1. Changer le préfixe par défaut de votre base de données
Lorsque vous procédez à l’installation de WordPress (cf. image ci-dessous), le préfixe attribué à votre base de données MySQL est : wp_
Il est important de modifier ce préfixe car tous les pirates informatiques (hackers) commencent par tester les réglages par défaut lors d’une attaque.
Choisissez un préfixe complexe du type : 5D6Hbg3r_
Pour vous faciliter la tâche, vous pouvez utiliser une application web ou mobile qui génère des mots de passe. Pour mon exemple, j’ai utilisé une application web avec les paramètres de l’image ci-dessous.
Si votre site est déjà en ligne et que vous ne connaissiez pas cette astuce, pas de panique, il n’est pas trop tard !
Vous pouvez utiliser une extension telle que SecuPress qui fait cette modification pour vous (en plus de sécuriser d’autres aspects de votre site internet).
2. Utiliser des identifiants & mots de passe sécurisés
Lors de l’installation de votre WordPress, vous aurez la possibilité de choisir votre identifiant et votre mot de passe.
Pour votre identifiant, n’utilisez surtout pas « ADMIN ». En effet, dans les anciennes versions de WordPress, il vous était proposé d’utiliser « ADMIN » en tant qu’identifiant. Cela a conduit il y a quelques années à une énorme vague de piratage de tous les sites web WordPress mondiaux qui utilisaient l’identifiant « ADMIN ».
Mais heureusement Automattic (les développeurs à la base de WordPress) ont appris de leurs erreurs et ne proposent plus désormais d’identifiant par défaut lors de l’installation.
L’une des autres idées géniales d’Automattic a été, depuis la version 4.3 de WordPress, de proposer un générateur de mot de passe intégré. Et par défaut, lors de l’installation, WordPress vous propose un mot de passe sécurisé.
À noter : Si vous avez déjà installé votre WordPress et que vous voulez sécuriser votre installation, pas de panique, il n’est jamais trop tard !
Pour ceux qui souhaitent modifier leur identifiant : Vous pouvez tout simplement créer un nouveau compte administrateur sur votre installation WordPress. Une fois ce nouveau compte crée, connectez-vous dessus puis vous pourrez supprimer l’ancien en n’oubliant pas de cliquer sur « Attribuer tout le contenu à : » et de choisir votre identifiant fraichement crée afin de ne pas perdre votre contenu. (cf. image ci-dessous).
Concernant vos mots de passe, rien de plus simple ! Rendez-vous sur le tableau de bord de votre installation WordPres, puis cliquez sur « Utilisateurs » > « Votre profil » puis rendez-vous en bas de page sur « Gestion de compte » et cliquez sur « Générer un mot de passe » (cf. image ci-dessous).
Si le mot de passe qui s’affiche vous convient, il vous suffit de cliquer sur « Mettre à jour le profil » et voilà le travail 🙂 !
On n’y pense pas forcément quand tout va bien, mais faire régulièrement des sauvegardes peut vous « sauver la vie » en cas de piratages ou de mauvaises manips.
3. Faire des sauvegardes régulières
Pour la plupart, un site internet est une vitrine virtuelle et les investissements qui y sont faits sont parfois conséquents. Je pense que toutes sociétés reverraient de pouvoir cloner ses bureaux et pouvoir les restaurer en cas de pépins. C’est ce qu’une sauvegarde vous permet de faire avec votre bureau virtuel 🙂
Pour faire une sauvegarde, vous aurez besoin :
D’un client FTP tel que FileZilla par exemple
De l’accès à votre base de données MySQL
Copiez le contenu de votre FTP sur un disque dur ou dans le cloud, et faite de même pour votre base de données afin d’assurer vos arrières.
Vous pouvez aussi consulter notre service de sécurisation & sauvegarde pour WordPress.
4. Faire les mises à jour
Eh oui, une bonne installation WordPress sécurisée est une installation à jour ! Que ce soit vos extensions, votre thème ou encore votre version de WordPress, il est primordial d’avoir tout cela à jour sur votre site web.
Les mises à jour servent à corriger les failles de sécurité existante ainsi qu’à corriger certains bogues (bugs en anglais).
Attention : N’oubliez pas de sauvegarder votre site web avant de faire vos mises à jour.
