Top 10 des astuces pour sécuriser son site web WordPress en 2017

Top 10 des astuces pour sécuriser son site web WordPress en 2017

TOP 10 des astuces pour sécuriser son site web WordPress

1. Changer le préfixe par défaut de votre base de données

Lorsque vous procédez à l’installation de WordPress (cf. image ci-dessous), le préfixe attribué à votre base de données MySQL est : wp_

Préfixe par défaut des tables sur WordPress

Il est important de modifier ce préfixe car tous les pirates informatiques (hackers) commencent par tester les réglages par défaut lors d’une attaque.

Choisissez un préfixe complexe du type : 5D6Hbg3r_

Pour vous faciliter la tâche, vous pouvez utiliser une application web ou mobile qui génère des mots de passe. Pour mon exemple, j’ai utilisé une application web avec les paramètres de l’image ci-dessous.

Application web - Générateur de mot de passe

Si votre site est déjà en ligne et que vous ne connaissiez pas cette astuce, pas de panique, il n’est pas trop tard !

Attention: Cette étape est réservée aux utilisateurs intermédiaires voire avancés. Il est fortement recommandé de faire une sauvegarde complète de votre base de données avant de procéder aux changements.

Voir l'astuce pour les utilisateurs intermédiaires et avancés

Modifier le préfixe de votre base de données dans votre fichier WP-CONFIG.PHP

Ce fichier se situe à la racine de votre installation WordPress. La ligne de code qu’il faut modifier ressemble à cela :

$table_prefix  = ‘wp_’;

Pour reprendre notre exemple du départ, votre ligne devra donc par la suite ressembler à ça :

$table_prefix = ‘5D6Hbg3r_’;

Modifier les noms de toutes les tables de votre base de données

Par défaut, WordPress génère 11 tables, et afin d’éviter de modifier ces tables une par une, nous vous proposons une requête SQL qui fera cela pour vous :

RENAME table wp_commentmeta TO 5D6Hbg3r_commentmeta;
RENAME table wp_comments TO 5D6Hbg3r_comments;
RENAME table wp_links TO 5D6Hbg3r_links;
RENAME table wp_options TO 5D6Hbg3r_options;
RENAME table wp_postmeta TO 5D6Hbg3r_postmeta;
RENAME table wp_posts TO 5D6Hbg3r_posts;
RENAME table wp_terms TO 5D6Hbg3r_terms;
RENAME table wp_termmeta TO 5D6Hbg3r_termmeta;
RENAME table wp_term_relationships TO 5D6Hbg3r_term_relationships;
RENAME table wp_term_taxonomy TO 5D6Hbg3r_term_taxonomy;
RENAME table wp_usermeta TO 5D6Hbg3r_usermeta;
RENAME table wp_users TO 5D6Hbg3r_users;

À noter: Si vous utilisez des plugins qui créent leurs propres tables, il faudra ajouter quelques lignes à cette requête.

Modifier la table OPTIONS

Il faut désormais rechercher les champs contenus dans cette table qui utilisent notre ancien préfixe : wp_ ; et remplacer cela par notre nouveau préfixe.

Pour vous faciliter ce processus de recherche, voici la requête SQL adaptée :

SELECT * FROM 5D6Hbg3r_options WHERE option_name LIKE ‘%wp_%’;

Cette requête va certainement vous générer beaucoup de résultats. Il va falloir allez modifier ces lignes une par une.

Modifier la table UserMeta

Même processus que pour la tables options, nous allons rechercher tous les champs qui utilisent notre ancien préfixe et les remplacer par le nouveau.

Voici la requête SQL pour faciliter votre recherche :

SELECT * FROM 5D6Hbg3r_usermeta WHERE meta_key LIKE ‘%wp_%’;

Les résultats dépendront des extensions que vous utilisez etc. Comme pour l’étape précédente, il faudra modifier les lignes qui utilisent l’ancien préfixe une par une.

Tester le site web

Techniquement, si vous avez suivi pas à pas les étapes ci-dessus, tout devrait fonctionner convenablement.

Testez votre site internet et si tout fonctionne comme il faut, faite une sauvegarde de votre base de données et du contenu de votre FTP afin d’avoir une sauvegarde de secours, just in case.

2. Utiliser des identifiants & mots de passe sécurisés

Lors de l’installation de votre WordPress, vous aurez la possibilité de choisir votre identifiant et votre mot de passe.

