Sécuriser votre site WordPress n’est pas une affaire de spécialiste !
En menant des recherches à propos de cet article, j’ai été surpris de constater combien un site lambda pouvait être attaqué – certains à raison de plusieurs centaines de fois par heure.

J’ai même été confronté très récemment au cas d’une cliente qui a vu son site piraté et fermé temporairement à la navigation par Google. La sécurité de votre site vous concerne donc aujourd’hui ! Même si votre site n’a pas énormément d’influence et de trafic, il est important que vous le sécurisiez sans tarder. Je ne suis vraiment pas là pour vous affoler…Juste pour vous donner quelques clefs pour améliorer la protection de votre plate-forme Web.

Archivez, Archivez, Archivez (niv. facile)

C’est indéniablement le premier principe à appliquer (vous pouvez d’ailleurs vous familiariser avec cette démarche en suivant les tutoriels sur l’archivage de site et celui de l’archivage de la base de données). Ces tutos sont mis à jour au fil du temps et des solutions technologiques…Ne manquez pas de les consulter.
Sachez que les deux derniers sites que j’ai sauvé de la noyade, l’ont été car j’avais à ma disposition une archive fraîche et qu’il m’a été facile de revenir en arrière grâce à cette base stable.

Je vous conseille de mener des archives incrémentales. Pour cela créer des dossiers avec le nom de l’archive et le jour, par ex :

  • Archive-01032013
  • Archive-15032013
    …etc.

Plateforme Talons TAOFFEN Bride Sandales Cheville red Femmes Prenez alors soin de garder au moins 3 versions antérieures de votre site ; de la sorte, vous aurez une possibilité de remonter dans le temps si nécessaire.


Prenez soin de votre Site WordPress (niv. facile)

Voici une liste de conseils de bon sens qui vous aideront à optimiser la santé de votre site. Les suivre est un premier pas dans la sécurisation de vos données :

Mise à jour extensions et version WordPress

1Bien des mises à jour sont là pour améliorer la sécurité de votre plate-forme. Je connais malheureusement plusieurs exemples de grands sites qui ont été hacké par des blogs oubliés, inactifs qui ont joué le rôle de porte arrière (back-door) sur le site principal.
Comme vous savez tenir à jour votre architecture WordPress et vos extensions, tenez vous également au courant des mises à jour de votre thème…Et appliquez les.
N’installez pas non plus n’importe quoi sur votre site : préférez les extensions proposées par le site officiel de WordPress et informez-vous sur les rapports de bug et failles de sécurité desdits plugins. Supprimez également les plugins inactif.

Sachez convenablement organiser votre thème

2Vos fichiers médias, vos dossiers .zip client, les jpeg de votre site n’ont rien à faire à la base de votre site. Garder un ordre nécessaire et vital à la racine et dans l’ensemble de vos dossiers. Classez, organisez, votre site sera plus facile à administrer (ou à récupérer) s’il est organisé de façon appropriée. Pour protéger le contenu de vos dossier, WordPress ajoute un fichier avec un petit bout de code. Une protection optimale de tous vos répertoires peut également être obtenue par l’ajout du code suivant dans le .htaccess de votre site :

Cela aura pour effet d’interdire la navigation intérieure de votre dossier à partir d’un navigateur

Sécurisez votre installation en quelques clics (niv. intermédiaire)

Prendre toutes les précautions nécessaire à la protection de votre site, c’est bien. Mais ne pas exposer vos données sensibles aux grand soleil, c’est encore mieux. Voici en quelques clics quelques précautions à appliquer rapidement :

Supprimer le fichier readme.html

1Placé à la racine de votre site, ce fichier contient la version WordPress de votre site (testez avec www.votresite.com/readme.html). Si vous n’avez pas su tenir à jour votre site, une version antérieure présentera des failles connues, et donc des moyens faciles de cracker votre accès.

red Plateforme Sandales Femmes Cheville Talons Bride TAOFFEN Protéger en écriture wp-config.php et .htaccess

2Par ce moyen, vous permettez la lecture de ces fichiers, mais restreignez d’éventuelles modifications au seul propriétaire. Pour cela, allez dans Filezilla (ou tout autre navigateur ftp) et cliquez droit sur le fichier et sélectionnez « Droit d’accès au fichier » ; indiquez alors 644 dans le champ à compléter, puis validez. On peut également mener cette opération grâce à WP Security Scan qui identifie et permet de corriger les droits d’accès en une seule passe.

