Comment sécuriser et protéger WordPress

coffre-fort-christianpc

Voici les réglages indispensables et les astuces à mettre en place dans WordPress pour sécuriser votre site internet et lutter contre le spam

WordPress est aujourd’hui le cms le plus employé pour la création de sites et de blog, il en demeure pas moins qu’il fait l’objet de nombreuses attaques et de spam. Aussi, il est indispensable d’effectuer quelques réglages et mises au point pour protéger votre site.

Protéger l’accès au back office de WordPress

L’accès au tableau de bord de wordpress se fait via l’url : www.monsite.com/wp-admin , et cela tout le monde le sait, y compris les pirates !

Rien n’est inviolable, cependant, le but est de ralentir ou décourager les personnes mal intentionnées, Aussi, il est donc nécessaire de renforcer la protection du back office.

Méthode en utilisant un plugin

Le plugin Login Lockdown à installer dans wordpress, va permettre de bloquer certaines adresses ip suite à un nombre de tentatives de connexions trop importantes durant un certain laps de temps; car une des méthodes des Hackers consiste à prendre le contrôle d’un site en forçant les mots de passe en utilisant la méthode brute force.

WordPress-Login-LockDown-christianpc

Méthode en modifiant le fichier .htacces

En modifiant le fichier .htaccess présent à la racine de votre site , vous allez pouvoir restreindre l’accès à votre panneau d’administration en autorisant uniquement une ou plusieurs ip à se connecter. Bien sur pour que cela fonctionne il est nécessaire que vous disposiez d’une ip fixe.

Copiez Le bout de code ci dessous et rajouter le à votre fichier .htaccess pat FTP.

Attention, toujours faire une sauvegarde des fichiers avant de les modifier !

<Files Wp-login.php>
Order deny, allow
Deny from All
allow from 75.681.354.248
allow from 68.321.862.43
allow from 59.843.591.279
</ Files>


Téléchargez le code ici

 Remplacez les champs par votre ou vos adresses ip

Bloquer les inscriptions

Un client se plaignait d’avoir régulièrement des inscriptions sur son site de pseudos indéchiffrables sans en comprendre la raison.

Vous aussi, vous pouvez désactiver la fonction d’inscription sur votre site si vous n’en avez pas l’utilité, pour cela, allez dans « réglages » et décochez « tout le monde peut s’inscrire », car par défaut la coche est activée, et votre panneau de connexion au back office comporte un lien « inscription » (voir la photo ci dessous)

connexion-wordpress

Cacher le nom d’utilisateur du site

lors de l’installation de WordPress, vous avez peut être mis votre prénom en tant que pseudo administrateur, aussi, les articles que vous écrivez ainsi que les pages que vous gérez sur votre site, comportent le nom de l’auteur, et ce nom d’auteur est le même que celui que vous utilisez pour vous connecter au back office en tant qu’administrateur.

En utilisant le nom d’utilisateur dans vos articles, vous donnez aux pirates 50% des infos pour se connecter à votre site…ils ne leur reste plus qu’à trouver le mot de passe …

Donc, si vous avez votre nom d’auteur identique à celui de l’administrateur WordPress, vous pouvez modifier le nom qui s’affiche, c’est à dire le pseudo. (L’identifiant administrateur quand à lui, ne peut pas être changé).

1 cas, modifier le pseudo :

Allez dans « Utilisateurs », sélectionnez le compte ayant les privilèges administrateurs et cliquez sur « modifier », changez le prénom, puis dessous, modifiez « le nom à afficher publiquement ». Ainsi l’auteur de vos publications sera modifié sur vos pages et vos articles.

2 eme cas, créer un nouvel utilisateur administrateur et ensuite supprimer le 1er compte administrateur crée lors de l’installation avec votre prénom :

Vous souhaitez que votre prénom s’affiche dans vos publications pages et articles. Sauf que votre prénom sert également à vous connecter au back office.

1ere étape :

Alors, il vous faut créer un nouvel utilisateur ayant des privilèges administrateur. Pour cela, rendez vous dans « Utilisateurs », cliquez sur « ajouter », rentrez un « identifiant » (Surtout pas admin, mettez un surnom, ou un identifiant du style « dan34 » ) , ensuite un email (important pour la récupération du mot de passe en cas de perte de celui ci) , un prénom, un mot de passe fort (créer un mot de passe fort), dans « rôle » cliquez sur administrateur, ajoutez une photo et cliquez sur le bouton « ajouter un utilisateur ».

2eme étape :

Important : Il faut attribuer la paternité de toutes les publications à ce nouvel utilisateur, sans quoi vos articles et pages seront perdues.

Allez dans « articles » sélectionnez les tous puis cliquez sur « actions groupées » et « modifier » puis « appliquer » . Dans la fenêtre suivante, cliquez sur auteur et sélectionnez l’auteur (voir photo ci dessous)

securite-wordPress-christianpc-1

Faire la même chose dans « Pages ».

3eme étape :

Connectez vous avec votre nouveau compte administrateur et supprimez le 1 er compte administrateur.

Tenez votre WordPress à jour

Afin de pallier aux failles de sécurités, il est indispensable de maintenir WordPress à jour, pensez à faire un « Child thème » si vous avez modifié votre thème. Voir ici comment créer un thème enfant.

Mettez à jour régulièrement votre version de WordPress, votre thème et toutes vos extensions.

Utilisez des mots de passe fort.

Pensez à faire des sauvegardes régulièrement

Protection des fichiers FTP

Assurez vous que tous les dossiers de WordPress disposent des permissions CHMOD 755 et que les fichiers soient en 644

Protégez le fichier « WP-CONFIG » en ajoutant ceci dans le .htaccess :

#Protection of wp-config.php
<files wp-config.php>
  Order deny,allow
  deny from all
  </files>

Téléchargez le code ici

Protégez le fichier .htaccess

# htaccess protection
<Files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Téléchargez le code ici

Masquez les fichiers readme, wp-config…

# 403 protect
<FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|readme\.html|bb-config\.php|license\.txt)">
Order Allow,Deny
Deny from all
</FilesMatch>

Téléchargez le code ici

Empêchez la lecture du contenu de vos repertoires

# Protect Directory browsing
Options All-Indexes

Téléchargez le code ici

Bloquez les spams

Les spams sont fréquents sur les sites,  par le biais des commentaires vous serez vite envahis de spams si vous ne mettez pas en place quelques solutions simples de protection.

Voici un exemple de spam ci dessous :

exemple-spam-WordPress-Christian-Pc

Pour limiter le spam :

  1. Tout d’abord, activez le plugin Askimet installé par défaut dans WordPress.
  2. Mettez en place un Captcha (si captcha anti spam) pour bloquer les robots (voir les extensions de WordPress)
  3. Allez dans Réglages / Discussion et dans modération de commentaires, mettre à « 1 » le nombre de liens pour les commentaires en attente.(pensez à supprimer les commentaires en attente dans le back office)

3 réflexions sur « Comment sécuriser et protéger WordPress »

Laisser un commentaire