Pour votre identifiant, n’utilisez surtout pas « ADMIN ». En effet, dans les anciennes versions de WordPress, il vous était proposé d’utiliser « ADMIN » en tant qu’identifiant. Cela a conduit il y a quelques années à une énorme vague de piratage de tous les sites web WordPress mondiaux qui utilisaient l’identifiant « ADMIN ».

Mais heureusement Automattic (les développeurs de WordPress) ont appris de leurs erreurs et ne proposent plus désormais d’identifiant par défaut lors de l’installation.

L’une des autres idées géniales d’Automattic a été, depuis la version 4.3 de WordPress, de proposer un générateur de mot de passe intégré. Et par défaut, lors de l’installation, WordPress vous propose un mot de passe sécurisé.

Proposition d'un mot de passe sécurisé lors de l'installation de WordPress

À noter: Si vous avez déjà installé votre WordPress et que vous voulez sécuriser votre installation, pas de panique, il n’est jamais trop tard !

Pour les utilisateurs débutants qui souhaitent modifier leur identifiant : Vous pouvez tout simplement créer un nouveau compte administrateur sur votre installation WordPress. Une fois ce nouveau compte crée, connectez-vous dessus puis vous pourrez supprimer l’ancien en n’oubliant pas de cliquer sur «   Attribuer tout le contenu à : » et de choisir votre identifiant fraichement crée afin de ne pas perdre votre contenu. (cf. image ci-dessous).

Pour les utilisateurs intermédiaires et avancés qui souhaitent modifier leur identifiant : Un tutoriel détaillé est en cours de préparation et sera mis en lien dans cet article d’ici peu 😉

Concernant vos mots de passe, rien de plus simple ! Rendez-vous sur le tableau de bord de votre installation WordPres, puis cliquez sur « Utilisateurs » > « Votre profil » puis rendez-vous en bas de page sur « Gestion de compte » et cliquez sur « Générer un mot de passe » (cf. image ci-dessous).

Générer un mot de passe sur WordPress

Modifier le mot de passe utilisateur sur WordPress

Si le mot de passe qui s’affiche vous convient, il vous suffit de cliquer sur « Mettre à jour le profil » et voilà le travail 🙂 !

On n’y pense pas forcément quand tout va bien, mais faire régulièrement des sauvegardes peut vous « sauver la vie » en cas de piratages ou de mauvaises manips.

 

3. Faire des sauvegardes régulières

Pour la plupart, un site internet est une boutique virtuelle et les investissements qui y sont faits sont parfois conséquents. Je pense que toutes sociétés reverraient de pouvoir cloner ses bureaux et pouvoir les restaurer en cas de pépins. C’est ce qu’une sauvegarde vous permet de faire avec votre bureau virtuel 🙂

Pour faire une sauvegarde, vous aurez besoin :

  • D’un client FTP tel que FileZilla par exemple
  • De l’accès à votre base de données MySQL
Copiez le contenu de votre FTP sur un disque dur ou dans le cloud, et faite de même pour votre base de données afin d’assurer vos arrières.

Vous pouvez aussi consulter notre service de sécurisation & sauvegarde pour WordPress.

4. Faire les mises à jour

Eh oui, une bonne installation WordPress sécurisée est une installation à jour ! Que ce soit vos extensions, votre thème ou encore votre version de WordPress, il est primordial d’avoir tout cela à jour sur votre site web.

Mise à jour de WordPress

Les mises à jour servent à corriger les failles de sécurité existante ainsi qu’à corriger certains bogues (bugs en anglais).

Attention : N’oubliez pas de sauvegarder votre site web avant de faire vos mises à jour.

En effet, les mises à jour sont certes importantes mais parfois le thème que vous utilisez n’a pas été mis à jour par le développeur, ou encore, l’une ou plusieurs de vos extensions ne sont pas à jours. Dans ce cas, il faut être prudent car mettre à jour sa version de WordPress peut « casser » votre site dû à une incompatibilité avec votre thème ou vos extensions.

 

5. Masquer la version de votre WordPress

Dans le code source de votre site web WordPress se trouve une balise qui indique à quiconque la version WordPress que vous utilisez. Cette balise ressemble à ça :

meta name=’generator’ content=’WordPress 4.7’/

Le problème est qu’un pirate informatique (hacker) peut très facilement identifier votre version WordPress et chercher les failles relatives à cette version.

