• Accueil
  • Blog
  • 10 astuces pour sécuriser votre site WordPress

10 astuces pour sécuriser votre site WordPress

jeudi 13 octobre 2016

Réaliser un site Internet demande du temps ; conception du webdesign, développement, rédaction des contenus et maintenance.
Il est aussi important, en plus de toutes les étapes de conception de mettre en place plusieurs astuces pour éviter les failles de sécurité.
Nous savons bien que les hackers sont à la recherche constante de nouvelles failles, alors ne soyez pas vulnérable sur la sécurité de votre site WordPress.
Cet article vous présente 10 astuces pour assurer une meilleure sécurité.

 

1 - Utilisez un identifiant et mot de passe forts

Lors de la création de votre site Internet, vous devez, rentrer un identifiant et mot de passe pour accéder à votre admin WordPress.
Évitez pour l’identifiant de mettre « admin », « administrateur » ou tout mot commençant par admin car les hackers le teste plus facilement.
Pour votre mot de passe, c’est le même principe. Ne mettez pas un mot de passe simple. Prenez-en un complexe qui mélange chiffres, lettres et mêmes symboles. Pour vous aider, le site http://passwordsgenerator.net/ vous génère automatiquement un mot de passe sécurisé.
De plus, au début de l’élaboration de votre site, pensez à supprimer le compte admin que WordPress crée automatiquement. Si vous laissez ce compte actif, le hacker n’aura plus qu’à trouver votre mot de passe pour rentrer dans votre site et vos données.

 

2 - Bloquez le nombre d’essais d’identification

Un hacker peut trouver toutes les astuces possibles pour essayer de pirater votre site Internet. Cela peut passer par une recherche de toutes les combinaisons inimaginable de votre mot de passe. Pour éviter cela, il vous suffit d’installer un plugin qui bloque le nombre d’essais d’identification. Le plugin Lock Dow vous permet de choisir le nombre d’essais avant blocage.

 

3 - Renommez le préfixe « wp » dans la base de donnée

Pendant l’installation de votre site WordPress, le préfixe que vous trouvez dans votre base de données Mysql est « wp. ». Ce préfixe est connu par tous les hackers. Ils peuvent alors faire des injections SQL beaucoup plus facilement. Il est donc préférable de changer ce préfixe.

 

4 - Ne rendez pas visible la version de WordPress

En rendant votre version de site WordPress visible, vous donnez des informations supplémentaires aux hackers sur les failles de sécurité.

Le numéro de la version se trouve dans la méta generator de votre code source HTML :
<meta name = «genarator» content= «WordPress 4.5.3»

Pour cacher la version, il vous suffit de rajouter ce bout de code dans votre fichier function. php :
remove_action("wp_head", "wp_generator");

 

5 - Protégez vos fichiers

N’importe qui peut accéder au contenu de vos fichiers via le navigateur : pour cela vous pouvez protéger votre fichier wp-config.php (fichier sensible puisqu’il contient par exemple des informations liées à la base de donnée), en rajoutant cette ligne dans vote fichier caché .htaccess :
<Files wp-config.php> order allow,deny deny from all </Files>

Pour plus de sécurité, vous pouvez aussi sécuriser votre fichier .htaccess :
<Files .htaccess> order allow,deny   deny from all </File>

 

6 - Gérer les fichiers uploads

Le dossier uploads, est un dossier sensible puisque c’est ici que les hackers peuvent uploader leurs scripts et donc mettre du code qui peut faire tomber votre site. Le bon moyen pour éviter cela est de désactiver l’exécution de tous les fichiers PHP. Via le fichier .htaccess insérer ce code :

<Files *.php>

deny from all

</Files>

Dans ce dossier uploads, ne laisser que les images et les vidéos.
De plus, pour limiter les droits à ce dossier, mettez une permission à 755 et non à 777 qui donne trop d’accès.

