Sécuriser WordPress

Mesures de sécurité essentielles à WordPress

1- Le compte Admin

En premier lieu, quelque soit la méthode d’installation choisie, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé.

Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine.

 

2- Mot de passe

Il faut toujours utiliser des mots de passe complexes associant lettres, symboles et chiffres.

Il vous faut employer de préférence un générateur de chaîne aléatoire de plus de 8 caractères. Vous aurez ainsi un login bien plus sûr.

 

3- Pensez à restreindre le nombre d’essais d’identification

Plusieurs plugins permettent de vous protéger des attaques par “force brute”, c’est-à-dire les tentatives pour deviner votre mot de passe par une recherche de toutes les combinaisons possibles.

Installez une extension qui bloque les tentatives répétées d’une même adresse IP. (WPS Limit Login par exemple). Si un robot tente d’entrer sur votre site, cela bloque l’accès pendant un certains temps. Une fois l’extension installée, vous pouvez paramétrer le nombre d’essais que vous voulez avant blocage et le temps de connexion après le blocage.

 

4- Pensez à masquer la version de votre WordPress

Votre version donne des informations aux hackers pour trouver d’éventuelles failles de sécurité. Dans le fichier function.php de votre thème, ajoutez ce bout de code :

remove_action("wp_head", "wp_generator");

Le numéro de version WP se trouve également dans le fichier readme.html situé à la racine de votre WordPress (fichier à supprimer également)

 

5- Faites des sauvegardes

Les backups du système sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque.  Il vaut mieux prévenir que guérir!

Sous WordPress les solutions pour la sauvegarde ne manquent pas. Voir comment sauvegarder WordPress ?

 

6- Soyez prudent lorsque vous téléchargez des templates

Les thèmes gratuits télécharger au hasard du web peuvent révéler de nombreux virus.

Pour vous protéger, installez un plugin de type TAC, comme par exemple : Theme Authenticity Checker, celui-ci scanne et analyse les thèmes à la recherche d’un éventuel virus.

 

7- Faites des mises à jour régulières

C’est du basique mais cela reste essentiel, toujours avoir la dernière version, c’est essentiel !

Encore une fois avant toute mise à jour, pensez à sauvegarder votre site.

 

8- Ajouter/changer les clefs de sécurité secrètes

Les clés d’authentification SALT créent un cookie d’identification qui protège votre installation.

Si ces codes ne sont pas présents dans votre fichier wp-config.php, vous pouvez les générer et les ajouter en vous rendant sur https://api.wordpress.org/secret-key/1.1/salt/

wordpress-salt-keys

 

9- Protégez vos fichiers

Bloquez la navigation dans vos dossiers WordPress. Par défaut, n’importe qui peut accéder au contenu de vos dossiers WordPress (wp-content) via un simple navigateur.

Pour protéger le fichier wp-config via votre .htaccess, ajoutez:

<Files wp-config.php>
 order allow,deny
 deny from all
</Files>

Pour cacher les répertoires sensibles toujours via le htaccess:

Options All -Indexes

Enfin pour protéger le fichier htaccess lui-même:

<Files .htaccess>
 order allow,deny 
 deny from all 
</Files>

 

10- Changez le préfixe “wp_”

Par défaut le préfixe des tables de la base MYSQL pour WordPress est “wp_”. Ce préfixe est connu de tous et peut être vulnérable en cas d’injection.

Utilisez le plugin Brozzme DB Prefix,  un outil en un clic pour modifier votre préfixe de base de données (base de données et wp-config.php). Pour appliquer un nouveau préfixe, il vous suffit de vérifier que le wp-config.php est inscriptible et que les droits Alter de la base de données sont activer.

Une seule entrée est nécessaire : le nouveau préfixe de base de données. Le plugin va s’occuper de tout. Vous n’avez qu’à appuyer sur le bouton si vous êtes ok avec le préfixe généré. Bien sûr, le préfixe peut être modifié pour répondre à vos besoins.

 

11- Masquez les erreurs de connexion

WordPress renvoie un message bien trop explicite en cas de problème de connexion, ajouter la ligne suivante à votre functions.php du thème permet d’afficher un message d’erreur banalisé:

add_filter('login_errors',create_function('$a', "return null;"));

 

12- Désactiver l’éditeur de fichiers

Empêchez l’édition de vos fichiers directement depuis WordPress, ajouter simplement la ligne suivante à votre functions.php:

define('DISALLOW_FILE_EDIT',true);

 

13- Déplacer votre PhpMyAdmin

Cette application Web permet de gérer vos bases de données, située généralement à l’adresse suivante: /monsite.com/phpmyadmin, il est fortement recommandé de la déplacer (voir avec votre hébergeur ou infogérance).

