Dans cet article nous allons voir quelques règles de sécurité pour protéger votre site ou blog sous wordpress contre le hacking .
Et aussi quelques plugins que j’ai sélectionnés en fonction de leurs performances et simplicité d’utilisation pour que la sécurité d’un site sous wordpress soit accessible à tous publics.
Les plugins que je vais vous mentionné dans cette article je les utilises pour des sites professionnel de certains de mes clients.
Première étape la prévention
Login et mot de passe
Lorsque vous installez wordpress une des premières choses à faire est de modifier votre compte Administrateur que wordpress vous a attribué par défaut entre autre votre login : admin pour faire cette manipulation rien de plus simple dans le tableau de bord allez dans Utilisateurs puis ajouter un nouvel utilisateur avec le rôle Administrateur avec une adresse mail différente du compte admin, avec un mot de passe avec des lettres et des chiffres et majuscule ex : Gpz82Jop huit caractères minimum , une fois le nouvelle utilisateur créer supprimer le compte Admin retourner sur le nouveau compte pour remettre l’adresse mail de départ (si vous voulez la reprendre) .
Le compte par défaut admin est la première faille exploitable par les pirates car ils savent d’avance que votre login est admin éviter aussi les pseudos ou autre diminutif de votre prénom par exemple qui pourrait apparaitre dans un de vos articles.
Le téléchargement de plugin
Télécharger des plugins est aussi sources d’ennui, car il y des petits malins qui insert certain code qui permet de récupérer des informations comme le login. C’est sur vous allez me dire tous ne si connait pas en langage de programmation, il y a comme même quelques règle qui permet de minimiser se risque :
1- télécharger toujours le plugin sur le site officiel de sont créateur ou sur le site de wordpress.org. Eviter les sites intermédiaire par exemple ceux avec pleins de pubs.
2- Faite quelques recherche en Français/Anglais sur le plugin des avis des utilisateurs ou des testes réaliser sur le plugin qui vous intéresse n’hésiter pas à vous renseigner sur les forums de wordpress exemple :
wordpress.com en Français
3- Noter la date d’installation de votre plugin qui pourrait être utile si vous avez installé plusieurs en cas de problème vous pourrez procéder par élimination.
Sauvegarder & Conserver
Faite une copie de votre thème
Conserver une copie de votre thème en cas d’intrusion et de modification du code de votre thème cela vous permettra de réinstaller votre thème original rapidement.
Sauvegarder la base de données
La base de données de vote site ou blog est un des éléments les plus importants ! Pour faire une sauvegarde de la Db de votre site il existe quelques plugins plus ou moins complexe, je vais vous parler de WordPress Database Backup (WP-DB-Backup sur wordpress.org) car ce plugin est très simple d’utilisation. Télécharger le plugin et installer le ensuite aller dans le menu Outils et Backup une fois dans les paramètres du plugin on vous propose dans le premier tableau Tables les options suivante :
A gauche vous avez la possibilité d’exclure les spam de commentaire que vous avez ajouter comme indésirable et d’exclure aussi les articles qui ne sont pas publié (en attente de relecture)
A droite vous pouvez inclure les tables des plugins qui utilisent la base de données.
Ensuite vous avez Backup Options ici vous choisissez la solution qui vous convient pour la sauvegarde de votre base de données :
Sur votre serveur
En téléchargement direct
Ou par e-mail
Après vous avez plus cas cliquez sur Backup now ! Une bar de progression vas s’afficher pour vous indiquer l’évolution de la sauvegarde
Dernier tableau Sheduled Backup ici vous avez une option de sauvegarde automatique cette option est utile pour ceux qui mettent très souvent le site à jour, dans la colonne de gauche vous pouvez choisir la fréquence de sauvegarde :
Jamais (si vous voulez ne pas utiliser cette option)
Une fois par heure
Deux fois par jour
Une fois par jour
Une fois par semaine
Ensuite indiquer l’adresse mail ou sera envoyer la sauvegarde de la base de donnée et cliquer sur Schedule backup pour valider.
Sécuriser avec des plugins
Désactiver le panel de connexion www.votresite.com/wp-admin/login.php avec Lockdown WordPress Admin important ! Pour utiliser se plugin vous devez avoir un formulaire de connexion en fontend comme par exemple : AJAX Login Widget++.
Télécharger Lockdown WordPress Admin installer le plugin aller ensuite dans les paramètre du plugin qui se trouve après le menu réglage et en suite cochez la case :
Yes, please hide WP Admin from the user when they aren’t logged in.
Vous avez aussi la possibilité d’indiquer une url différente pour une page de connexion si vous en avez crée une.
Ensuite dans HTTP Authentication laissé cochez par défaut Disable http Auth. Sauvegarder les options.
Bloquer Les tentatives de connexion intempestive
Le plugin Limit Login Attempts est très complet et indispensable pour protéger votre site ou blog vous pouvez paramètrer les fonctions suivante :
Tentatives autorisées
Minutes de blocage
Au bout de xx blocages augmentent le temps de blocage à xx heures
xx heures jusqu’à ce que les tentatives soient réinitialisées
Gérer les cookies de connexion
Notifier lors d’un blocage : Enregistrer l’adresse IP, Envoyer un email à l’administrateur après xx blocages
Statistiques
WordPress Firewall 2
Se plugin protège et vous prévient d’une éventuel attaque sur votre base de données et toutes modifications au niveau du code php de votre blog ou site et en cas d’attaque ou de modification du thème redirige ver la page d’accueil ou la page 404 error et vous envois un mail avec un rapport de la situation même si une personne c’est connecter avec votre compte.
Installer WordPress Firewall 2 allez ensuite dans réglages puis Firewall vous pouvez laisser les paramètres par défaut dans un premier temps et ensuite l’adapter a vos besoins
Bloquer l’accès au répertoire
Bloquer l’accès et les modifications de la base de données
Bloquer les termes spécifiques WordPress
Bloquer le téléchargement de fichiers exécutables (. php,. exe, etc)
Bloquer http:// et https:// dans les paramètres de l’application (désactivé par défaut, peut entraîner des problèmes avec de nombreux plugins)
WordPress Firewall 2 est utile si vous devez vous absenter pour un moment et vous permet de surveiller votre blog ou site sans y aller tous les jours pour voir si tous va bien.
Voila ses quelques bases pour sécuriser votre site sous wordpress bien aucun de ces plugins permet de garantir a 100% la sécurité de votre site, mais ils permettent de limiter certaines action malveillantes et de vous prévenir en cas d’instructions ou de modification du code.
Je mettrais cet article à jour en fonction de nouvelles informations sur le sujet.
Article claire et facile à lire
Limit login attemps reste assez efficace en effet et peu lourd, le seul souci qui peut arriver, reste le plugin faillible mais heureusement, les plus connu sont régulièrement maintenu à jour.