Magazine Internet

5 plugins et astuces pour sécuriser Wordpress

Publié le 20 mai 2008 par Jbjweb

Pour les webmasters, la peur de se faire hacker est souvent grande, et plus un site est populaire, plus il s’expose à diverses tentatives de piratage. Voici 5 astuces et plugins qui vous permettrons de sécuriser au maximum votre installation de Wordpress, car mieux vaut prévenir que guérir!

1 - Dumper votre base de données avec WP-database backup

Voici le premier conseil que je donnerais à qui que ce soit en matière de sécurité des données sur un site web: Faites des sauvegardes, et faites en souvent. Bien sur, vous avez la possibilité de passer par le phpMyAdmin de votre hébergeur, ou de faire un dump en ligne de commande si vous avez un accès ssh à votre serveur, mais ce petit plugin vous simplifiera énormément la tâche: Il vous suffira de vous rendre dans votre administration Wordpress.
A noter, WP-Database Backup offre la possibilité de vous mailer quotidiennement une sauvegarde de votre base de données. Un must!

2 - Scanner son installation Wordpress à la recherche de failles

Nous avons maintenant de quoi sauvegarder notre chère base de données de manière quotidienne. La prochaine étape consiste à scanner notre installation Wordpress, histoire de vérifier qu’aucune faille de sécurité n’est présente. Pour cela, nous allons utiliser l’excellent plugin WP Security Scan qui va nous permettre de repérer les vulnérabilités présentes sur notre blog et nous proposera une solution pour régler ces problèmes. Cet excellent plugin permet entre autres de renommer les préfixes de tables, de tester votre mot de passe, de supprimmer le compte admin et de vérifier que les répertoires de votre blog ont bien les droits (chmod) nécessaires.

Wordpress Security Scan

3 - Se protéger de la force brute

La force brute est une technique de hack consistant à essayer le maximum de combinaisons possibles dans le but de trouver un mot de passe. Il existe même un script Python servant à tenter de découvrir le mot de passe d’un blog tournant sous Wordpress.
Il va sans dire que si votre mot de passe est le nom de votre blog où un truc du style “secret”, vous êtes cuits. La première des protections est donc d’utiliser un mot de passe costaud, avec des minuscules, majuscules, chiffres et caractères spéciaux. Vous pouvez d’ailleurs faire confiance au générateur de mot de passe inclus dans WP Security Scan.

Mais le fait d’avoir un mot de passe fort n’empêche en rien les scripts comme celui dont je parlais à l’instant, de tenter de trouver votre mot de passe, et qui sait, peut-être un jour de le découvrir.
La solution pour repousser ce genre d’envahisseur indiscret se nomme Ask Apache. Ce plugin propose, entre autres, de protéger votre répertoire wp-admin par une authentification au niveau du serveur (htpasswd).
Notons aussi la possibilité d’interdire le hotlinking, ou encore l’accès direct à vos répertoires wp-content et wp-includes…

Ask Apache

4 - Se méfier des plugins

Les plugins, surtout les méconnus ou extrêmement récents, peuvent parfois malheureusement contenir des failles de sécurité. Pour celà, il est nécessaire de masquer le contenu du répertoire /wp-content/plugins. Il suffira ici de créer un fichier vide nommé index.html et de l’uploader à la racine ce répertoire.

Depuis le temps qu ce genre de déconvenue est connue, je m’étonne que Wordpress ne masque toujours pas le contenu de ce dossier par défaut…

Protéger son répertoire wp-content/plugins

5 - Masquer la version de Wordpress utilisée

Si une faille existe dans une version particulière de WP, un éventuel pirate n’aura qu’a afficher la source de votre blog dans son navigateur et regarder si la version que vous utilisée corresponds à celle incriminée: En laissant le meta version, vous indiquerez clairement au pirate que vous êtes potentiellement vulnérables. Il suffit simplement de supprimer la ligne correspondante dans le fichier header.php de votre thème.
De même, il existe aussi un plugin capable de mettre un numéro de version aléatoire et complètement bidon, pour tromper les curieux.


Vous pourriez être intéressé par :

Retour à La Une de Logo Paperblog

Ces articles peuvent vous intéresser :

A propos de l’auteur


Jbjweb 18 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Dossier Paperblog

Magazine