 

7 - Pensez à faire des sauvegardes

Pour ne rien perdre de votre site, mais aussi pour avoir les dernières corrections des failles de sécurité, il est nécessaire de faire une sauvegarde régulière de tous vos fichiers et de votre base de données.

Pour cela, vous pouvez télécharger le plugin Online Backup, qui vous permettra de sauvegarder l’intégralité de votre site sur une heure qui vous convient. Vous pourrez recevoir vos sauvegardes par e-mail.

L’idéal est de faire une sauvegarde une fois par jour.

 

8 - Les mises à jour

Lors de votre installation WordPress, mettez directement la nouvelle version pour ne pas se retrouver avec une version trop ancienne. Pensez aussi à garder votre site à jour (faire des mises à jour régulières).

De même, il est nécessaire de mettre à jour les plugins que vous utilisez. Ces plugins open source ne sont pas gérer par Wordpress, il faut donc prendre des plugins connus et bien téléchargés pour avoir des constantes mises à jour.

 

9 - Ajoutez des clés de sécurité secrètes

Lors de la mise en production de votre site Internet, il est préférable d’ajouter des clés de sécurité dans votre fichier wp-config.php. Cela va crypter les cookies d’identification et renforcer votre mot de passe.
Pour générer des clés de sécurité, vous pouvez vous rendre sur ce lien : https://api.wordpress.org/secret-key/1.1/salt/

Voici un exemple :   

define('AUTH_KEY',         'mK4_ Qgq,:O^5,#^Rz4d}OjGmiIcTgy{CE*B4R<ihfrOk=bNN(G0<GB@C.+Xodty'); define('SECURE_AUTH_KEY', 'q:2Ur;rtF%uIm0hMBNz|?kQ2e]Yjc.,^60u,I.:S*,P)0|iT.fDm-i:O14v=(~7f'); define('LOGGED_IN_KEY',   '!z`/K@!>Z-}A8Y:|ui-#}_MFwLM(g!OV2H=#pCtdJ|fq=WEN8 ~sK6j1gEl-{KYr'); define('NONCE_KEY',       'V7=YWzOTu@^>8.Sd!-eApU?<.aN|m1vGr3+i-&0`/TO JgIf;Qik]C.&O~{;l[S9'); define('AUTH_SALT',       'E^=5)L9p%4R!hB[Ymg4.rPjvj8!GY96T0L5&0-!]05IF6-Kr=Xz(! +Wx=]-n{9J'); define('SECURE_AUTH_SALT', 'kA3$k7,.AdRlSyt(m?s_iAtc$-#Q|ILYlRs1_<OdTC*ih@B}nf3d0ssj[Tu$T`D7'); define('LOGGED_IN_SALT',   ':Q^:Bv]4y|0wD`%+5z S5jT!VrXgL./F3fVd]btc+{]{WZS$Zwc69$Woxj-+ 7qu'); define('NONCE_SALT',       '*.2Y{_JG^/Dg#L1.WV`k9Fgkc/:_=1]Cb.:HMhBF;T*9S2hw1>mm]- L+f@hB}gA');

 

10 - Masquez les erreurs de connexion

En cas de problème de connexion (erreur d’identifiant et/ou de mot de passe), WordPress affiche automatique un message d’erreur.
Cette information est trop explicite, et les hackers pourront alors faire d’autres tentatives d’identification.
Pour cela, rajouter cette ligne dans le fichier function.php :
add_filter('login_errors',create_function('$a', "return null;"));

Pour ne rien oublier, vous pouvez télécharger le plugin All in one WP securtiy & Firewall. Il vous permettra de mesurer votre degré de sécurité et résumera les actions à prendre en compte (pas de compte admin, efficacité du mot de passe, éviter le préfixe wp, sauvegardes base de données et fichiers etc.)

Si vous avez aimé cet article, n’hésitez pas à télécharger gratuitement la checklist pour vérifier l’accessibilité de votre site web, en cliquant ci-dessous.

 

Checklist accessibilité

voir tous les articles