Pendant que nous sommes sur l’étude de ces fichiers, rajoutez également ces bouts de codes qui vous aideront à protéger l’accès extérieur de ces fichiers sensibles. Utilisez Notepad++ (si vous ne disposez pas de ce programme gratuit, sûr et puissant, courrez l’obtenir), puis appliquez les modifications suivantes

→ Protégez votre fichier wp-config.php grâce à ce code ajouté en bas de votre fichier .htaccess (note, si ce fichier n’existe pas encore dans votre configuration, vous pouvez l’ajouter à la main en le nommant ‘.htaccess’ (sans les apostrophes) .

→ Protégez votre propre fichier .htaccess grâce à ce code ajouté en bas de ce même fichier

Masquez votre version

3Il convient également de masquer le numéro de version offert tout cru dans « meta name ». Utiliser pour cela le fichier function.php (présent dans /wp-content/themes/Votre-Theme-enfant) et ajouter ce bout de code idoine…

On peut également empêcher le flux RSS d’afficher la version WordPress avec la fonction suivante

Quelques précautions supplémentaires

4 Ne laissez enfin aucune donnée sensible comme l’archive de base de données que certains plugins comme WP-backup stockent dans wp-content. Agir ainsi est laisser une réelle porte ouverte au piratage de votre site.

Je ne m’étendrai pas sur l’importance du mot de passe de votre backoffice (car j’ai déjà écrit un article à ce propos), mais c’est un point primordial à respecter.

Ne manquez pas de mettre à jour tous les sites de travail ou vos sites placés en voie de garage et qui ne serait plus exploités (tout en restant accessibles de l’extérieur).
Une version éculée de WordPress sur un site oublié et une porte arrière intéressante pour percer toute votre installation (c’est une situation qu’un site fort connu a expérimenté à ses dépends).

Supprimer enfin tous les utilisateurs à fort pouvoir (administrateur) qui seraient inactifs depuis longtemps sur votre site


Des plugins à votre secours (niv.intermédiaire)

Better WP plugin

Un des meilleurs plugins qui saura efficacement protéger votre site et vous donner des bons conseils. Attention tout de même, certaines protections demandent du doigté.
voir le lien

WP Security Scan

Principalement tourné autour des allocations de permissions de vos fichiers & détection des brèches de sécurité. Moins complet, mais moins délicat à manier que Better WP plugin.
voir le lien

TAC (Theme Authenticity Checker)

Très puissant pour débusquer des codes malicieux dans votre thème. Peut provoquer de sacrés surprises si vous l’appliquez sur un thème gratuit (attention aux thèmes gratuits)
voir le lien


Ajouter des clefs de sécurité secrètes dans le fichier wp-config.php (niv. intermédiaire)

Si vous avez déjà installé par votre propre moyen un site WordPress, vous devriez avoir bien remarqué des codes particulier dans votre fichier wp-config.php (lequel contient les configurations nécessaires pour WordPress fonctionne convenablement). Cette section du fichier de configuration sont des clés d’authentification SALT qui crée un cookie d’identification lequel protège votre installation.

Si ces codes ne sont pas présent dans votre fichier wp-config.php, vous pouvez les régénérer grâce au lien suivant :
https://api.wordpress.org/secret-key/1.1/salt/

Notez que tout changement de ces clefs de salage aura pour effet d’invalider tous les cookies de votre site et forcera donc chaque utilisateur à se reconnecter sur votre blog.


