Sécuriser Votre Site ou Blog Sous WordPress

Publié par Fred Le

Catégorie(s): Conseils
 

 

Dans cet article nous allons voir quelques règles de sécurité pour protéger votre site ou blog sous wordpress contre le hacking .

Et aussi quelques plugins que j’ai sélectionnés en fonction de leurs performances et simplicité d’utilisation pour que la sécurité d’un site sous wordpress soit accessible  à tous publics.

Les plugins que je vais vous mentionné dans cette article  je les utilises pour des sites professionnel de certains de mes clients.


Première étape la prévention

Login et mot de passe

Lorsque vous installez wordpress une des premières choses à faire est de modifier votre compte Administrateur que wordpress vous a attribué par défaut entre autre votre login : admin    pour faire cette manipulation rien de plus simple dans le tableau de bord allez dans Utilisateurs  puis ajouter un nouvel utilisateur  avec le rôle Administrateur avec une adresse mail différente du compte admin,  avec un mot de passe avec des lettres et des chiffres et majuscule ex : Gpz82Jop huit caractères minimum , une fois le nouvelle utilisateur créer supprimer le compte Admin retourner sur le nouveau compte pour remettre l’adresse mail de départ (si vous voulez la reprendre) .

Le compte par défaut admin est la première faille exploitable par les pirates car ils savent d’avance que votre login est admin éviter aussi les pseudos ou autre diminutif de votre prénom par exemple qui pourrait apparaitre dans un de vos articles.  


Le téléchargement de plugin

Télécharger des plugins est aussi sources d’ennui, car il y des petits malins qui insert certain code qui permet de récupérer des informations  comme le login. C’est sur vous allez me dire tous ne si connait pas en langage de programmation, il y a comme même quelques règle qui permet de minimiser se risque :


1-      télécharger toujours le plugin sur le site officiel de sont créateur ou sur le site de wordpress.org. Eviter les sites intermédiaire par exemple ceux avec pleins de pubs.

2-      Faite quelques recherche en Français/Anglais sur le plugin des avis des utilisateurs  ou des testes réaliser sur le plugin qui vous intéresse n’hésiter pas à vous renseigner sur les forums de wordpress exemple :


wordpress-fr.net

wordpress.com en Français


3-      Noter la date d’installation de votre plugin qui pourrait être utile si vous avez installé plusieurs en cas de problème vous pourrez procéder par élimination.



Sauvegarder & Conserver


Faite une copie de votre thème

Conserver une copie de votre thème en cas d’intrusion et de modification du code de votre thème cela vous permettra de réinstaller votre thème original rapidement.

Sauvegarder la base de données

La base de données de vote site ou blog est un des éléments les plus importants ! Pour faire une sauvegarde de la Db de votre site il existe quelques plugins plus ou moins complexe,  je vais vous parler de WordPress Database Backup (WP-DB-Backup sur wordpress.org)   car ce plugin est très simple d’utilisation.  Télécharger le plugin et installer le ensuite aller dans le menu Outils et Backup une fois dans les paramètres du plugin on vous propose dans le premier tableau Tables les options suivante :

A gauche vous avez la possibilité d’exclure les spam de commentaire que vous avez ajouter comme indésirable et d’exclure aussi les articles qui ne sont pas publié (en attente de relecture)

A droite vous pouvez inclure les tables des plugins qui utilisent la base de données.

Ensuite vous avez Backup Options ici vous choisissez la solution qui vous convient pour la sauvegarde de votre base de données :

Sur votre serveur

En téléchargement direct

Ou  par e-mail

Après vous avez plus cas cliquez sur Backup now ! Une bar de progression vas s’afficher pour vous indiquer l’évolution de la sauvegarde

Dernier tableau Sheduled Backup ici vous avez une option de sauvegarde automatique cette option est utile pour ceux qui mettent très souvent le site à jour, dans la colonne de gauche vous pouvez choisir la fréquence de sauvegarde :

Jamais (si vous voulez ne pas utiliser cette option)

Une fois par heure

Deux fois par jour

Une fois par jour

Une fois par semaine

Ensuite indiquer l’adresse mail ou sera envoyer la sauvegarde de la base de donnée et cliquer sur Schedule backup pour valider.

Sécuriser avec des plugins

Désactiver le panel de connexion  www.votresite.com/wp-admin/login.php avec Lockdown WordPress Admin  important ! Pour utiliser se plugin vous devez avoir un formulaire de connexion en fontend comme par exemple : AJAX Login Widget++.

Télécharger Lockdown WordPress Admin installer le plugin aller ensuite dans les paramètre du plugin qui se trouve après le menu réglage et en suite cochez la case :

Yes, please hide WP Admin from the user when they aren’t logged in.

Vous avez aussi la possibilité d’indiquer une url différente pour une page de connexion si vous en avez crée une.


Ensuite dans HTTP Authentication laissé cochez par défaut Disable http Auth. Sauvegarder les options.

Bloquer Les tentatives de connexion intempestive

Le plugin Limit Login Attempts  est très complet et indispensable pour protéger votre site ou blog vous pouvez paramètrer les fonctions suivante :

Tentatives autorisées

Minutes de blocage

Au bout de xx blocages augmentent le temps de blocage à xx heures

xx heures jusqu’à ce que les tentatives soient réinitialisées

Gérer les cookies de connexion

Notifier lors d’un blocage : Enregistrer l’adresse IP, Envoyer un email à l’administrateur après xx blocages

Statistiques

WordPress Firewall 2

Se plugin protège et vous prévient d’une éventuel attaque sur votre base de données et toutes modifications au niveau du code php de votre blog ou site et en cas d’attaque ou de modification du thème redirige ver la page d’accueil ou la page 404 error et vous envois un mail avec un rapport de la situation même si une personne c’est connecter avec votre compte.

Installer WordPress Firewall 2 allez ensuite dans réglages puis Firewall vous pouvez laisser les paramètres par défaut dans un premier temps et ensuite l’adapter a vos besoins

Bloquer l’accès au répertoire

Bloquer l’accès et les modifications de la base de données

Bloquer  les termes spécifiques WordPress

Bloquer le téléchargement de fichiers exécutables (. php,. exe, etc)

Bloquer  http:// et https:// dans les paramètres de l’application (désactivé par défaut, peut entraîner des problèmes avec de nombreux plugins)

WordPress Firewall 2 est utile si vous devez vous absenter pour un moment et vous permet de surveiller votre blog ou site sans y aller tous les jours pour voir si tous va bien.



Voila ses quelques bases pour sécuriser votre site sous wordpress bien aucun de ces plugins permet de garantir a 100% la sécurité de votre site, mais ils permettent de limiter certaines action malveillantes et de vous prévenir en cas d’instructions  ou de modification du code.

Je mettrais cet article à jour en fonction de nouvelles informations sur le sujet.

Mots clés: , ,




Un Commentaire pour :

“Sécuriser Votre Site ou Blog Sous WordPress”

  1. Article claire et facile à lire

Laisser un commentaire

XHTML : Vous pouvez utiliser ces balises : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Pour affiché du code HTML, CSS, PHP, JAVASCRIPT utilisé le marqueur : [code][/code]