Nous vous proposons donc ici une solution simple pour masquer votre version WordPress.

Rendez-vous dans le fichier « function.php » de votre thème et ajoutez cette ligne de code :

remove_action(‘wp_head’, ‘wp_generator’);

Le numéro de version WP se trouve aussi dans le fichier readme.html qui se trouve à la racine de votre installation. Nous allons voir comment remédier à cela dans notre prochaine astuce.

6. Supprimer les fichiers à risque

Nous vous conseillons vivement, sur chacune de vos installations WordPress, de supprimer les fichiers suivants :

  • Readme.html
  • License.txt
Ces fichiers contiennent des informations sensibles qui peuvent exposer votre site aux attaques de pirates informatiques.

 

7. Protéger vos fichiers sensibles en écritures et empêcher la navigation dans vos dossiers

Vos fichiers « wp-config.php » et « .htaccess » sont tous deux des fichiers très sensibles dans votre installation WordPress.
Pour protéger votre WPCONFIG.PHP ajoutez ce code dans votre fichier .HTACCESS qui se trouve à la racine de votre site :

Files wp-config.php
order allow,deny
deny from all
/Files

Pour protéger votre fichier .HTACCESS, ajoutez ce bout de code à l’intérieur :

Files .htaccess
order allow,deny
deny from all
/Files

Et enfin pour cacher vos répertoires sensibles et y empêcher les navigations, ajoutez ce bout de code à votre fichier .HTACCESS :

Options All -Indexes

À noter: Ces codes doivent être mis après la balise # END WordPress. En effet, toutes les informations qui se trouvent entre les balises # BEGIN WordPress et # END WordPress sont susceptibles d’être modifiés par votre WordPress.

 

8. Ajouter des clés de sécurités secrètes SALT

Depuis la version 2.6 de WordPress, nous avons la possibilité d’ajouter des clés de sécurités secrètes afin de mieux sécuriser votre site web WordPress.

Cette clé va permettre à votre site web de crypter les cookies utilisateurs et ainsi de renforcer la sécurité de votre site web WordPress.

Vous pouvez générer cette clé en vous rendant à cette adresse : https://api.wordpress.org/secret-key/1.1/salt/

Une fois générer, ajoutez simplement les codes obtenus à votre fichier « wp-config.php ».

Nulles craintes, vous n’avez aucunement besoin de retenir ses codes 🙂

 

9. Masquer les erreurs de connexions et limiter les tentatives

Les messages d’erreurs de connexions sur WordPress sont beaucoup trop explicites et cela peut avoir un risque pour la sécurité de votre site web (cf. image ci-dessous).

Message d'erreur de connexion sur WordPress

Ajoutez cette ligne de code au fichier « function.php » de votre thème afin de masquer ces messages d’erreur :

add_filter(‘login_errors’,create_function(‘$a’, ‘return null;’));

Après l’ajout de ce code, voici à quoi ressembleront les erreurs de connexions (cf. image ci-dessous) :

Suppression du message d'erreur de connexion sur WordPress

En ce qui concerne la limitation des tentatives de connexion, vous pouvez utiliser une extension. Il en existe plusieurs mais l’une des plus connues est : Login LockDown.

Cependant, à l’heure où j’écris ces lignes, cette extension n’est apparemment pas compatible avec la version 4.7 de WordPress. Il se peut qu’elle fonctionne parfaitement avec, mais le développeur ne l’a pas encore testée et validée pour cette dernière version.

 

10. Désactiver l’éditeur de fichiers de l’administration

Dans l’interface d’administration de votre installation WordPress, sous l’onglet « Apparence » se trouve le sous-onglet « Éditeur » qui permet de modifier les fichiers de votre site web WordPress sans y accéder via un client FTP.

Pour désactiver cela, ajouter simplement cette ligne de code dans le fichier « function.php » de votre thème WordPress :

define(‘DISALLOW_FILE_EDIT’,true);

Il existe bien évidemment une multitude d’autres points à vérifier pour bien sécuriser un site web WordPress. Vous pouvez dès à présent consulter notre service de sécurisation & sauvegarde pour WordPress.

Note: 5.0. (6 avis)
Patientez...

0 Commentaire

Sentez vous libre de réagir à cet article !

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*