui vont vous permettre de dormir un peu plus tranquille.

Lors de l’installation de WordPress

Lorsque vous installez WordPress, il vous est demandé de choisir un préfixe pour les tables utilisées par votre site. Par défaut, WordPress propose «wp_». Il est vivement recommandé d’utiliser autre chose. Choisissez ce que bon vous semble, le temps passé à chercher le bon préfixe, notre hacker ira peut être voir ailleurs.

Depuis WordPress 3.1, vous pouvez également choisir un login pour le compte admin. Choisissez quelque chose qui ne soit pas «admin1» par exemple. Utilisez un login un peu complexe. Il en va de même pour le mot de passe. Nhésitez pas à mixer chiffres et lettres.

Enfin, créez-vous un compte rédacteur pour rédiger vos contenus au quotidien. Inutile d’avoir des droits d’admin pour les tâches courantes.

Le backup

C’est idiot à dire, mais la sauvegarde de vos données est le point de départ pour contrer toutes actions malveillantes à l’encontre de votre site. Selon votre rythme de publication, cette sauvegarde peut-être hebdomadaire ou quotidienne. Certains plugins vous permettent d’externaliser les fichiers sauvegardés, vous pouvez les envoyer où bon vous semble, soit par mail, soit par FTP. Télécharger le plugin BackWPup pour WordPress

Le .htaccess

Certains répertoires ou fichiers de WordPress sont sensibles. Quelques lignes de codes ajoutées au fichier .htaccess vont vous permettre de protéger ces dossiers et fichiers. L’objectif est de sécuriser le dossier wp-admin, le fichier wp-config.php et le fichier .htaccess par lui même. Précision, le fichier .htaccess doit se trouve à la racine de votre site.

Source et instructions : nicolargo.com

Les plugins

WordPress propose plusieurs plugins pour vous aider à sécuriser aux mieux votre site. Si cette protection n’est certes pas optimale, ne vous en privez pas.

Security Scan va, comme son l’indique, scanner votre arborescence à la recherche de failles communes : droits d’accès au fichiers, les mots de passes, la base de données pour finalement vous livrer un rapport complet et les actions à mettre en oeuvre.

Better Security va quand à lui mettre en place un nombre conséquent de petites actions pour rendre votre WordPress un peu plus sûr. Dans le même esprit, vous pouvez également tester Secure WordPress

Gare aux plugins !

Paradoxal n’est-ce pas, surtout après avoir parlé de quelques extensions censées sécuriser votre WordPress. Il n’empêche que les plugins restent la plus grosse source de failles sur une installation WordPress.

Aussi, je souhaitais vous signaler qu’il existe une solution, certes payante (vos données n’ont pas de prix) qui va vous permettre d’auditer la sécurité d’un ou plusieurs plugins sur votre WordPress.

Dans un premier temps, veuillez installer le plugin BAW WordPress Plugin Security Checker, qui, comme son nom ne l’indique pas, est une extension made in France.

Une fois installé, vous pourrez alors vérifier la sécurité de vos plugins, et cas échéant, commander un audit de ces derniers. Très pratique dans le cas d’un site d’entreprise, ou d’un site dit «sensible».

Télécharger BAW Plugin Security Checker

Conclusion

Nous venons de le voir, les premières actions à mener pour sécuriser WordPress ne requiert pas des compétences de Hacker. La seule étape un peu compliqué pour néophytes serait la mise en place du .htaccess, néanmoins, si vous deviez caler sur cette étape, les forums d’entraide de WordPress seront là pour vous secourir.

12 replies to this post
  1. Merci pour ce bilan. Que des choses simples à faire.
    Un backup, un login/mot de passe bien pensé et faire attention aux plugins sont déjà un bon début.
    Même s’il est vrai que le risque Zéro n’existe pas, mettre en place ces quelques principes devrait déjà limiter les risques.
    J’ajouterais peut-être un fichier .htpasswd pour protéger l’interface d’administration et une mise à jour régulière des plug-in installés.

    Bonne journée

  2. En ce qui concerne la protection de l’administration, je ne l’ai pas noté, j’ai mis un lien, dans le coprs de l’article, vers un site qui détail très bien ces aspects là.

  3. les infos fournis par nicolas sont pas mal, on regrette simplement que cela ne soit pas à la porté de tout le monde. Ni que les explications soit destiné au hébergement non mutualisé.

    Pour moi, Il manque clairement les bases. lors de l’installation et également après.
    Je pense qu’on va sortir un guide. Où on reprend tout depuis le début.

  4. vous pouvez aussi renommer le dossier wp-admin
    par exemple http://www.basketsession.com/ [wp-admin] ^^

    deuxieme chose, le login admin est à bannir fortement !
    saviez-vous que si vous testez un login et qu’il s’agit du bon login alors il restera ecrit. (un cookie est créé)
    vous pouvez tester tjrs sur le meme site…

    pour ce site on a l’admin / login, manque plus que le mot de passe ^^.

    ceux qui sont en mutualisé, vérifier que register_global est bien à OFF !!!

  5. troisième chose
    insérer cette ligne dans votre fichier functions.php du theme
    remove_action(‘wp_head’, ‘wp_generator’);

    elle permet d’enlever la version de WordPress que vous utilisez dans le code html ! sachant que des bugs peuvent résider si vous avez pas fait les mises à jour.

  6. Oui je sais pour la doc, je l’ai également lu 😀 .Mais je te remercier d’avoir participer à cette discussion et d’avoir trouvé intéressant de souligné ce point que nous trouvons très important également. Bonne journée

  7. ^^ bon c’est cool
    tu pourras garder en memoire mon mail et me faire parvenir ton guide ?
    il sera dispo quand ?

  8. Bonjour,

    Très intéressant ce billet que j’ai lu avec attention pour armer mon blog.

    amicalement

Leave a Reply