En effet, les mises à jour sont certes importantes mais parfois le thème que vous utilisez n’a pas été mis à jour par le développeur, ou encore, l’une ou plusieurs de vos extensions ne sont pas à jours. Dans ce cas, il faut être prudent car mettre à jour sa version de WordPress peut « casser » votre site dû à une incompatibilité avec votre thème ou vos extensions.
5. Masquer la version de votre WordPress
Dans le code source de votre site web WordPress se trouve une balise qui indique à quiconque la version WordPress que vous utilisez. Cette balise ressemble à ça :
<meta name='generator' content='WordPress 4.7'/>
Le problème est qu’un pirate informatique (hacker) peut très facilement identifier votre version WordPress et chercher les failles relatives à cette version.
Nous vous proposons donc ici une solution simple pour masquer votre version WordPress.
Rendez-vous dans le fichier « function.php » de votre thème et ajoutez cette ligne de code :
remove_action('wp_head', 'wp_generator');Le numéro de version WP se trouve aussi dans le fichier readme.html qui se trouve à la racine de votre installation. Nous allons voir comment remédier à cela dans notre prochaine astuce.
6. Supprimer les fichiers à risque
Nous vous conseillons vivement, sur chacune de vos installations WordPress, de supprimer les fichiers suivants :
Readme.html
License.txt
Ces fichiers contiennent des informations sensibles qui peuvent exposer votre site aux attaques de pirates informatiques.
7. Protéger vos fichiers sensibles en écritures et empêcher la navigation dans vos dossiers
Vos fichiers « wp-config.php » et « .htaccess » sont tous deux des fichiers très sensibles dans votre installation WordPress.
Pour protéger votre WPCONFIG.PHP ajoutez ce code dans votre fichier .HTACCESS qui se trouve à la racine de votre site :
<Files wp-config.php> order allow,deny deny from all </Files>
Pour protéger votre fichier .HTACCESS, ajoutez ce bout de code à l’intérieur :
<Files .htaccess> order allow,deny deny from all </Files>
Et enfin pour cacher vos répertoires sensibles et y empêcher les navigations, ajoutez ce bout de code à votre fichier .HTACCESS :
Options All -Indexes
À noter : Ces codes doivent être mis après la balise # END WordPress. En effet, toutes les informations qui se trouvent entre les balises # BEGIN WordPress et # END WordPress sont susceptibles d’être modifiés par votre WordPress.
8. Ajouter des clés de sécurités secrètes SALT
Depuis la version 2.6 de WordPress, nous avons la possibilité d’ajouter des clés de sécurités secrètes afin de mieux sécuriser votre site web WordPress.
Cette clé va permettre à votre site web de crypter les cookies utilisateurs et ainsi de renforcer la sécurité de votre site web WordPress.
Vous pouvez générer cette clé en vous rendant à cette adresse : https://api.wordpress.org/secret-key/1.1/salt/
Une fois générer, ajoutez simplement les codes obtenus à votre fichier « wp-config.php ».
Nulles craintes, vous n’avez aucunement besoin de retenir ses codes 🙂
9. Masquer les erreurs de connexions et limiter les tentatives
Les messages d’erreurs de connexions sur WordPress sont beaucoup trop explicites et cela peut avoir un risque pour la sécurité de votre site web (cf. image ci-dessous).
Ajoutez cette ligne de code au fichier « function.php » de votre thème afin de masquer ces messages d’erreur :
add_filter('login_errors',create_function('$a', 'return null;'));Après l’ajout de ce code, voici à quoi ressembleront les erreurs de connexions (cf. image ci-dessous) :
En ce qui concerne la limitation des tentatives de connexion, vous pouvez utiliser une extension. Il en existe plusieurs mais celle que je vous recommande est : SecuPress.
10. Désactiver l’éditeur de fichiers de l’administration
Dans l’interface d’administration de votre installation WordPress, sous l’onglet « Apparence » se trouve le sous-onglet « Éditeur » qui permet de modifier les fichiers de votre site web WordPress sans y accéder via un client FTP.
Pour désactiver cela, ajouter simplement cette ligne de code dans le fichier « function.php » de votre thème WordPress :
define('DISALLOW_FILE_EDIT',true);Il existe bien évidemment une multitude d’autres points à vérifier pour bien sécuriser un site web WordPress. Vous pouvez dès à présent consulter notre service de sécurisation & sauvegarde pour WordPress.