Sécuriser son site sous WordPress

Avec plus de 15,886,000 sites internet, WordPress couvre plus de 8% d’internet. Alors que sa popularité est en forte augmentation, la plateforme devient de plus en plus la cible des hackers. En 2016, plus de 120 000 sites WordPress ont étés attaqués. Si vous souhaitez apprendre les bases de la sécurité WordPress, vous êtes au bon endroit !

WordPress et la sécurité est un sujet incontournable pour tout administrateur soucieux de préserver son site internet ainsi que son image. La création et la gestion d’un site internet prend beaucoup de temps, il est donc indispensable de prendre quelques instants afin de sécuriser au mieux son installation.

1. Changer le préfixe de la base de donnée

Par défaut, le préfixe de la base de donnée est wp_ , changer le pour un préfixe non prédictible tel que wpGftDVr_ cela permet de compliquer la vie des attaquants essayant d’injecter des données dans la base par des attaques de type SQL Injection.

 

wp-prefixe

 

2. Ne pas utiliser le compte admin par défaut

Lors de l’installation de wordpress, celui-ci crée un compte administrateur par défaut. Créez un nouveau compte administrateur avec un login non prédictible et un mot de passe ultra complexe. Si l’attaquant ne connait pas le nom du compte administrateur et que vous utiliser un mot de passe complexe, cela augmente énormément les combinaisons Login / Password et donc le temps de craquage du compte par des techniques de force brute qui consiste à tester toutes les possibilités de manière automatisée.

3. Déplacer l’accès par défaut au formulaire d’authentification

Sous wordpress, par défaut le formulaire d’authentification se trouve à l’adresse www.monsite.fr/wp-admin/ ou www.monsite.fr/wp-login/ , ce qui aide beaucoup les attaquants en leur permettant d’accéder facilement au formulaire d’authentification.  Mais le pire c’est que vous leur permettez de savoir que votre site est sous wordpress, ce qui constitue un gain de temps énorme pour eux dans la recherche de vulnérabilité.

 

login

 

4. Faire les mises à jour de WordPress

Bien que cela ne suffise pas, faire les mises à jour de wordpress supprime la plupart des vulnérabilités connues. Cela vous évite des attaques par des individus ne possédant pas de grande connaissance en techniques d’intrusion, mais qui toutefois représente une grande majorité de la menace. Si vous vous apercevez que vos thèmes ou vos plugins ne fonctionnent pas avec la version la plus récente de WordPress, changez-les très rapidement car ils sont également vulnérables.

5. Masquez votre version de WordPress

Comme annoncé dans le 2, connaitre la version de wordpress constitue un énorme avantage pour un attaquant. Il peut grâce à cela connaitre la liste des vulnérabilités associé à votre version. Il faut donc désactiver l’affichage de cette version. Pour cela, modifiez le functions.php pour y ajouter ces lignes :

function masquer_version() { 
return ''; 
} 
add_filter('the_generator', 'masquer_version');

6. Interdire l’accès au dossier wp-includes

Le dossier wp-includes de WordPress contient les librairies nécessaire au fonctionnement de WordPress uniquement. Il n’est pas destiné à héberger d’autres fichiers que ceux de la version actuelle de votre wordpress, nul n’as donc besoin d’accèder à ce dossier. Dans votre fichier .htaccess, entrez les lignes suivantes :

 RewriteEngine On
 RewriteBase /
 RewriteRule ^wp-admin/includes/ - [F,L]
 RewriteRule !^wp-includes/ - [S=3]
 #Supprimer la ligne ci-dessous si multisite
 RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
 RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
 RewriteRule ^wp-includes/theme-compat/ - [F,L]

7. Interdire l’accès au fichier wp-config.php

Le fichier wp-config.php contient l’ensemble des informations nécessaire à votre installation wordpress, y compris votre identifiant et votre mot de passe non crypté (wtf wordpress pls ???) d’accès à la base de données. Autant vous dire que si un attaquant y accède, vous site est compromis. Toujours dans le fichier .htaccess, entrez les lignes suivantes :

<Files wp-config.php>
order allow,deny
deny from all
</Files>

8. Empêcher le listing des répertoires

En modifiant les URLs, n’importe quel internaute peut lister les répertoires existants dans votre WordPress et accéder à l’arborescence de vos dossiers. Pour empêcher cette navigation à travers les répertoires, ajouter les lignes suivantes dans votre .htaccess :

# Disable directory browsing
Options All -Indexes

9. Protégez le .htaccess lui-même

Le .htaccess contient la plupart des directives de sécurité de votre site WordPress, le protéger est donc indispensable sinon toutes les mesures prises dans ce fichiers deviennent inutiles. Pour ce faire, éditez votre fichier .htaccess pour y ajouter les lignes suivantes :

<Files .htaccess>
order allow,deny
deny from all
</Files>

10. Gérez les permissions d’accès à vos dossiers

Les permissions d’accès permettent de définir qui a le droit d’ écrire, lire ou exécuter un fichier ou dossier stocké sur votre hébergement WordPress. Pour éviter que des individus malveillants ne sème le trouble dans votre installation, vous devrez utiliser les permissions suivantes :

  • 644 pour un fichier
  • 755 pour un dossier
  • 400 pour wp-config.php

Vous pouvez changer les permissions depuis n’importe quel client FTP, souvent grâce à un clic droit puis “permissions”.

 

permissions

 

11. Désactivez l’éditeur de fichier WordPress

WordPress propose un éditeur de fichier directement depuis son backoffice, ce qui permet aux attaquants disposant d’un compte piraté d’utiliser les permissions de WordPress afin d’obtenir un accès admin aux fichiers situés sur votre hébergement. Pour limiter ce risque, entrez la ligne suivante dans le fichier functions.php de votre thème :

define('DISALLOW_FILE_EDIT',true);

12. Masquez les messages d’erreurs de connexion

WordPress renvoi des messages d’erreurs en cas de problème de connexion. Ces messages donnent de précieuses informations aux attaquants. Pour les masquer, entrez la ligne suivante dans le functions.php de votre thème :

add_filter('login_errors',create_function('$a', "return null;"));

13. Utiliser un plugin de sécurité

Enfin, pour une sécurité optimale, pensez à utiliser un plugin de sécurité tel que Wordfence Security. Ces plugins effectuent des scans réguliers des fichiers de votre hébergement pour y trouver des traces d’activités suspectes. Ils permettent également de bannir des adresses ip malveillantes et de vous notifier de toute activité malveillante sur votre site.

 

wordfence

0
Connecting
Please wait...
Envoyer un message

Nous ne sommes pas en ligne actuellement. Laissez-nous un message.

* Votre nom
* Email
* Posez-nous vos questions
Des questions ?

Besoin d'aide ? Gagnez du temps en posant vos questions à notre support.

* Email
* Votre message
Des questions ?
Feedback

Aidez-nous à nous améliorer ! N'hésitez pas à laisser votre avis.

Comment évaluez-vous notre support?

Pin It on Pinterest

Share This