Sécuriser WordPress

Où débuter pour sécuriser WordPress ? 1ère partie

Blog Sécuriser WordPress Où débuter pour sécuriser WordPress ? 1ère partie
0 commentaire

Sécuriser WordPress est un travail de tous les jours. Je ne parle pas du cœur de WordPress mais du site complet, concrètement.

Il y a des choses qui peuvent être faites une fois pour toutes, si ce n’est de vérifier de temps en temps que ces règles de sécurisation soient toujours actives et effectives.

Les vagues d’attaques sur les sites WordPress arrivent de temps en temps, et il est très difficile voire impossible de les prévoir.

4 règles simples à ne faire qu’une seule fois

Modifier le préfixe de la base de données

Vous le savez peut-être déjà, il ne faut pas utiliser wp_ ni wordpress_ en préfixe de base de données. Mais savez-vous pourquoi ?

L’explication est relativement simple. Quand une faille de type SQL Injection est exploitée, l’attaquant a le plus souvent besoin de cibler vos tables, il lui faut par exemple wp_users afin d’aller lire vos informations. Sauf que si le préfixe n’est pas wp_ alors il n’aura en retour que des erreurs.

Le conseil de sécurité serait alors d’utiliser un préfixe long ou aléatoire. Sachez que vous n’avez pas à retenir ce préfixe, pas même si vous êtes développeur. Sécuriser WordPress passe aussi par la base de données !

Avec SecuPress cette correction est automatisée :

SecuPress Scan Database Bad Prefix

Avant la correction

SecuPress Scan Database Good Prefix

Après correction

Empêcher la lecture du contenu des dossiers

Par défaut dans la plupart des installations il est possible d’accéder à la liste des fichiers contenus dans vos dossiers. Cela peut paraître anodin mais il est fortement déconseillé de laisser l’accès à ces contenus.

Imaginez avoir des documents accessibles avec un compte membre payant, ou d’autres contenant des informations privées ou encore des fichiers PHP de tests de développements qui ne sont pas sensés être utilisés par des visiteurs, tout cela en accès et même indexable par les moteurs de recherche ? Ce n’est pas un niveau de sécurité acceptable.

Il faut alors aussi sécuriser WordPress en pensant à la configuration de votre environnement. Il suffit de peu de lignes de code dans un fichier de configuration particulier (dépend de votre installation) et le listing sera alors interdit.

Il vous faut ajouter un fichier .htaccess (si vous êtes sous Apache) avec le code suivant :

<IfModule mod_autoindex.c>
Options -Indexes
</IfModule>

Avec SecuPress cette correction se fait en un clic :

SecuPress Scan Bad Listing

Avant correction

SecuPress Scan Good Listing

Après correction

Choisissez un mot de passe fort

Nous les humains, aimons la simplicité, notre cerveau n’aime pas se compliquer la vie, bien au contraire.

Quand il s’agit des mots de passe, l’effort d’un choix complexe n’est pas évident à faire.

Cependant quand on parle de sécuriser WordPress, les utilisateurs sont aussi responsables personnellement d’une part de cette sécurité.

Je vous recommande la lecture de l’article utiliser des mots de passe fort, puis vous comprendrez rapidement que tous vos membres devraient suivre cet exemple.

SecuPress permet de forcer les mots de passe fort afin de mieux sécuriser WordPress :

Forcer un mot de passe fort pour les utilisateurs avec SecuPress

Forcer un mot de passe fort pour les utilisateurs avec SecuPress

Désactiver l’éditeur de fichiers des plugins et thèmes

L’édition de fichiers se fait habituellement chez vous, sur votre ordinateur via un éditeur de code. Que ce soit pour les feuilles de styles CSS ou le code PHP, vous utilisez ensuite un logiciel de FTP afin d’envoyer ces fichiers sur votre site.

Néanmoins WordPress permet d’éditer vos fichiers directement depuis l’interface d’administration. Niveau sécurité c’est très et trop dangereux. Laisser la possibilité, même à un administrateur, de pouvoir modifier les fichiers .php est juste un énorme danger et vous empêche de sécuriser WordPress correctement.

Ce n’est pas parce qu’une personne est administrateur qu’il a les droits de modifier les fichiers .php de votre site Web, rien à voir, ce sont 2 choses différentes !

Cette ligne de code désactive cet éditeur natif et est à placer dans votre fichier wp-config.php :

define('DISALLOW_FILE_EDIT', true);

SecuPress vérifie et corrige pour vous cette configuration qui dépends du fichier wp-config.php

SecuPress Scan wp-config Bad

Avant correction

SecuPress Scan wp-config Good

Après correction

 

Une fois ces 4 points corrigés, vous aurez déjà réussi à sécuriser WordPress un peu plus, avez-vous d’autres règles simples qui ne s’appliquent qu’une fois à partager ?

0 commentaire