10 conseils pour sécuriser WordPress (1)

Bonjour,

même si WordPress est un script vraiment fantastique, comme tous les scripts php, WordPress contient des failles de sécurité. Ces failles sont des portes ouvertes aux hackers de tout poil qui vont les utiliser généralement pour spammer à  grande échelle à  partir de votre domaine ou rediriger vos visiteurs à  l’aide d’iframes non visibles vers des sites au contenu peu recommandable.

En tant qu’hébergeur, je vois souvent des blogs se faire bêtement hacker.

Vous pouvez protéger simplement vos blogs. Voici 5 conseils pour sécuriser WordPress.

1. Configurer «proprement » WordPress

Quand vous installez WordPress, il est très important de remplir correctement le fichier wp-config :
- Le mot de passe d’utilisateur de la base de données attachée à  votre blog doit être TRàˆS compliqué. à‡a ne sert à  rien de faire simple, puisque que vous n’avez pas besoin de retenir ce mot de passe.

- Modifiez également le préfixe des tables de la base (autre chose que wp_ )

- Configurez les clés d’autorisation (Authentication Unique Keys and Salts).
Cela ne prend que quelques secondes. Il vous suffit de vous rendre sur cette url : https://api.wordpress.org/secret-key/1.1/salt/ et de copier/coller le résultat dans votre fichier wp-config.
Vous serez ainsi sûr d’avoir des clés uniques.

- Au moment d’indiquer vos codes d’accès à  l’administration de WordPress, choisissez un nom d’utilisateur (identifiant) plus compliqué que ‘admin’. Choisissez également un mot de passe TRàˆS compliqué. Si vous n’avez pas d’idées, effectuez la recherche « générateur de mot de passe » dans Google et vous aurez accès à  de nombreux site qui vous permettrons de générer des mots de passe impossible à  cracker. Il va de soi qu’il vous faut retenir ce mot de passe. à‰videment, il n’est pas possible de le faire de tête, à  moins de s’appeler Vincent Delourmel. De mon côté, je dois avoir un minimum de 1 000 mots de passe en activité. J’utilise donc un logiciel comme 1password qui me permet de générer, retenir et servir les mots de passe dont j’ai besoin et ce peu importe le périphérique que j’utilise (ordi(s), smartphone, etc.).

2. Effectuez toujours les mises à  jour de WordPress

Même si chaque mise à  jour apporte son lot de «nouveautés», les mise à  jour permettent également de corriger des failles de sécurité. Il faut comprendre que les développeurs de scripts ont toujours un temps de retard par rapport aux « pirates ». Dès qu’une faille est découverte, une mise à  jour est proposée. Celle-ci permet de « boucher » le trou, la faille que peut utiliser un pirate. Le revers de la médaille c’est qu’en publiant la correction d’une faille de sécurité, elle est ainsi dévoilée aux personnes mal intentionnées qui ne la connaissaient pas. Il leurs suffit de se mettre en piste de blog n’ayant pas fait la mise à  jour pour les hacker.

- Effacez le fichier  ’readme.html’ qui donne la version de WordPress que vous utilisez (indication précieuse).

WordPress vous indique les mises à  jour disponible dans le Tableau de bord de votre blog. Un clic suffit pour récupérer la mise à  jour et l’installer automatiquement.

3. Effectuez toujours les mises à  jour des extensions que vous utilisez.

Rien ne sert de mettre à  jour WordPress, si les extensions que vous utilisez contiennent des failles de sécurité. Mettez à  jour vos extensions.

4. Installez des extensions dignes de confiance

Ce n’est pas parce qu’une extension WordPress à  l’air géniale, qu’elle l’est. Avant d’installer une extension, effectuer une recherche sur Goggle à  son sujet. Des recherches de ce type vous permettront de savoir si celle-ci contient une faille : « nom extension + sécurité » « nom extension + failles » « nom extension + problème » « nom extension + security ».

Les extensions les plus à  risque concernent bien souvent :

- Les générateurs de formulaires
- Utilisation de polices de caractères font face
- Gestionnaire d’images (galeries)
- Utilisation de javascript (JS)
- ClickHeat
- etc.

En gros, toutes les extensions qui permettent d’envoyer des données vers votre site.
Les formulaires sont particulièrement risqués. Une technique utilisée pour hacker un site et d’envoyer du code « malicieux » dans un formulaire à  la place des infos demandées. Ces techniques sont connues depuis des lustres, pourtant beaucoup de formulaires ne sont pas sécurisés. Et dans WordPress, des formulaires, il y en a… partout…

5. Installez le plugin « Firewall 2″

Afin d’éviter l’injection de code malicieux, vous pouvez installer un plugin très performant : firewall 2 (gratuit). Ce plugin va contrôler tout ce qui « rentre » sur votre site et bloquer, le cas échéant, les « entrées » potentiellement dangereuses. Un must have sur tous vos vos blogs.

 

La prochaine fois, je vous donnerai d’autres conseils utiles pour protéger vos blogs WordPress.
Ensuite, je vous expliquerai comment nettoyer et remettre en route un blog corrompus.

Important : ne prenez pas ces conseils à  la légère. Même si le but de cette série d’articles n’est pas de vous effrayer, considérez que cela est loin de n’arriver qu’aux autres. Nettoyer un blog piraté prend du temps et vous risquez plusieurs désagréments (fermeture de votre compte par votre hébergeur, site inaccessible depuis Google, utilisation de votre bande passante, etc.).

 

N’hésitez pas à  intervenir pour donner vos bons conseils. Il n’y a pas et il n’y aura jamais de liste exhaustive en matière de sécurité (les hackers ont toujours un temps d’avance).

Amicalement,

signature Eric Cardonnel

Eric Cardonnel
Global Net Concept’„¢