Accueil > Wordpress > Renforcer la sécurité de WordPress: l’installation (#1)

Renforcer la sécurité de WordPress: l’installation (#1)

Les attaques de ces dernières semaines m’ont poussé à faire un point sécurité. Cet article est le premier d’une série dédiée à simplifier la vie de la personne en charge de l’administration d’un site WordPress.

Je vais donc lister ici des consignes de sécurité simples, à appliquer pour renforcer la sécurité de votre site WordPress. Il s’agit des bonnes pratiques que l’on retrouve sur beaucoup de tutoriels, mais souvent de façon assez fragmentée.

Autant ne pas simplifier la tâche des hackers et exposer le minimum d’information et de moyen d’action possible.

1. Changer le préfixe des tables de la base de données

Avant de lancer une nouvelle installation, ou à postériori via le plugin WP-Security-Scan, il faut changer le préfixe wp_ par défini par défaut dans le fichier wp-config.php.

2. Modifier le nom de connexion du compte « admin »

Après l’installation, un utilisateur « admin » est créé avec le maximum de permissions. Il est déconseillé d’utiliser ce profil, et il vaut même mieux le supprimer. Attention, il faut au préalable créer un nouveau compte avec le rôle administrateur : surtout choisir un login et un mot de passe complexe pour ce compte clé.

Vous pouvez également choisir de renommer le compte « admin » via le plugin WP-Security-Scan ou directement dans la base de données.

3.Interdire l’indexation par les moteurs de recherche

Il est conseillé d’interdire l’indexation des répertoires standards de WordPress (wp-admin, wp-content et wp-includes) aux moteurs de recherche. Pour cela, installer un fichier robots.txt à la racine du site. Pour le générer, vous pouvez le faire manuellement ou via Google Webmaster Tools, dans la configuration de votre site, section Accès du robot d’exploitation.

Il contiendra les lignes suivantes:

User-agent: *
Disallow: /wp-*
Allow: /

4.Masquer vos plugins

Si vous indiquez quels sont vos plugins et dans quelle est leur version vous pouvez potentiellement avoir un problème de sécurité. Une façon simple de masquer vos plugins consiste à placer un fichier vide wp-content/plugins/index.html ou de placer la ligne suivante dans le fichier .htaccess à la racine de votre site:

Options All -Indexes

5. Masquez la version de WordPress que vous utilisez

La plupart des thèmes WordPress ajoutent une balise Meta contenant la version de Worpdress installée. Pour masquer cette information, vous pouvez modifier le fichier header.php de votre thème pour supprimer la ligne affichant l’information:

<meta name="generator" content="WordPress <?php bloginfo(’version’); ?  />"  />

Vous pouvez aussi simplement installer le plugin Replace WP version qui fera le travail pour vous.

6. Interdire l’accès à votre fichier wp-config.php

Comme ce fichier contient en clair le login et le mot de passe d’accès à votre base de données, il faut particulièrement le protéger. Vous pouvez ajouter la ligne ci-dessous dans le fichier  .htaccess situé à la racine de votre installation :

<files wp-config.php>
order allow,deny
deny from all
</files>

7. Mettre en place des sauvegardes régulières du site et de la base de données.

Vous pouvez pour cela procéder manuellement, par copie de fichiers via FTP et export de la base de données par PhpMyAdmin. Mieux, il existe des plugins qui réalisent ces opérations pour vous.

  • WP-db-Backup sauvegarde la base de données par mail ou par enregistrement sur votre serveur. Il ne sauvegarde par contre pas vos fichiers, il faut le coupler avec un autre utilitaire.
  • Backupify sauvegarde vos fichiers et votre base de données. Il ne fonctionne pas chez tous les hébergeur, tels que Free.fr.
  • Automatic WordPress Backup sauvegarde lui aussi de façon automatisée votre site et sa base de données, sur un compte Amazon S3.

8.Rester à jour

Sans doute le plus important, il faut conserver WordPress, mais aussi ses plugins et son thème à jour. Surveillez donc les alertes de mise à jour et ne tardez pas !

  1. 12/07/2010 à 18:21 | #1

    Très bon article il ma été utile je t’en remercie.

  1. Pas encore de trackbacks