Des astuces pour sécuriser votre Wordpress

Il arrive souvent que celui qui veut s’attaquer à votre site essaye de lister les répertoires à l’aide simplement de leur navigateur Web.

À priori, il n’y a aucun problème à laisser lister les répertoires, sauf que : imaginez que le développeur de votre thème ou plugin, ait fait quelques erreurs de codage et laisse une porte ouverte à un accès non prévu…

Comment y remédier ?

Deux méthodes. La première consiste à placer un fichier index.html vide dans votre dossier, pour wordpress, il faudra le déposer dans le dossier suivant http://www.example.com/wp-content/plugins/ et dans http://www.example.com/wp-content/themes/. Ce qui afichera alors une page blanche pour celui voulant lister le contenu.

La deuxième méthode consiste à placer un fichier .htaccess avec le contenu suivant :

Options -Indexes

Ceci est suffisant pour empêcher alors le listing de vos répertoires. La méthode avec le fichier .htaccess vous redirigera vers une belle page 404.

Ayez un Wordpress à jour

C’est important de mettre à jour vos thèmes, plugims et Wordpress en général. Une solution facile consiste à souscrire aux flux des plugins et thèmes que vous utilisez. Les développeurs annoncent en général ce qui affecte la sécurité dans leur produit.

Pour garder Wordpress à jour, vous pouvez utilisez le plugin de mise à jour automatique. Ce plugin nécessite plus de ressources mais s’avère relativement pratique.

Privilégiez un accès avec un sFTP plutôt que FTP

Le problème avec le FTP est que vous envoyez votre login et votre mot de passe en clair sur le Web. Vous pouvez facilement le lire ! Une personne utilisant un sniffeur pourra facilement récupérer votre mot de passe.

Si vous êtes en hébergement mutualisé, regardez dans la documentation si vous avez un accès sFTP ou essayez tout simplement de le demander. Pour un hébergement dédié, cherchez comment installer sFTP en lancant dans un moteur de recherche sFTP + le nom de votre distribution.

En passant si vous cherchez un client sFTP, je vous recommande un logiciel Open Source du nom de WinScp sous Windows.

Utilisez des permissions correctes pour vos fichiers et répertoires

Vous n’avez peut-être pas touché aux permissions de Wordpress, mais au cas ou, voici une liste des permissions qu’il serait bon de vérifier.

Tout les répertoires doivent avoir la permission 755, les fichiers 644. Les fichiers que vous souhaitez éditer à l’aide de Wordpress devrait avoir la permission 666. N’utilisez jamais de permission 777, vous laisseriez alors toutes les permissions en écriture, lecture et exécution à tous les utilisateurs.

Désactivez l’enregistrement des visiteurs

Au cas où vous seriez le seul utilisateur de votre blog, il est bon de désactiver la fonction d’enregistrement des visiteurs. C’est notamment cette fonction qui était visée par les derniers exploits dans Wordpress, qui est maintenant fixée.

Pour vérifier si des utilisateurs peuvent créer un compte, allez dans réglages et vérifier que Tout le monde peut s’enregistrer est décoché.

Enlevez la version de Wordpress sur votre thème

Pour éviter grâce aux moteurs de recherches à des personnes de trouver des blogs avec telle version de Wordpress parce qu’ils contiennent une ou des failles, allez tout simplement dans votre thème et éditez le fichier header.php pour supprimer ce bout de code bloginfo(’version’).

En espérant que cet article vous aura aider, gardez aussi en tête de ne jamais divulger vos mots de passe, que ce soit pour votre e-mail, votre base de données ou encore votre CMS. Essayez au maximum d’utilisez des mots de passe complexes contenant ponctuation, chiffres et caractères. En enfin n’hésitez pas à faire un backup régulièrement.