 

14- Déplacer votre page de login

A l’aide d’un simple plugin tel que WPS Hide Login vous pouvez changer votre URL de connexion WordPress et limiter ainsi les attaques par “Brut Force” des hackers.

 

15- Choisissez un hébergement spécialisé WordPress

Laissez votre hébergeur se préoccuper de la sécurité. Avec un hébergeur WordPress, votre site est entre de bonnes mains, certes plus cher que le mutualisé, ce type d’hébergement maintient, protège, répare et optimise votre site.

 

Aller plus loin pour sécuriser WordPress

Sur un site WordPress, deux notions essentielles sont à penser le filtrage et la désinfection. Un utilisateur peut s’infiltrer par des moyens multiples et le codage sert à détecter le piratage (chaines de caractères suspects, emails incorrects). Un bon codage sert à bloquer ces tentatives d’intrusions. La désinfection se fait à l’aide un antivirus efficace qui scanne les failles de sécurité de votre site.

Pensez à vous informer régulièrement sur les nouvelles failles de sécurité. Elles sont nombreuses et en étant vigilant, vous pouvez les devancer et être toujours bien protégé. Pensez à être constant dans vos vérifications de sécurité, car elles ne peuvent jamais être sûres à 100%.

Voici quelques sites pour suivre les alertes et failles détectées: Vigilance.fr ou bien encore Blog.secupress.fr

 

En bonus, retrouvez ci après 4 solutions pour renforcer la sécurité de WordPress:

  • Passer votre WordPress en HTTPS, c’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité. Les sites sécurisés via SSL bénéficient en outre, d’un avantage pour leur référencement dans les pages de résultats de recherche.
  • Un moyen détourné pour se protéger est de camoufler son WordPress, pour se faire il existe le plugin HideMyWp. Ce dernier déplace certains répertoires et masque le fait que vous utilisiez un WP. Attention toutefois sa configuration peut être périlleuse…
  • Enfin, l’antivirus que je préfère : WordFence. C’est un plugin freemium, c’est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium. Très efficace et performant, je vous invite à lire le tutoriel complet de cet antivirus pour WordPress.
  • Enfin si pour votre WordPress il est déjà trop tard, consultez notre guide : WordPress piraté, comment réagir ?

 

Enfin et pour conclure : Protégez votre travail par de vrais mots de passe sécurisés, faites des sauvegardes régulières, installez un antivirus qui scanne régulièrement votre site et vos fichiers. Ce sont là des actes de préventions importants.

Ces 4 plugins gratuits sécurisent ton site :

  • Renforce la sécurité avec des protections
  • Sauvegarde pour effectuer une récupération
  • Préviens les attaques

Cela ne prend que quelques minutes pour les paramétrer à l’aide de ce tutoriel détaillé.

Tu retrouveras également 5 bonnes pratiques pour protéger ton site WordPress.

Cet article prend environ 7 minutes à lire. Si tu n’as pas le temps, tu l’épingles sur Pinterest pour le lire plus tard.

sécurise efficacement ton site WordPress
sécurite de WordPress : 4 extensions indispensables

Tu retrouves 3 extensions simples à mettre en œuvre et accessibles à tous. Cloudflare s’adresse aux utilisateurs avancés et n’est pas obligatoire quand tu débutes car les risques d’une attaque massive contre ton site sont limités.

Je te propose un test rapide de ton site pour vérifier s’il n’est pas infecté avant de débuter les installations.

Une inspection minute avec Sucuri

Tu te connectes sur l’outil de test de protection de Sucuri et complètes l’URL de ta page d’accueil.

securi malware

Le scanner valide l’absence de malwares.

résultats sucuri

Il agrège 7 vérifications externes pour valider la sécurité du domaine.

vérification blacklist

Je te présente un outil incroyable pour optimiser la protection de WordPress.

SecuPress renforce la sécurité de WordPress

L’extension, en français, couvre tous les principaux thèmes liés à la sécurité de WordPress et sa version gratuite est, je trouve, particulièrement généreuse et évite de multiplier les extensions.

Les explications sont claires et l’interface efficace.

Tu installes SecuPress.

installer secupress

Secupress > Scanners

menu secupress

Tu audites ton site.

scanner site

SecuPress donne une note à ton site. Ne t’inquiète pas. C’est juste pour t’informer des actions qu’il va effectuer pour toi.

score secupress avant optimisation

Tu vas passer sur la partie Modules : SecuPress > Modules

Je passe volontairement les paramètres de la version payante (en orange).

