Sécurité Wordpress

Avec un nombre de blogs, de fonctionnalités, de thèmes et de plugins croissants Wordpress s’affirme comme l’outil idéal pour tout ceux qui veulent un blog personnel. Sa facilité d’installation permet de déployer un Wordpress avec peu de connaissance techniques.
Toutefois si vous ne prenez pas vos précautions au niveau de la sécurité vous risquez d’avoir de mauvaise surprises.
Voici un petit tour de solutions basiques pour limiter le risque de piratage de votre blog.

Lorsque j’ai commencé en agence chez CYO, nous avons réussi avec Laurent Evain à faire passer l’idée de mettre en place un blog pour wordpress securite cyol’agence.
A l’époque les blogs étaient peu répandus et peu d’entreprises avaient osé utiliser Wordpress pour gérer leurs actualités.

Alors que je n’étais plus chez CYO j’ai appris que le blog avait été attaqué et recouvert de liens douteux et de vidéos peu recommandables.
Du coup le site a été nettoyé et le blog supprimé. Aujourd’hui encore Google garde le souvenir de cette mésaventure.

Voici quelques stratégies pour améliorer la sécurité de votre blog Wordpress :

0- Niveau de sécurité actuel de votre Wordpress

Pour ceux qui ont déjà un blog Wordpress installé sur leur serveur vous pouvez commencer par tester la sécurité actuelle de votre blog avec le plugin WP Security Scan. Ce plugin vous permettra de voir où se trouve les failles de sécurité basiques qui laissent votre blog très vulnérable face aux attaques malveillantes. Par défaut la vulnérabilité est fonction du sérieux de votre hébergeur et de la version de votre Wordpress.

Wordpress securité scan

1- Protéger sa base de données

Pour ceux qui pense à la sécurité avant de monter leur Wordpress, ou de le remonter, vous pouvez commencer par changer les préfixe de votre base de donnée. Cette manipulation permet de protéger votre BDD d’injections SQL qui peuvent transformer votre blog en ferme de lien. Lors de la création de votre blog Wordpress éditer votre fichier wp-config.php et modifier la ligne qui définit le préfixe de vos tables :

$table_prefix = 'wp_';

Personnaliser le paramètre ‘wp’ renforce automatiquement la sécurité de votre base et diminue le risque d’injection.
Pour ceux qui ont déjà déployer leur Wordpress sans faire cette modification vous pouvez toujours faire un export de vos articles, supprimer votre Wordpress et sa base donnée et redéployer en apportant cette modification…Décourageant non ?
Bonne nouvelle, avec WP Security Scan vous pouvez changer le préfixe de votre base rapidement et facilement, sans avoir besoin d’aspirines.

2- Éliminer le maillon faible

Lors de la création de votre blog Wordpress un premier utilisateur nommé Admin est créé avec tous les droits sur le blog.
Admin est le maillon faible des utilisateurs de votre Wordpress.
Dans la mesure où son login est connu de tous il ne reste plus qu’à trouvé son mot de passe.
Ca peut prendre du temps mais c’est tout à fait jouable.
Après le déploiement de Wordpress connectez vous à votre blog avec Admin, créer un utilisateur avec tous les droits.
Reconnectez-vous avec ce nouvel utilisateur et supprimez Admin.

3- Garder votre Wordpress à jour

Au fur et à mesure des nouvelles versions de Wordpress les failles sont éliminées.
Il est donc primordial de maintenir la version de votre Wordpress à jour.
Je sais que la mise à jour de son blog peut donner quelques sueurs froides mais le piratage de votre blog pourrait vous donner un mal de tête bien plus conséquent.

4- Cacher sa version de Wordpress

C’est le cas dans les dernières versions nous allons donc passer rapidement sur ce point.
Les différentes versions de Wordpress ont différentes failles de sécurité.
Un éventuel pirate n’aurait qu’à regarder la version de votre Wordpress pour savoir par où commencer son attaque.
Pour ne pas laisser votre version de Wordpress visible éliminez la meta version de votre header.php.
Vous pouvez également jouer avec vos assaillants en leur mentant sur la version que vous utilisez avec ce plugin par exemple.

5- Protéger les accès à Wordpress et ses répertoires

La première chose à faire pour sécuriser les accès à votre Wordpress est d’avoir un mot de passe digne de ce nom.
Beaucoup de personnes utilisent le même mot de passe pour tous les sites à mot de passe, erreur à éviter.
Vous pouvez utiliser WP Security Scan pour vous aider à trouver un mot de passe difficile à craquer.
Toutefois il faut savoir qu’il existe des scripts qui permettent de faire toutes les combinaisons possibles de caractères pour craquer un mot de passe. Le fait d’avoir éliminer Admin rendra la tâche plus difficile mais pas vous pouvez encore améliorer la sécurité avec le plugin Ask Apache .Ce plugin vous permet de protéger votre dossier wp-admin par une authentification au niveau du serveur.
Il permet également de désactiver les liens malveillants et l’accès direct à vos repertoires wp-content et wp-includes.

6- C’est la vie

En dépit de toutes vos précautions le risque ne sera jamais nul.
Avec ces 5 modifications vous aurez mis en déroute 99% des hackers mais pour vous prévenir de toute mauvaise surprise je vous conseille également de faire régulièrement des backups de votre base de données Wordpress, histoire de vous assurer de ne pas tout perdre si jamais vous aviez à faire à un fou furieux. Le plugin WP-Database Backup vous permet de faire des backups automatisés (chaque jour par exemple) et de les recevoir par mail. Elle n’est pas belle la vie ?

Partagez cet article:
  • Digg
  • del.icio.us
  • Facebook
  • Google Bookmarks
  • Technorati
  • viadeo FR
  • Wikio FR
  • Yahoo! Buzz
  • Netvibes