Cheville TAOFFEN red Femmes Bride Plateforme Sandales Talons

Supprimer le compte ‘admin’ par défaut (niv. intermédiaire)

Par facilité ou par défaut (sur certains hébergeurs comme OVH) l’identifiant admin est souvent créé pour identifier l’espace d’administration. La popularisation de cet identifiant le rend par nature très sensible : le pirate potentiel n’a plus qu’à se concentrer sur votre mot de passe pour percer votre accès.


Si vous disposez d’un tel compte, créer un autre compte alternatif avec les mêmes droits d’administrateur, puis supprimer le compte dont l’identifiant est admin. Cette manœuvre peut se mener même en cours de vie du blog : un système de bascule des anciens articles et pages est automatiquement proposé


Masquer les erreurs de connexion (niv. expert)

Voilà typiquement un comportement de WordPress très ‘user-friendly‘ qui peut s’avérer ‘hacker-friendly‘ lorsqu’il se retourne contre vous. En effet, lors d’une erreur de saisie de votre mot de passe ou de votre login, WordPress vous guide gentiment et indique ce qui ne convient pas. Il s’agit donc de gommer cette fonctionnalité pour ne pas donner d’indice supplémentaire aux méchants pirates qui en veulent à vos données.
Pour cela, nous allons ajouter cette ligne de code à notre fichier function.php de notre thème enfant

Modifier le nom de votre dossier wp-content (niv. expert)

Ouvrez le fichier wp-config.php (il est sage de faire un archivage préalable de ce fichier si important). Aux alentours de la ligne 88-90 (ou de la dernière ligne de wp-config, vous devriez trouver la séquence :

Ajouter immédiatement en dessous le code suivant

Remplacer la mention nouveau-dossier par le nouveau nom de dossier de wp-content, et personnaliser la mention votre-domaine avec votre propre URL. Une fois ces manipulations faites et publiées sur wp-config, vous pourrez changer le nom de votre dossier wp-content avec un nom équivalent (sans majuscule, ni accent, ni espace).
Cheville Femmes TAOFFEN Plateforme Talons Sandales red Bride Assurez-vous que tout continue à fonctionner sur votre site, en particulier vos divers plugins. S’il s’avère que vous rencontrez un disfonctionnement, il est probable qu’un de vos plugins fasse mention au dossier wp-content, au lieu de faire appel à une fonction telle que use content_url(). Vous devrez alors corriger à la main cette mention dans les plugins défaillants (un bonheur) ou vous passer tout bonnement de ces plugins.

Il est bien entendu capital d’ajouter dans ce nouveau dossier, les composants habituels de wp-content, soit /languages /plugin /themes /upgrade, avec leur contenu légitime.


Protégez-vous contre le hotlinking

J’ai découvert dans les faits le hotlinking par le vol de mon article Archiver sa base de donnée WordPress qui s’est vu affiché sur un autre site que le mien…sans mon autorisation. Mes images ont été victimes de hotlinking, terme que je ne connaissais mal et qui consiste à « utiliser l’adresse d’un fichier publié sur un site web, le plus souvent une image, pour l’afficher sur un autre site, sur un blog » [définition Wikipédia].

Voici quelques lignes de codes que Jonathan B. propose sur http://www.geekpress.fr. J’ai approfondi le sujet et voici le fruit de mes recherches.

Définition

Traditionnellement (j’illustre ici le principe de fonctionnement de façon très grossière, vous trouverez un schéma plus étayé sur cet autre article) votre visiteur consulte le contenu de votre site grâce au serveur qui héberge vos images, vos textes (sur la base de données).

Dans le cas d’un hotlinking, votre « voleur » aussi maladroit qu’indélicat a copié l’ensemble du code source de votre article et l’a ajouté à une de ses pages.

