Vous cherchez une formation WordPress à Toulouse ou dans la région (Albi, Agen, Bordeaux, Brive, Carcassonne, Castres, Montauban, Montpellier, Mont-de-Marsan, Pau et Tarbes) ?
Je suis webmaster mais aussi organisme de formation agréé, contactez-moi pour toutes informations : 06 13 82 03 76.

Protégez votre site WordPress contre les attaques

La sécurisation d’un site WordPress est une étape que vous ne devez pas négliger lorsque vous créez votre site internet. WordPress est le CMS le plus utilisé au monde et en plus il est OpenSource, ce qui veut dire que le code est ouvert aux développeurs, notamment à ceux qui sont malintentionnés. La rançon du succès.

Vous n’êtes pas à l’abri qu’un moteur de spam viennent polluer notre site, utilisant le formulaire de contact pour envoyer du spam à des milliers de personnes, entre autre. C’est un problème récurrent sur WordPress. Malgré les nombreuses mises à jour, des failles existent et il convient donc de sécuriser au mieux votre site internet WordPress.

Dans mon quotidien de webmaster à Toulouse, j’ai déjà eu la mauvaise expérience de voir des sites attaqués de la sorte. Si cela vous arrive, n’y voyez rien de personnel, il s’agit juste d’un moteur de spam qui se sert de votre site web pour envoyer du spam.

All In One WP Security & Firewall, le plugin qui vous assure la tranquillité

Il existe de nombreux plugins pour WordPress permettant de sécuriser son site internet. Je vous en propose un, que j’utilise depuis quelque temps et qui fait bien son boulot. Il s’agit de All In One WP Security & Firewall, installé sur des centaines de milliers de sites web et très bien noté par la communauté WordPress.

Une fois installé, via le menu Extensions > Ajouter, puis activé, vous verrez apparaitre un nouvel élément WP Sécurité, dans le menu de votre back-office, avec la sous-navigation suivante :

article-securite-wp-2

 

De nombreux paramétrages sont possibles. Il est déconseillé de tout vouloir sécuriser car cela pourrait vous poser des problèmes d’utilisation, s’il y a trop de restrictions.

Menu > WP Sécurité > Tableau de bord

  • Vous avez ici une évaluation de l’état actuel de sécurisation du site avec le graphique suivant :

article-securite-wp-3

L’objectif est d’augmenter ce score à travers divers paramétrages, que je mets en place généralement sur mes sites internet, et que je vais vous montrer.

Je ne vais vous montrer qu’une partie de ce qu’il est possible de faire avec cette extension, mais qui vous assurera déjà plus de tranquillité.

Menu > WP Sécurité > Comptes utilisateurs

  • Le nom de connexion du compte doit être modifié afin de ne pas montrer aux moteurs de spam que votre pseudo (qui peut s’afficher si vous avez un blog, dans les métas des articles) est également votre login de connexion. Cliquez sur Edit User :

article-securite-wp-4

  • Puis modifiez les champs Pseudonyme et Nom à afficher publiquement, afin qu’il soit différent de votre login de connexion :

article-securite-wp-5

Menu > WP Sécurité > Connexion

  • Dans l’onglet Verrouillage de connexion, vous devez sécuriser les tentatives de connexion à votre administration qui auront échoué. Ainsi, les moteurs qui échoueront après plusieurs essais seront bloqués.
  • Attention de ne pas être trop restrictif car vous risquez de vous bloquer vous-même si un jour vous ne vous souvenez plus de votre mot de passe après plusieurs tentatives.
  • Voici les les paramètres que je vous conseille de rentrer :

article-securite-6

Menu > WP Sécurité > Sécurité des fichiers

  • Dans l’onglet Autorisation du fichier, afin de rendre difficile la modification des fichiers sensibles, vous devez modifier les autorisations, si cela vous est proposé (tout dépend de la configuration de votre hébergeur), en cliquant sur le bouton suivant :

article-securite-7

  • Dans l’onglet Sécurité des fichiers, cochez le bouton Désactiver la capacité d’éditer des fichiers PHP. Il ne sera ainsi plus possible de modifier les fichiers via le back-office à travers le menu > Apparence > Éditeur. La seule façon de modifier les fichiers sources, si cela est nécessaire, est de le faire via le FTP.
  • Dans l’onglet Accès aux fichiers WP, cochez le bouton Empêcher l’accès aux fichiers d’installation par défaut WP. Il ne sera plus possible d’afficher des fichiers sensibles qui révèlent quelle version de WP vous utilisez. Faites le test, taper dans la barre d’url de votre site : www.votredomaine.com/readme.html. Si vous voyez un fichier avec la version de votre WP, c’est que les moteurs de spam peuvent aussi la voir. Ils savent ainsi quelle faille utiliser en fonction de la version utilisée.

Menu > WP Sécurité > Pare-feu

  • Dans l’onglet Règles de base du pare-feu, cochez toutes les cases (4) proposées.
  • Dans l’onglet Règles supplémentaires du pare-feu, cochez toutes les cases (5) proposées.

Menu > WP Sécurité > Brute Force

  • Dans l’onglet Renommer la page de connexion, cochez Autorisez le renommage de la page des réglages de Connexion, puis indiquez la nouvelle page de connexion à l’administration de votre site web. Trouvez quelque chose qu’il sera difficile de deviner.
  • Proscrivez les mots évident tels que : admin, administration, back-office
  • N’utilisez que les minuscules, les chiffres et les lettres.
  • Dans l’onglet Utiliser Honeypot, cochez Activer Honeypot sur la page de connexion. Cela va créer un champ de formulaire, invisible pour les internautes, mais qui va servir d’appât aux moteurs de spam, qui eux le verront et le renseigneront. Le plugin saura alors qu’il s’agit d’une tentative de piratage et bloquera l’accès.

Menu > WP Sécurité > Prévention du spam

  • Je conseille ici de cochez les 2 champs proposés, dont le premier qui va imposer aux personnes souhaitant poster un commentaire sur votre blog de renseigner un champ Captcha. A vous de voir si vous souhaitez ou non mettre en place cette fonctionnalité :

article-securite-9

Menu > WP Sécurité > Scanner

  • Vous avez ici la possibilité de faire un premier scan de vos fichiers, puis de programmer des scans dans un intervalle régulier, afin de vérifier que les fichiers de votre système n’ont pas été modifiés entre temps.

Menu > WP Sécurité > Tableau de bord

  • Après avoir sécurisé votre site WordPress avec tous ces paramétrages, vous pouvez de nouveau aller voir l’évaluation de l’état de sécurisation pour voir le progrès :

article-securite-8

Avouez que maintenant vous êtes plus serein 🙂