Aujourd’hui, nous allons nous attarder sur un point important, sécuriser son blog WordPress.
En effectuant quelques petites tâches, vous éviterez les mauvaises surprises dans le futur qui pourraient vous coûter très cher.
Avant toute chose, laissez moi vous rassurer. Tout ce que nous allons voir dans cet article sera un maximum détaillé afin, que les plus débutants d’entre vous, puissent faire de même sans se tirer les cheveux.
Sommaire
Mot de passe
Ce premier point ne concerne pas forcément WordPress. Il est d’ordre général, que vous soyez sur les réseaux sociaux, le site de votre banque ou bien entendu votre blog. Trop de monde minimise l’importance d’un mot de passe. Sachez qu’il faudra moins de dix minutes pour hacker votre compte si le mot de passe que vous utilisez fait 6 caractères et ne présentent que des lettres minuscules. J’avais d’ailleurs posté une infographie à ce sujet ici.
Je vous recommande donc à l’avenir, et donc pour l’installation de votre blog WordPress (ftp, mysql, compte administrateur), de prendre de bonnes habitudes en respectant certaines consignes lorsque vous devez renseigner un mot de passe :
- Un minimum de 8 caractères
- Au moins une minuscule, une majuscule, un caractère spécial et un chiffre
En combinant tout cela, vous êtes tranquille.
Cela pourrait donner par exemple : 1$uperS1t3
Préfixe de vos tables WordPress
Nous en avions parlé d’en Les 10 commandements du blogueur débutant, pour sécuriser son blog wordpress il est important de ne pas laisser le préfixe Wp_ aux tables de votre base de données. Si des personnes malveillantes s’attaquent à votre blog, cela leur compliquera énormément la tâche.
Aussi, lors de l’installation de votre blog WordPress, modifiez la valeur.
Ne prenez pas trop de temps à réfléchir au nouveau nom de votre préfixe (vous n’en aurez plus besoin après), optez pour un mélange de minuscules, majuscules et chiffres. Exemple : De8Pzn6_
Compte administrateur
Auparavant, dans l’installation de WordPress, un compte nommé « administrateur » était créé par défaut. Depuis quelques versions, c’est à vous de renseigner l’identifiant de ce compte. Évitez donc de le nommer administrateur ou encore admin.
Si des personnes malveillantes tentent de se connecter à votre compte, il y a de grandes chances qu’elles commencent par cela.
Pour aller plus loin, pensez également à ne pas faire correspondre votre identifiant de connexion à votre nom d’auteur « Nom à afficher publiquement ». Pour cela renseigner les cases prénom et pseudonyme différemment de votre identifiant.
.htacces
Ht quoi ? Htacces ! Je vous préviens, c’est le point le plus compliqué de cet article sur comment sécuriser son blog WordPress. Mais pas de panique, nous allons faire ça petit à petit.
Qu’est ce qu’un fichier .htaccess
Un fichier .htaccess est un fichier de configuration de serveur http Apache. Sa particularité est d’être installé dans les dossiers du site web, donc ici de votre blog WordPress. Il n’a de porté que dans le dossier dans lequel il se trouve.
Cela permet sur un serveur mutualisé, sur lequel nous n’avons pas la main, d’apporter quelques modifications, notamment de sécurité (ce qui nous intéresse ici).
Nous allons nous attacher dans un premier temps au .htaccess à la racine de votre blog WordPress. Vous devriez en trouver un, une fois votre blog créé, puisque WordPress y inscrit des informations. Ces informations de configuration commencent par # BEGIN WordPress et finissent par # END WordPress.
Nous allons y ajouter plusieurs lignes pour sécuriser le fichier wp-config.php, fichier dans lequel il y a des informations primordiales (identifiants de connexion à la base de données, préfixe de tables…).
Après avoir récupéré votre fichier sur le serveur via FTP, faites une copie de celui-ci par mesure de sécurité. Prenez ce réflexe à chaque fois que vous devez modifier un fichier.
Ensuite, ouvrez le fichier avec NotePad+ ou Wordpad. Nous allons ajouter plusieurs lignes de code.
Tout d’abord pour protéger l’accès à votre fichier wp-config.php.
<files wp-config.php>
order allow,deny
deny from all
</files>
On y ajoute la ligne suivante pour éviter qu’on puisse lister vos répertoires et fichiers.
Options All -Indexes
Et on finit par protéger son fichier .htaccess.
<Files .htaccess>
order allow,deny
deny from all
</Files>
Enregistrez puis déposez le fichier sur votre serveur via un client FTP.
Nous allons également ajouter un fichier .htaccess au dossier wp-admin, dossier dans lequel seuls les utilisateurs de votre blog doivent avoir accès. Il faut donc le sécuriser.
Pour cela, créez un fichier htaccess.txt : clic-droit sur votre bureau puis Nouveau > Document Texte. Renommez le comme indiqué.
Ouvrez ce nouveau fichier et renseignez-y le code suivant :
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
allow from votre_adresse_IP
Ici, on ne va autoriser l’accès qu’à l’adresse IP correspondant à votre PC. Si vous êtes plusieurs à travailler sur le blog, il faudra ajouter les IP de chacun en les séparant par un espace.
