Sécuriser son WordPress.

Au fil des années, le domaine de la sécurité prend de plus en plus d’ampleurs, entre les nouvelles failles découvertes chaque jours et les nombreuses attaques type DDOS, script kiddies …

Je rédige donc cet article, sur le thème de la sécurité, et plus particulièrement, la sécurité de son wordpress.

Je vais aborder avec vous les différents types de défenses que nous pouvons mettre en place afin de protéger au mieux son précieux blog.

I ) Premières sécurités :

1 / Le mot de passe :

Première sécurité, on ne le dira jamais assez, le mot de passe, il doit être long, avec des caractères spéciaux, vous n’avez pas besoin de vous torturer avec des mots de passe du genre : eRZL4″zze)m,?eds, vous pouvez prendre une phrase ( assez longue ) exemple : “j’aime la galette” , et l’écrire en L33T : ” J’4im3!la!6al77E ”

2 / wp-config.php :

Ajoutez la ligne suivante à votre .htaccess :

<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>

Qui va retourner un joli HTTP Error 403 Forbidden.

3 / Mises à Jour :

Gardez votre blog à jour ainsi que tous ses plug-ins !

4 / Protéger son dossier wp-admin :

Créez un .htaccess dans votre dossier wp-admin, qui sera une seconde sécurité ( en cas de bruteforce ), si vous êtes un peu parano et que vous avez une ipfixe, vous pouvez restreindre l’accès au répertoire à votre seule ip.

5 / Backups :

Pensez à faire des backups de votre base, au moins toutes les semaines, mieux vaut prévenir que guérir, nous ne sommes pas à l’abri d’un piratage, ou d’un crash de disque .. Par contre, si vous faites votre backup à l’aide d’un plugin, pensez à protéger le répertoire dans lequel est le backup, et à le supprimer une fois celui-ci téléchargé, car en faisant de simples recherches sur google, on trouve un nombre incroyable de fichiers de backups en libre accès.

6 / ” Know your enemy ” Sun Tzu :

Surement une des meilleurs sécurité : connaitre son ennemi.
Je vous conseil pour cela de suivre l’actualité de sites tel que : http://www.exploit-db.com/, http://packetstormsecurity.org/ ou encore http://www.securityfocus.com/

II ) Autres types de sécurités :

1 / Les plugins :

WP Security Scan : est un plugin qui va scanner votre wordpress à la recherche de vulnérabilités et vous suggérer les corrections appropriées.

Secure WordPress : Va supprimer votre version de wordpress dans toutes les zones, va protéger wordpress contre les requêtes URL malicieuses, va créer des fichiers index.php dans vos sous répertoires afin que ceux-ci ne soient pas listés …

Login Lock : Va logger toutes les tentatives de login sur votre partie administration, vous aurez la possibilité de bannir des IP.

2 / Autres outils :

CloudFlare est un service qui vous propose d’utiliser son réseau ( vous renseignez leurs NS pour votre domaine ), par ce biais, cloudflare peut vous protéger des attaques ( type injections, DDOS ) et des différentes menaces. Ce service s’appuie sur plusieurs vérifications, notamment la vérification IP ( https://www.projecthoneypot.org/ ) afin de bloquer les IP connues comme mauvaises. Vous pourrez également ajouter à la main des IP, voire des pays à blacklister.

URLVoid est un service qui va scanner votre site afin de voir s’il est corrompu ou non.

 

Cet article n’est surement pas complet, mais il permet de sécuriser au mieux son wordpress.
Si vous avez d’autres astuces / plugins, n’hésitez pas à commenter !

About Alexandre Nogard

Check Also

Owncloud 9.X : Sécurisez votre serveur avec Fail2Ban sur Centos 7.X – Part3

Dans ce tuto, nous allons voir comment protéger Owncloud 9.X des brutes-forces sur les tentatives …

OpenVAS : Configuration & Utilisation sur CentOs 7 – Part 2

OpenVAS est installé sur notre CentOs 7, nous allons maintenant aborder la partie configuration et …

Fortigate Fortinet

Fortinet : Redistribution de static routes au travers de l’OSPF

  Vos différents sites interconnectés, vous voudrez peut être propager des routes statics au travers …

3 comments

  1. Nice article ! J’adore WP Security Scan, c’est tellement pratique !

    Je ne connaissais pas CloudFare, ça a l’air sympa mais la protection contre le DDOS, ça me fait un peu rire :D

    Prendre garde également de ne pas installer de thèmes ou de plugins dont l’origine est douteuse. Certains sites proposent gratuitement des thèmes « Premium » normalement payants. Il faut à tout pris les éviter ! En effet ils peuvent renfermer des backdoors et autres codes/scripts malveillants.

    Il existe d’ailleurs un plugin WordPress pour scanner l’ensemble de l’installation et trouver du code potentiellement malicieux : Exploit Scanner.

  2. Merci pour l’article,
    Merci à clément pour le complément d’infos,
    On peut aussi ajouter la mise en place d’un certificat ssl pour crypter la connexion à la partie admin, pour ne pas se faire sniffer son mot de passe.

Leave a Reply

Your email address will not be published. Required fields are marked *