Tu navigues à l’aide du menu à gauche.

menu des modules SecuPress

Utilisateurs & Login

Tu indiques la nouvelle adresse de ta page de connexion à l’administration. Une url du style “hudiushdkj63” sera impossible à trouver au hasard.

Tu notes soigneusement cette adresse. Dès ta prochaine connexion, tu accéderas à ton administration par monsite.com/hudiushdkj63.

déplacer la page de connexion à l'administration de WordPress

Tu limites les tentatives de connexion pour te prémunir contre des robots qui essaient toutes les combinaisons.

bloqueur tentatives frauduleuses

J’ai été plus conservateur que les recommandations concernant les limites :

  • Combien de tentatives avant de bannir ? : 3 (le minimum)
  • Combien de temps de bannissement ? : 60 minutes (le maximum)
limitation des tentatives de connexion

Tu caches les erreurs de connexion.

erreurs de connexions

Tu ajoutes, si tu le souhaites, une protection supplémentaire avec un captcha efficace contre les robots.

Si tu utilises Dashlane ou un autre gestionnaire de mots de passe, ne coches pas cette option.

Je me suis retrouvé banni de mon propre site !!!

captcha

Tu demandes l’ancien mot de passe quand un utilisateur veut le changer.

changement mot passe

Je n’ai pas encore d’utilisateurs que je souhaite bannir. Mais bon, c’est possible. Tu les gères dans la section Journaux et IP.

Tu bloques l’énumération des utilisateurs et des auteurs.

stopper énumération utilisateurs

Tu enregistres.

Plugins & Thèmes

Tu bloques les modifications sur ton thème et l’installation d’extensions. Tu devras désactiver ces options quand tu souhaiteras changer de thème ou installer de nouvelles fonctionnalités.

Tu interdis le chargement des thèmes directement sous format .zip.

interdiction zip

Tu bloques l’installation de nouveaux plugins

bloquer installation plugins

et l’installation de thèmes.

nouveaux thèmes

Cœur de WordPress

Tu forces les mises à jour mineures. Elles concernent uniquement le renforcement de la sécurité et présentent peu de risques.

Je suis plus mesuré pour les mises à jour des versions majeures.

Si tu as de nombreuses extensions, la probabilité d’une incompatibilité est non négligeable. Beaucoup suggèrent de laisser 2-3 semaines aux créateurs d’extensions pour finaliser les ajustements.

mises à jour wordpress

L’éditeur est idéal pour modifier simplement les fichiers CSS et PHP de ton thème enfant. Tu ne le désactives que si ton site est finalisé.

Tu filtres les uploads.

configuration wordpress

Données sensibles

Tu limites les multiples tentatives d’authentification du XML-RPC.

XML-RPC

Tu ajoutes un trou noir.

trou noir

Tu masques les informations qui pourraient aider les hackers et coches les 6 prochaines options :

  • affichage des fichiers dans les dossiers
  • divulgation des modules PHP
  • affichage de la version de PHP
  • affichage de la version de WordPress
  • accès aux fichiers mauvaises url
  • fichiers readme
masquer options sensibles wordpress

Parefeu

Tu bloques les mauvaises en-têtes :

  • les mauvais user-agents
  • les mauvaises méthodes de requêtes
  • les faux bots SEO
mauvaises requêtes

et les mauvaises URLs

  • mauvais contenus des URLs
  • scanners d’injections SQL
  • 404 sur les fichiers .php
mauvaises urls

Antispam

Tu peux désactiver les commentaires de ton site ou lutter contre les spams dans les commentaires. Je préconise de les conserver.

anti spam de SecuPress

Tu supprimes les codes courts, tu utilises une black list étendue et tu désactives les Pingbacks et Trackbacks.

autres réglages antispam

Journaux et IP

Tu peux bloquer des IPs et conserver l’activité de ton site. Je n’en ai pas vu l’intérêt pour l’instant.

Tu testes à nouveau ton site et obtiens la note la plus haute (B) sans acheter la version Pro. C’est largement suffisant pour l’instant.

La sauvegarde de ton site te sera utile pour restaurer une version saine en cas de piratage ou si tu réalises une mauvaise manipulation.

UpdraftPlus sauvegarde ton site

Tu installes l’extension UpdraftPlus WordPress Backup Plugin.

extension updraft plus

Réglages > Sauvegardes UpdraftPlus

réglages updraft

Tu cliques sur l’onglet Réglages.

Tu indiques la fréquence des sauvegardes automatiques.

fréquence sauvegardes

Je préconise une sauvegarde qui suit le rythme de publication avec 1 mois d’archives ou une dizaine de sauvegardes en quotidien.

