Mesures de sécurité essentielles à WordPress

by | Sep 11, 2021 | Non classé

Mesures de sécurité WordPress pour sécuriser son accès à Word Press, une obligation, pour éviter le piratage ou la perte de votre site. Nous allons vous expliquer comment.

Le compte Admin

Un ID  en béton, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé. Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine.

Ex: login :Go#th0@

Un Mot de passe en béton :

Il faut toujours utiliser des mots de passe complexes associant lettres, symboles et chiffres.Il vous faut employer de préférence un générateur de chaîne aléatoire de plus de 8 caractères. Vous aurez ainsi un login bien plus sûr.

mp: MKjnh67#(!

 

Pensez à restreindre le nombre d’essais d’identification

Une des mesures de sécurité WordPress est d’installer une extension qui bloque les tentatives répétées d’une même adresse IP. (WPS Limit Login par exemple). Si un robot tente d’entrer sur votre site, cela bloque l’accès pendant un certains temps. Une fois l’extension installée, vous pouvez paramétrer le nombre d’essais que vous voulez avant blocage et le temps de connexion après le blocage.

Pensez à masquer la version de votre WordPress

Votre version donne des informations aux hackers pour trouver d’éventuelles failles de sécurité.

Ajoutez ce bout de code dans le fichier function.php de votre thème,

remove_action(“wp_head”, “wp_generator”);

Le numéro de version WP se trouve également dans le fichier  :

readme.html situé à la racine de votre WordPress (fichier à supprimer également) mais de façon permanente sinon il se créera de nouveau lors des mises à jours.

ajouter ce code :

Supprimer les logins des auteurs dans les commentaires

Cette fois, c’est directement dans le code HTML des commentaires d’un article que le login de l’administrateur est dévoilé en cas de réponse de ce dernier !

Insérez donc ceci dans le fichier functions.php de vote thème enfant pour masquer les logins des auteurs :

// Suppression du login de l’auteur dans les commentaires

function remove_comment_author_class( $classes ) {

foreach( $classes as $key => $class )

if(strstr($class, ‘comment-author-‘ ))

unset( $classes[$key] );

return $classes;

}

add_filter( ‘comment_class’ , ‘remove_comment_author_class’ );

Faites des sauvegardes

Les backups du système sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque.  Il vaut mieux prévenir que guérir!

Updraft plus est une excellente solution

Soyez prudent lorsque vous téléchargez des templates

 

Les thèmes gratuits télécharger au hasard du web peuvent révéler de nombreux virus.

Pour vous protéger, installez un plugin de type TAC, comme par exemple : Theme Authenticity Checker, celui-ci scanne et analyse les thèmes à la recherche d’un éventuel virus.

 

Faites des mises à jour régulières

  • Mettre à jour WordPress cela permet d’avoir les tous derniers correctifs des failles de sécurité.
  • Mettre à jour les templates
  • Mettre à jour les thèmes

Ajouter/changer les clefs de sécurité secrètes

Les clés d’authentification SALT créent un cookie d’identification qui protège votre installation, avec le plugin Ithem security la génération cette clef est systématique.

Protégez vos fichiers

Bloquez la navigation dans vos dossiers WordPress. Par défaut, n’importe qui peut accéder au contenu de vos pour trouver le fichier htaccess rendez-vous : dans votre répertoire public_html. Vous pouvez accéder rapidement au fichier et son contenu par clic droit et en sélectionnant Edit:dossiers WordPress (wp-content) via un simple navigateur.

 

 

Pour protéger le fichier wp-config via votre .htaccess, ajoutez du code à votre fichier htaccess

<Files wp-config.php>

order allow,deny

deny from all

</Files>

Pour cacher les répertoires sensibles toujours via le htaccess:

Options All -Indexes

Enfin pour protéger le fichier htaccess lui-même:

<Files .htaccess>

order allow,deny

deny from all

</Files>

Changez le préfixe “wp_” (c’est un mythe) à éviter

 

Changer le préfixe des tables WordPress en base de données ne protègera pas mieux votre site (une requête SQL suffit à le trouver quand on a accès à la base de données). Au contraire, c’est une procédure risquée qui peut très facilement le mettre hors-service.

Et si de nombreux éditeurs de plugins proposent encore ce service, c’est seulement pour des raisons marketing.

 

 

Masquez les erreurs de connexion

WordPress renvoie un message bien trop explicite en cas de problème de connexion, ajouter la ligne suivante à votre functions.php du thème permet d’afficher un message d’erreur banalisé:

add_filter(‘login_errors’,create_function(‘$a’, “return null;”));

 

Désactiver l’éditeur de fichiers

Empêchez l’édition de vos fichiers directement depuis WordPress, ajouter simplement la ligne suivante à votre functions.php:

define(‘DISALLOW_FILE_EDIT’,true);

 

 

Déplacer votre page de login

A l’aide d’un simple plugin tel que WPS Hide Login vous pouvez changer votre URL de connexion WordPress et limiter ainsi les attaques par “Brut Force” des hackers.

 

Choisissez un hébergement spécialisé WordPress

Laissez votre hébergeur se préoccuper de la sécurité. Avec un hébergeur WordPress, votre site est entre de bonnes mains, certes plus cher que le mutualisé, ce type d’hébergement maintient, protège, répare et optimise votre site.

Masquer les pages de profil des auteurs

En saisissant dans la barre d’adresse de votre navigateur le nom de domaine de votre site suivi de « ?author=1 », il y a des chances que vous soyez redirigé vers une page votresite.ext/author/<user>/, où <user> représente le login administrateur. Et si ça ne marche pas pour la valeur 1, ça marchera pour une autre, donc un script très élémentaire permettra à quiconque de trouver les identifiants sensibles de votre site.

Des infos qu’on aimerait cacher… Pour cela, on ignore complètement la requête et on renvoie une erreur en ajoutant ces lignes dans le fichier .htaccess situé à la racine de vote site :

# Masquage des pages d’auteur

<IfModule mod_rewrite.c>

RewriteCond %{QUERY_STRING} ^author=([0-9]*)

RewriteRule .* – [F]

</IfModule>

 

vous pouvez copier coller les lignes de script suivantes directement dans vos fichiers

pour trouver votre fichier functions.php allez à l’adresse suivante : public_html/wp-content/themes/Divi

pour trouver votre fichier .htaccess à celle ci : racine du site Home

en allant sur ce site : ici