12.12.2011 par ADK Media | Cloud - Webhosting - SSL | 5 commentaires

Sécuriser votre site ou blog sous WordPress

Beaucoup de sites web et blogs hébergés chez ADK Media sont basés sur WordPress, cependant, et comme tout site basé sur un CMS gratuit et open source, plusieurs de ces sites font l’objet d’actions de hacking causés par leur manque de sécurité.

Nous vous présentons sur ce billet, une série de conseils et astuces vous permettant de mieux sécuriser votre site WordPress, ou limiter les dégâts potentiels.

#1 – Gardez votre installation WordPress à jour

90% des sites web qui se font pirater sont des sites dont les webmasters n’ont pas fait de mise à jour pendant des semaines ou des mois, les équipes WP fournissent des mises à jour régulières, qui comprennent en grande partie des correctifs de sécurité, il en va de même pour les plugins qui doivent également être mis à jour régulièrement.

Notez que WordPress offre un système de mise à jour et de réinstallation entièrement automatisé. Une notification est disponible sur votre tableau de bord à chaque fois qu’une mise à jour est disponible, suivez-là! et en deux clic, votre mise à jour sera installée.

#2 – Bien choisir son login et mot de passe

Au début de votre installation WordPress, évitez de créer votre compte avec le login par défaut « admin », choisissez plutôt un nom générique à votre blog.

Concernant le mot de passe, les règles élémentaires à suivre sont de le créer en 8 caractères ou plus, y utiliser des chiffres, caractères spéciaux et lettres en majuscule/minuscule. Il existe des outils en ligne qui vous permettent de générer rapidement des mots de passe comme le site Strong password generator.

#3 – Utilisez les clés secrètes dans wp-config.php

Vous avez la possibilité d’inclure des clés secrètes dans le fichier wp-config.php, comme suit :

define('AUTH_KEY', '{zSq`#=nO*rE~~#;3.Z{3Bm_x7; A`>m_B%9');
define('SECURE_AUTH_KEY', '#,1-PL;:KBGqbsm7~P3>_W?g![L1nc?kC');
define('LOGGED_IN_KEY', 'NbwnZfZ_4?i%#h8sgmtKeOm;Tki+2g}NLi+T9');

Vous pouvez générer des clés aléatoires à l’aide de ce lien : https://api.wordpress.org/secret-key/1.1/

#4 – Protégez votre fichier wp-config.php

Modifiez votre fichier .htaccess situé à la racine de votre serveur FTP en y ajoutant les lignes ci-dessous. Ces commandes empêcheront un hacker de récupérer votre identifiant et mot de passe MySQL en cas de problèmes avec PHP.

<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>

Vous pouvez renforcer la sécurité de ce fichier en le mettant sous CHMOD 400 (Lecture pour le propriétaire), ceci interdira sa lecture par le public en cas de problème PHP.

#5 – Modifiez le préfixe des tables WP

Le préfixe wp_ est proposé au début de l’installation WordPress, il est préférable de le modifier en n’importe quel autre préfixe.

#6 – Sauvegardez régulièrement votre site ou blog WordPress

Pensez à effectuer une sauvegarde régulière de votre site web, WP est livré avec un outil d’exportation qui sauvegarde tout votre site en un seul fichier XML. Il est disponible sur le menu Outils > Exporter. Cette opération sauvegarde les articles, pages, commentaires, champs personnalisés, termes, menus et contenus personnalisés.

Vous pouvez également effectuer la sauvegarde entière ou partielle de votre site web, en utilisant la fonction de sauvegarde de cPanel offerte à nos clients sur tous nos packs d’hébergement. Pour cela, connectez vous à votre cPanel et dirigez vous sur le menu « Fichiers / Sauvegardes », cliquez ensuite sur le bouton « Daily » dans la partie « System backups », ceci vous permettra de télécharger une copie intégrale de votre espace d’hébergement qui date de la journée précédente, incluant les fichiers, bases de données et filtres de courrier.

Une solution payante de sauvegarde spécial WP VaultPress est aussi disponible, créée par Automattic (la société éditrice de WordPress).

#7 – Augmentez votre sécurité avec des plugins spécialisés

  • Login LockDown est un plugin qui vous protège contre des attaques de type Brut Force en faisant diminuer le nombre d’essai de login/password sur votre page de connexion.
  • Secure WordPress est un plugin complet qui permet d’activer des fonctions spéciales pour sécuriser au maximum votre blog ou site sous WP.
  • WP Security Scan vous permets de tester la vulnérabilité de votre installation WordPress et vous suggère des corrections à effectuer.

#8 – N’utilisez que les plugins téléchargeables sur le site officiel WordPress

Des milliers de plugins sont disponibles pour WordPress, cependant, gardez la bonne habitude les choisir et les télécharger à partir du Plugin Directory officiel de WordPress, ou bien à partir de votre tableau de bord au menu Plugin > Ajouter.

TAGS : » » »

5 Réponses

Mustapha NAJAH→ 12/12/2011 à 16:35 ...

est ce que la même procédure peut être suivie pour les sites Joomla

ACHRAF→ 13/12/2011 à 00:22 ...

I have seen since old time that a Hacker is present physically in-the-LAN not out.
This is why a good network administrator has always a secret key to unlock and lock his network area and to supervise it.
Thank you,

ADK Media→ 13/12/2011 à 07:35 ...

@Achraf: yes, but a good web developer have to take care of his CMS security too. Thanks for visiting us.
@Mustapha: Ces conseils sont propres à WordPress, un autre articles concernant Joomla sera publié bientôt. Merci pour ta visite.

eby→ 13/12/2011 à 09:03 ...

Bonjours
moi mon develloper par html/php
est ce que il y a des conseil de sécurité

ADK Media→ 20/12/2011 à 18:16 ...

@eby: Il y a beaucoup de conseil de sécurité que tu pourras trouver sur le net, cet article traite juste de WordPress.


Laisser un Commentaire

Nom

E-Mail (ne sera pas publié)

Site Web

Votre commentaire

Note: La modération des Commentaires est activée et peut retarder quelque peu l'apparition de votre commentaire. Il est donc inutile de reposter votre commentaire.

 

     
Shares