Attention : notez que si vous travaillez chez vous depuis votre PC et votre tablette, ces derniers ont la même adresse IP. Par contre, si vous travaillez sur votre blog depuis chez vous et un autre endroit (bureau, résidence secondaire, …), il faudra déclarer plusieurs adresses IP.
Comment connaître son adresse IP ? Il suffit d’aller sur ce site.
Une fois que cela est fait, enregistrez le fichier et déposez le via FTP dans /wp-admin. Faites un clic droit dessus (toujours dans votre client FTP, coté serveur) et choisissez Renommer. Remplacer htaccess.txt par .htaccess pour que cela fonctionne.
Mettre à jour WordPress et Plugins
Cela peut paraître bête, mais pour sécuriser son blog WordPress, l’une des choses les plus importantes est de mettre à jour ses plugins et WordPress.
Je vous parle en connaissance de cause, puisque j’ai malheureusement déjà subi une attaque sur mon blog due à un plugin qui n’était pas à jour et qui comportait une faille de sécurité.
Là, il ne vous reste plus que vos yeux pour pleurer… sauf si vous avez bien sauvegardé votre blog.
Sauvegarder son blog
Sauvegarder son blog comprend deux parties : la base de données et les fichiers WordPress.
Avoir une sauvegarde sera utile dans diverses situations notamment comme je l’indiquais dans le point précédent, en cas d’attaque de votre blog. Il peut être également utile de restaurer un fichier quand on le modifie et que cela fait planter son blog. J’ai de mon coté dernièrement utilisé mes sauvegardes suite à une mise à jour de mon thème qui s’était mal passée.
Attention, il ne suffit pas de sauvegarder son blog une fois. Il faut faire cela régulièrement, voir quotidiennement si vous publiez chaque jour plusieurs articles.
Il existe de nombreux plugins pour réaliser cette tâche, une recherche sur Google devrait vous trouver des tutos de qualité.
De mon coté, j’utilise VaultPress, système mis en place par les papas de WordPress, Automattic. Si celui-ci est payant (5$ par mois), il vous sauvegarde fichiers et base de données tous les soirs. Vous pouvez remonter sur 30 jours.
Acunetix WP Security
Lorsque l’on installe WordPress, il y a quelques petits points gênant en matière de sécurité. Par exemple, le numéro de version de WordPress est renseigné à plusieurs endroits et est consultable par tout le monde.
Vous me direz « et alors ?« . Il donne tout simplement une information qui intéresse les hackers à la recherche de failles de sécurité.
Le plugin Acunetix WP Security va scanner les éventuels petits problèmes qui restent sur votre blog WordPress. Il va également en régler la plupart d’un simple clic et vous indiquez comment résoudre les autres.
Je l’ai installé sur un blog de test et voici ce que cela donne après scan.
Ensuite je me rends dans Settings, coche toutes les options puis clique sur Update Settings. Une fois fait, rendez-vous dans WP File Scan pour scanner de nouveau le blog. Après plus ou moins une minute, retour sur Dashboard pour voir le résultat.
Comme vous pouvez le voir, il a réglé la plupart des points. Il ne vous reste plus qu’à voir comment résoudre les autres en cliquant sur le petit plus à coté de chacun des points jaunes (le premier point a été vu auparavant dans cet article).
En respectant tous ces points, votre blog WordPress sera bien sécurisé. La plupart des actions ne sont à faire qu’une fois, alors prenez le temps de les faire, cela ne devrait pas vous prendre plus d’une demi heure.
Salut Yvan, c’est bien de protéger wp-admin mais n’oublis pas de protéger wp-login.php et dans ton cas il n’est pas protégé et de plus l’accès n’est pas chiffré… 😉
Salut Fred,
en effet je viens de regarder. Par contre cela demande peut-être un tuto à part non ?
En bloquant wp-admin je limite tout de même le champ d’action derrière, mais je vais m’atteler à protéger wp-login.php
Bonjour
Existe-t-il un moyen de modifier les préfixes de tables une fois le blog déjà créé et lancé ? Je n’avais pas entendu parler de cette précaution avant du coup je ne sais pas vraiment comment m’y prendre.
Bonjour,
il est possible de modifier le préfixe oui. Cela peut se faire via un plugin ou bien directement depuis phpmyadmin et le fichier wp-config.
voici un tuto : http://www.responsive-mind.fr/changer-prefixe-tables-wordpress/
merci beaucoup Ivan pour cet article et je crois que ceci va intéresser beaucoup de gens merci infiniment .
On le répétera jamais assez, faites vos mises à jour ! =)
Wordpress est de plus en plus populaire, les attaques s’amplifies de part les failles exploitables que les mises à jour sont indispensables, généralement on laisse traîner jusqu’au jour ou on se rend copte d’une redirection étrange, et le début des problèmes commence =(
Merci pour cet article.
oui effectivement les mises à jour sont importantes.