10 trucs pour sécuriser son site wordpress

Voici 10 astuces afin de renforcer la sécurité d’un site sous WordPress.

1. Faire des sauvegardes régulières de la base

Protégez-vous de vous même, de votre hébergeur, d’un incident. La seule manière de faire cela est de sauvegarder régulièrement votre installation. Cela est également valable pour votre ordinateur personnel ou votre smartphone par exemple.

Dans le cas miraculeux où vous rencontrez un incident autre qu’un accès non désiré à votre installation, c’est la seule roue de secours que vous aurez.

 

2. Supprimer le compte admin wordpress

Lors de l’installation, WordPress propose le compte “admin”. Il faut changer le nom de ce compte en quelque chose de totalement aléatoire, et installer le plugin “Email Login”, afin de se connecter avec l’adresse email au lieu du nom du compte, qui peut être assez facile à deviner.

 

3. Utiliser HTTPS pour votre site

Partout, tout le temps, pour tout. En effet, avant même de passer à la suite, il faut déjà que votre site soit en HTTPS. Ce protocole vous permet de chiffrer le traffic entre votre site et le navigateur. Il prévient également d’une attaque “Man in the middle” en vérifiant l’identité du serveur. Par conséquent est inutile de sécuriser votre site avec les autres mesures si son traffic n’est pas en HTTPS, avec redirection de l’HTTP vers le HTTPS. Celui-ci sera de toutes façons non sécurisé.

 

4. Utiliser une authentification 2 facteurs

Partout où c’est disponible, c’est une bonne pratique à adpoter. Le plugin Google Authenticator pour wordpress permet de réaliser cette fonction. C’est une dernière barrière, assez invisible quand on s’y habitue, qui peut bloquer une tentative d’authentification malveillante.

 

5. Renommer l’url de login de wordpress

Par défaut, pour se connecter à WordPress il faut taper l’url du site suivi de “wp-login.php”. Sachant cela il devient alors assez simple de réaliser une attaque bruteforce sur un site WordPress. Il faut changer cette adresse en modifiant l’url. Cette fonction est est proposée par le plugin “iThemes Security”.

 

Photo plugin wordpress

6. Paramétrer un fail2ban

Disons qu’un attaquant arrive à trouver l’url de login. Les plus organisés ont à leur disposition un réseau de botnet qu’ils vont utiliser pour faire du bruteforce afin de tenter de trouver votre mot de passe. En paramétrant le module “Local bruteforce protection” du plugin iThemes Security, vous pouvez vous protéger de cela.

 

7. Utiliser un mot de passe fort

Utliser un générateur de mot de passe. https://identitysafe.norton.com/password-generator . Par défaut tout le monde a tendance a utiliser une variation du même mot de passe partout. Pire, certains utilisent le même mot de passe partout. Cette pratique est à proscrire. Si vous n’utilisez pas un gestionnaire de mots de passe comme Keepass, utiliser aux moins des mots de passe complexes. Cependant, vu la complexité – et tant mieux- de ces derniers, un gestionnaire est presque obligatoire. Keepass est bien, libre et hors ligne. Des alternatives en ligne existent, et Dashlane a l’air sérieux. LastPass a été hacké. On peut avoir son avis sur ceux-ci mais c’est mieux que de mettre le nom de son chien comme mot de passe.

 

8. Faire des mises à jour de sécurité régulières

Il arrive que des failles de sécurités soient découvertes sur WordPress, la seule moyen de corriger cela est de faire ses mises à jours régulièrement. Donc dès que WordPress vous notifie d’une mise à jour, faites là. Votre base de donnée est sauvegardée, pas de soucis.

 

9. Choisir des mots de passe complexes pour la base de données

Que cela soit pour l’utilisateur, ou pour l’utilisateur sous lequel WordPress est installé, choisissez un mot de passe d’une complexité suffisante en vous aidant du générateur de mot de passe. Il faut également désactiver la connexion distante à MySQL, soit par le serveur MySQL lui même, ou avec vos règles de pare-feu en bloquant le port 3306 en entrée.

 

10. Avoir des permissions correctes sur les fichiers

L’extension iThemes Security permet de vérifier cela grâceau module “File permissions”. Un fichier avec des permissions mal paramétrées peut éventuellement faciliter l’exécution de code, voir l’accès aux données. Cliquer sur “Configure Settings”, et appliquer les paramètres recommandés.

 

Photo plugin wordpress

 

Voilà quelques pistes que même un utilisateur novice peut appliquer afin de sécuriser son installation wordpress. Mais il est possible d’aller plus loin avec des modifications plus techniques.  Contactez moi pour en savoir plus.



Stephen B

Développeur informatique passionné de numérique et de technologie au sens large du terme.