Si vous avez choisi de gérer vous-même l’installation et l’administration de votre blogue, vous devez aussi vous préoccuper de la sécurité. Aussitôt que votre blogue est en ligne, il peut devenir une cible pour les hacker. Il existe quelques trucs simples qui vous permettront de mieux sécuriser votre installation de WordPress.
L’idée de ce billet m’est venu en lisant le billet de Dievochka. Il a été hacké il y a quelques jours et l’expérience n’a pas été vraiment intéressante. Voici donc quelques trucs et réflexions qui vous permettrons de mieux sécuriser votre blogue. Bien entendu, vous devrez rester sur vos gardes, car rien n’est infaillible.
1- La première chose à faire et Dievochka le souligne dans son billet: il faut mettre à jour son blogue. Cette opération est de plus en plus simple, puisqu’elle se fait maintenant automatiquement tout simplement en cliquant sur le bouton de mise à jour.
2- Vous devez aussi mettre à jour vos extensions (plugin). Cette opération se fait aussi automatiquement.
3- Supprimer les plugins inactifs.
4- Pour vos accès à l’interface administrateur et à la base de données. Utilisez un mot de passe difficile à déchiffrer. Ne faites pas référence à votre adresse ou votre nom dans votre mot de passe. Utilisez des caractères numériques, alphanumériques et des symboles comme @ et au moins une majuscule dans votre mot de passe.
5- Désactiver le compte admin ou du moins modifier son rôle. Le compte admin peut s’avérer problématique au niveau de la sécurité. Souvenez-vous de la version 2.8.3, il était possible à quiconque de facilement demander la réinitialisation du mot de passe de l’utilisateur «admin».
6- Faites des sauvegardes régulières de votre base de données. Il existe plusieurs plugin qui vous permettront d’automatiser les sauvegardes. WordPress Database Backup sauvegardera automatiquement votre base de données. Ce système peut même envoyer une copie de la sauvegarde par mail à l’adresse que vous désirez. Personnellement, je préfère Automatic WordPress Backup, ce plugin sauvegarde non seulement la base de données, mais aussi les dossiers comme Upload (images et photos), Themes, Plugin et vos fichiers config et htaccess.
7- Insérez un fichier index.html vide dans le dossier plugin.
8- N’affichez pas la version de votre installation WordPress. Il est possible que le numéro de la version de WordPress que vous utilisez apparaisse dans le code source de vos pages. Pour enlever la référence à la version de WordPress, ouvrez le fichier header.php qui se trouve dans le répertoire de votre thème.
Sur le fichier header.php, supprimez la ligne:
<meta content="WordPress <?php bloginfo('version'); ?>" /> <!-– leave this for stats please -->
Si vous ne la trouvez pas, supprimez: <?php wp_head(); ?>
9- Utilisez Login Lockdown ou Limit Login Attempts pour limiter le nombre d’accès infructueux au compte administrateur de votre blogue.
10- Créez les clefs uniques d’authentification pour votre fichier wp-config.php. Vous pouvez générer ces clés uniques ici. Collez vos clés à l’endroit réservé à cet effet dans le fichier wp-config.php.
Voilà, ces suggestions vous permettront de facilement améliorer la sécurité de votre blogue. Cette liste n’est évidemment pas définitive et parfaite. Je vous invite à me suggérer vos astuces ou commenter ce que je suggère.
Benoit Descary
Merci pour les conseils.
merci pour ces infos des plus utiles, indispensables !…
Pour les plugins de sécurisation de la connexion, j’avais fait un petit billet : http://blogmotion.fr/internet/.....exion-3911
De très bon conseils, mais après il est aussi possible de personnaliser son wordpress pour être encore plus protéger ! (Et cela est très efficace)
Est-il indispensable de donner son code carte bleu sur Amazon pour faire fonctionner Automatic WordPress Backup ?
@Cataras
Oui, puisque ce service est payant. Il coute environ 15 cents du giga par mois.
Merci, c’est bien ce qu’il m’avait semblé comprendre !
j’ai la derniere version de wordpress: il n’est pas possible de changer le role de l’admin.
en baissant le role d’admin d’un cran (editeur), le message suivant apparait: The current user’s role must have user editing capabilities.
Pareil pour les autres roles.