Tu peux envoyer une copie de la sauvegarde vers des espaces de partage comme Google Drive ou Dropbox. Cela devient indispensable quand ton site prend du poids car il est plus rapide de réaliser un export à partir de ces services que de WordPress.

Tu vérifies qu’Extensions, thèmes, et téléversements soient sélectionnés

inclure dans la sauvegarde

ainsi que Tout autre répertoire trouvé dans WP-content.

wp-content

Tu ne touches pas aux exclusions.

Tu coches Courriel pour recevoir un avis de sauvegarde. C’est utile en cas de problème.

email

Tu enregistres.

Sauvegarde ponctuellement

Quand tu réalises une modification importante, c’est une bonne pratique de réaliser une sauvegarde manuelle.

Onglet Sauvegarder/restaurer

Tu cliques sur Sauvegarder

sauvegarde manuelle

et recommences.

confirmation sauvegarde

Tu obtiens ce message.

sauvegarde terminée

Restaure une version précédente

Onglet Sauvegarder/restaurer

Tu retrouves tes sauvegardes en bas et tu cliques sur restaurer.

restaurer

Tu sélectionnes tous les éléments et tu confirmes avec restaurer.

éléments à restaurer
confirme restauration

Tu ne fermes pas la page avant la fin de la procédure.

process de restauration
restauration complète

Cette extension est disponible dans le CPanel de certains hébergeurs (comme o2switch). Si tu as cette chance, ce serait dommage de passer à côté.

WP Tiger

Tu cliques sur WP Tiger

wp tiger

puis sur Gérer le site.

gérer site

Tu crées une nouvelle sauvegarde qui sera un clone de ton site.

nouvelle sauvegarde WP Tiger

Si tu débutes, tu passes directement aux bonnes pratiques. La configuration de Cloudflare est plus délicate.

Cloudflare prévient et bloque les attaques DDoS

Tu retrouves toute la démarche pour installer Cloudflare dans cet article sur l’optimisation de la vitesse de ton site. Cet outil possède de nombreuses autres fonctionnalités.

Je te présente celles concernant la sécurité.

Tu retrouveras le volume des menaces bloquées dans Analytics > Security

menaces

et le détail dans Firewall.

types menaces

Tu ajoutes dans les réglages (settings) du Firewall la protection contre les robots non identifiés.

bloquage robots non identifiés

Dans l’onglet Scrape Shield, tu masques les adresses e-mails aux robots (Email Address Obfuscation). Tu empêches d’utiliser ton serveur pour afficher des images sur d’autres sites (Hotlink Protection).

Les hot-links entrainent une charge supplémentaire du serveur.

hot-link

Dans l’onglet Overview, tu peux déclarer être attaqué. Les visiteurs devront résoudre un captcha pour accéder au site.

mode attaque

Tu retrouves cette fonctionnalité dans l’extension WordPress directement sur la page d’accueil.

wordpress under attack

Pour conclure, voici les bonnes pratiques pour assurer la sécurité de WordPress.

5 actions supplémentaires pour protéger WordPress

Garde ton WordPress à jour

Tu mets systématiquement à jour ton thème, tes extensions et les versions mineures de WordPress dès la sortie d’une nouvelle version.

Tu attends quelques jours pour les versions majeures de WordPress qui occasionnent certaines fois des problèmes avec les extensions.

Rédige depuis un compte éditeur

Pour protéger au maximum ton compte administrateur, il est préférable d’écrire ses publications sur un profil éditeur. Voici la procédure à suivre.

Utilise les connexions chiffrées

Le https n’est pas seulement indispensable pour les e-commerçants. Il évite que les pirates interceptent les informations.

Supprime les thèmes et plugins désactivés

Il est inutile de conserver des thèmes ou des extensions non utilisées. Ils servent de porte d’entrée sur ton site.

Choisis avec soin ton nom d’utilisateur et ton mot de passe

Ton identifiant et ton mot de passe doivent être complètement aléatoires pour diminuer les risques d’être découvert.

Conclusion

Tu as réalisé les principales recommandations pour protéger ton site :

  • ton compte administrateur WordPress est masqué
  • ton site est protégé des intrusions
  • la sécurité est renforcée
  • ton site est sauvegardé pour te prémunir contre toutes les éventualités…

La sécurité totale n’existe pas mais tu as réalisé du bon travail pour prévenir les ennuis.

Découvre 4 extensions indispensables pour sécuriser WordPress. #wordpress #securiteCLIQUEZ POUR TWEETER

Dernier point qui n’est pas directement lié à WordPress : un bon antivirus à jour (Avast en version gratuite par exemple) pour protéger ton ordinateur t’évitera les surprises surtout s’il est complété par Malwarebytes (je réalise au moins une analyse par mois avec la version gratuite).