La personne qui consulte votre article croit être au bon endroit sur le site voleur d’article. L’ensemble des images pointent cependant encore votre serveur, ce qui a terme en réduit sa vélocité.

Remède

Nous allons utiliser une fois le plus le .htaccess pour restreindre et rediriger l’emploi de vos images en hotlinking, en ajoutant le petit bout de code. Cette manipulation sera tout partiellement intéressante pour les photographe ou les graphistes dont la production est parfois indûment pillée.

On peut bien entendu supprimer toutes lignes commentées avec le signe # avant de le poster sur le .htaccess.

Ne manquez pas de sauvegarder la version précédente de ce fichier ; elle vous sera utile si vous faite une erreur de code et que votre site déploit alors une grosse erreur 500


Vous utilisez le plugin Revolution Slider ?

Beaucoup de thèmes utilisent ce plugin, soit coordonné avec le site (l’extension se trouve alors avec les plugins existants installés sur votre site), soit de façon intégrée dans le code et les dossiers de votre thème. Revolution Slider est un plugin puissant, au prix d’être un peu une usine à gaz, ce qui ne l’a pas empêché d’être impacté par une grosse faille de sécurité. Sans vouloir vous faire peur, cette faille à touché beaucoup d’utilisateurs, dont certains très aguerris à WordPress.

Envato a établi une liste de tous les thèmes qui comprennent le plugin Revolution Slider. Le concepteur de l’application a mis également à disposition une version de mise à jour gratuite de cette application. Dans tous les cas avant d’agir, ne manquez pas de faire une archive complète de votre espace ftp et de Boucle Couleurs Sandales Femme Correct Talon ROFLL008409 Odomolor Jaune à Mélangées nYBxtIwpour sécuriser votre installation.

Cas#01 l’extension Revolution slider est intégré dans votre thème

→ Si vous ne voyez pas l’extension présente dans votre liste de plugins, il y a fort à parier qu’elle est intégrée directement dans les tréfonds de votre thème. Je vous conseille alors de retourner sur la boutique sur laquelle vous avez acheté votre thème pour rechercher une mise à jour qui propose un correctif et l’appliquer, ou de mettre à jour votre thème avec la dernière version disponible s’il s’agit d’un template gratuit. Si cette mise à jour n’existe pas, c’est assez problématique car votre site est en danger potentiel. Vous pourriez mettre les mains dans le cambouis pour remplacer manuellement les fichiers défaillants, mais ne connaissant pas la façon dont le développeur a intégrer l’extension, ce n’est pas nécessairement un conseil que je donnerai. La seule solution est de changer de thème ou de faire appel à un développeur pour faire cette mise à jour.

Cas#02 l’extension Revolution slider est comprise dans vos extensions

→ Je vous invite alors d’aller sur votre espace ftp dans wp-content/plugins/ et de rechercher le dossier relatif à Revolution slider. Ouvrez le, et supprimez tous sont contenu. Remplacer le sans tarder avec le contenu que vous avez nouvellement téléchargez. L’ensemble de vos réglages (présent sur la base de données et non sur l’espace FTP) seront préservés.

Vous avez été piraté ? Voici quelques outils

Anti-Malware Security and Brute-Force Firewall

https://fr.wordpress.org/plugins/gotmls/Cet outil est intéressant même vous n’avez pas été attaqué. Il est en mesure de lancer un scan complet et de supprimer automatiqueement les éventuellement menace et faille qu’il pourrait detecter. Il est également assorti d’un firewall qui protège contre les malware issus de plugin comme Revolution slider ou timthumb. Il se met à jour constamment avec de nouvelles liste de menaces et malware Existe en version premium

Vous n’avez pas le temps, voici en résumé la sécurité pour les super-pressés

  1. Archiver
  2. Supprimer le readme.html à la racine de WordPress
  3. Maintenir la version de WordPress et les plugins à jour
  4. Utiliser un mot de passe long comportant une multitude de caractères différents
82 réponses