Dans cet article nous allons voir comment sécuriser WordPress facilement et rapidement.
Aucune connaissance en ligne de code n’est requise. Il faut savoir que les hackeurs utilisent des logiciels ou des scriptent qui scannent Google afin de trouver des failles de sécurité même si votre site n’est pas très connu et même si il n’a pas beaucoup de trafic.
Faites des backups
Il est important de faire régulièrement des backups de vos sites (fichiers + base de données mysql).
Il est important de ne pas écraser à chaque fois votre sauvegarde, mais créez plutôt des dossiers (janvier 2016, février 2016 etc …).
ATTENTION : ne laissez jamais ces backups sur votre accés FTP, mais plutôt, téléchargez-les en local.
Faire les mises à jour
Il est important de faire les mises à jour proposées par WordPress depuis l’admin.
Contrairement à ce que l’on peut penser, les mises à jour ne consistent pas forcément à ajouter des options aux plugins, aux thèmes ou aux plugins. Elles permettent bien souvent de corriger certaines failles de sécurité.
Si vous ne voulez pas passer votre temps à aller vérifier les mises à jour, n’hésitez pas à Notify Update par JM Créa qui fait le travail pour vous et vous informe par mail et/ou sms (pour les abonnés Free Mobile) des nouvelles mises à jour.
Protéger l’accès aux répertoires et dossiers
Bien souvent (oui j’ai déjà vu ça), les fichiers sur l’accés FTP n’ont pas le bon CHMOD et les pirates peuvent accéder à certains fichiers.
Pensez à mettre les permissions sur vos fichiers en 644 et sur les dossiers en 705.
Supprimer le readme.html
Vous ne le savez peut-être pas, mais il existe une faille de sécurité sur ce fichier (pour les anciennes versions de WordPress). Le mieux est de le supprimer.
Protégez le wp-config.php et le .htaccess
Comme vous le savez, ces 2 fichiers sont très sensibles et les hackeurs passent bien souvent par là pour « pourrir votre site ».
Ouvrez votre .htaccess et ajoutez-y en bas de celui-ci les lignes suivantes qui permettrons de protéger votre wp-config en écriture :
#protection du wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Maintenant que votre wp-config.php est protégé, nous allons faire pareil pour le .htaccess.
Toujours dans le .htaccess, ajoutez-y ces lignes :
#protection du .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
Masquez votre version de WordPress
Les hackeurs aiment bien passer par ce fichier pour détecter votre version de WordPress et trouver les failles.
Rendez-vous dans le fichier « functions.php » qui se trouve à la racine de votre thème.
Exemple : wp-content/themes/MON-THEME/functions.php
Ajoutez-y ce code qui masquera votre version :
remove_action(« wp_head », « wp_generator »);
On peut aussi désactiver l’affichage de la version de WordPress du flux RSS en y ajoutant aussi (toujours dans le functions.php) :
function wpt_remove_version() {
return »; }
add_filter(‘the_generator’, ‘wpt_remove_version’);
Modifiez les clés de sécurité du wp-config.php
Quand vous installez WordPress, des lignes de code cryptées se créent pour stocker des cookies en local. Il est conseillé de les changer
Ouvrez votre wp-config.php et rendez-vous ici https://api.wordpress.org/secret-key/1.1/salt/ sur pour générer de nouvelles clés. Une fois les nouvelles clés générées, faites un copier-coller pour remplacer les anciennes du wp-config.php
Modifier le nom à afficher publiquement sur vos posts
Ça parait pas grand chose, mais bien souvent on retrouve encore des blogueurs qui postent avec leurs nom d’admin par défaut. Le problème est que le nom d’admin par défaut est le même que celui inséré dans la table wp_users.
Pour le changer, connectez-vous à l’admin et rendez-vous dans le menu « utilisateurs » et « votre profil ». D’ici, vous pourrez changer via le menu déroulant le nom à afficher publiquement. je vous conseil d’utiliser le même que votre pseudo.
Masquer les messages d’erreur
Quand un hackeur essaie de se connecter sur l’admin ou encore quand il essaie de trouver une faille de sécurité, WordPress l’informe des erreurs commises.
Exemple : quand il essaie de se connecter à l’admin avec un identifiant incorrect, WordPress lui dit « vos identifiants sont incorrects ».
Le fait de masquer ces erreurs donneront du fil à retordre aux hackeurs.
Ouvrez le fichier « functions.php » qui se trouve à la racine de votre thème.
Exemple : wp-content/themes/MON-THEME/functions.php
Y ajouter cette ligne :
add_filter(‘login_errors’,create_function(‘$a’, « return null; »));
Modifier le nom du dossier wp-content
Dans plus de 90% des cas les sites WordPress utilisent encore ce nom de dossier. De ce fait quand les hackeurs utilisent des crawlers pour scanner le web, ils font des recherches avec ce nom de dossiers dans les critères de leurs logiciels.
Pour ce faire, ouvrez le fichier wp-config.php et entre la ligne 90 et 100, vous deviez trouver cette ligne :
require_once(ABSPATH . ‘wp-settings.php’);
Ajoutez-y avant cette ligne :
//wp-content devient maintenant trouve-moi
define ( ‘WP_CONTENT_FOLDERNAME’, ‘trouve-moi’ );
//On défini le nouveau nom du dossier
define ( ‘WP_CONTENT_DIR’, ABSPATH . WP_CONTENT_FOLDERNAME );
define ( ‘WP_SITEURL’, ‘http://’ . $_SERVER[‘HTTP_HOST’] . ‘/’ );
//On défini la nouvelle URL
define ( ‘WP_CONTENT_URL’, WP_SITEURL . WP_CONTENT_FOLDERNAME );
Une fois terminé, pensez bien-sûr à renommer le dossier « wp-content » en « trouve-moi ».
Une fois ces modifications apportées, il est fort probable que vos plugins se désactivent. Mais c’est normal, il faudra juste les réactiver.
NOTE : dans cet exemple, nous avons renommé le dossier en « trouve-moi », mais vous pouvez bien entendu changer ce nom comme bon vous semble 🙂
Ce tutoriel est terminé, j’espère avoir été assez clair sur ces explications.
Si vous avez des questions ou des informations complémentaires, n’hésitez pas à en parler.
