WordPress: Considérations de sécurité
Quoi de plus énervant, après avoir fignolé son site WordPress, que de le voir piraté ou détruit ? Cela m’est arrivé récemment avec deux sites Joomla!
Un matin je me connecte et arrrrgh !!!
J’ai donc décidé de ne pas faciliter la tâche au prochain hacker, et donc d’appliquer un minimum de consignes de sécurité, glanées ici et là sur la toile. Je les teste donc sur ce site, et les voici donc, au fil de l’eau.
Sauvegardez votre base de données régulièrement avec WP-database backup
Le premier conseil est de faire des sauvegardes régulières de votre base. Vous pouvez bien sûr le faire avec l’interface d’administration SQL phpMyAdmin, mais il existe un « widget » qui va vous simplifier énormément la tâche : vous n’aurez qu’a vous connecter à l’interface d’administration de WordPress et utiliser cet outil. Il est téléchargeable ici : WP-Database Backup . Je détaille dans un autre post l’utilisation de ce « widget ».
Scannez votre installation de WordPress pour trouver des trous de sécurité: WP Security Scan
Maintenant que vous sauvegardez régulièrement votre base de données, l’étape suivante est de vérifier l’installation de WordPress pour trouver d’éventuels failles de sécurité.
J’ai trouvé un « widget » qui permet de bien préparer le travail, cependant il génère quelques erreurs. Je n’ai pas eu le temps d’analyser en détail, mais il me semble interessant de l’utiliser pour vérifier.
Il s’appelle WP Security Scan , et permet entre autre faire un scan de l’installation sur le système de fichiers, de vérifier le niveau de sécurité de votre mot de passe d’administration, ou de vérifier le niveau de permissions sur les fichiers et répertoires. (chmod).
Limitez la vulnérabilité de votre blog à un accès de type « User Enumeration »
Une vulnérabilité classique est l’attaque par énumération d’utilisateur. Connaissant un compte existant, il s’agit ensuite d’essayer le maximum de combinaisons de mot de passe. Sachant que l’installation standard de WordPress crée un compte d’administration appelé « Admin », un pirate n’a plus qu’à trouver un mot de passe associé. C’est donc une bonne idée de changer le nom de connexion du compte d’administration.
Pour ce faire, commencez par faire une sauvegarde de votre base de données.
Ouvrez ensuite la console d’administration phpMySQL, et ouvrez la table users. Vous y trouverez une colonne user_login, dont l’une des lignes contient le compte admin. Il suffit donc de le changer ici.
N’oubliez pas également de mettre un mot de passe dit « fort » associé à ce compte (8 caractères minimum, composé de minuscule, majuscule, chiffre et caractères spéciaux).
Cachez vos « plugins »
Les « widgets » additionnels étant par définition de source externe, leur niveau de sécurité ne vous est pas connu. Il est donc conseillé de masquer le dossier / wp-content/plugins.
Une façon simple mais efficace consiste à créer un fichier index.htm vide et à la placer dans le dossier wp-content/plugins.
Masquer la version de WordPress
Si un problème de sécurité existe dans un eversion particulière de WordPress, autant ne pas aider les pitates en leur signalant la version que vous utilisez.
Il est donc recommandé de masquer cette information, soit en modifiant directement le fichier header.php dans le thème appliqué sur le site, soit en utilisant le « widget » replace-wp-version qui le fera pour vous.
Changer le préfixe des tables WordPress dans la base de données.
Il s’agit ici de changer le préfixe des tables WordPress, qui est par défaut wp_
Le mieux est évidemment de le faire à l’installation, dans le fichier wp-config.php. Il est cependant possible de le faire à postériori.
Le « widget » WP Security Scan permet de réaliser cette opération, théoriquement. Cependant cela ne fonctionne pas sur mes installations. Je publierai ultérieurement nu article sur ce sujet.
Twitter
Facebook
LinkedIn
Plaxo
Viadeo
Youtube
RSS
Commentaires récents