Sécurité WordPress étape par étape (règles 1 à 4)

[Translate to France:]
[Translate to France:]
[Translate to France:]
[Translate to France:]
| WordPress

La sécurité de WordPress devrait être l'une des bases absolues pour chaque opérateur de blog. Les pages WordPress sont parmi les pages les plus piratées au monde. Avec les trucs et astuces suivants, vous pouvez augmenter la sécurité de votre blog WordPress.

    Règle 1 - Thèmes

    WordPress fournit déjà quelques thèmes standard avec l'installation de base. Dans le passé, il y avait également des lacunes en matière de sécurité. Tous les thèmes qui ne sont pas nécessaires doivent être supprimés avant d'être mis en ligne.


    Règle 2 - Gestion des plugins

    Du point de vue d'un hacker, les plug-ins WordPress font partie de l'une des plus grandes passerelles d'une installation WordPress. Habituellement, il n'est pas possible pour un opérateur de site de vérifier l'origine et les failles de sécurité de chaque plugin avant l'installation. Souvent, vous vous fiez à des recommandations ou choisissez un plugin qui a déjà été téléchargé plusieurs centaines ou milliers de fois ou choisissez simplement le premier.

    • Moins il y a de plugins utilisés, mieux c'est. Avant chaque installation proprement dite, il faut se demander si le plugin est vraiment nécessaire et s'il vaut la peine de prendre le risque d'une éventuelle faille de sécurité supplémentaire.
    • Tous les plugins inutilisés doivent non seulement être désactivés, mais aussi désinstallés immédiatement.


    Règle 3 - Utilisateurs

    Si possible, n'utilisez pas de noms d'utilisateur courants. Les noms Admin, Administrator, Editor ou autres noms similaires doivent être tabous.
    Ne donnez aux utilisateurs que les droits dont ils ont réellement besoin. En aucun cas, les droits d'administrateur ne doivent être accordés à chaque utilisateur.
    N'utilisez pas deux fois un mot de passe. Chaque utilisateur doit recevoir un mot de passe unique et unique. Les mots de passe suggérés par WordPress semblent longs et compliqués, et ils le sont, à juste titre, car un mot de passe de moins de 12 caractères est potentiellement peu sûr.

    Pour gérer vos mots de passe, utilisez un gestionnaire de mots de passe tel que KeePass

    Ici, vous pouvez vérifier si votre mot de passe est déjà sur une liste de hackers: Pwned Passwords


    Règle 4 - Couverture de base

    WordPress est livré avec quelques paramètres par défaut qui servent de passerelle d'accueil pour les pirates informatiques. Il s'agit notamment de l'interface XML-RPC, qui est activée par défaut, ainsi que de la possibilité de connaître tous les noms d'utilisateurs créés via un lien. Ajoutez simplement ?author=1 à votre domaine. Par exemple, www.ihreDomain.de/?author=1 et échangez le 1 pour le 2, le 3, etc. Nous discuterons des avantages et des inconvénients de ces caractéristiques dans des articles séparés. Dans la grande majorité des cas, il vaut mieux bloquer l'accès à ces deux points. Ceci peut facilement être fait en utilisant le fichier htaccess.

    # Bloquer l'accès au fichier xmlrpx.php
    <Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
    </Files>

    # Bloquer l'accès aux noms d'utilisateur
    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{QUERY_STRING} .*author=(.+.?) [NC]
    RewriteRule (.*) /blog/?author= [NC,L,R=301]
    </IfModule>

    Il sera encore plus sûr si vous bloquez l'accès au backend WordPress, c'est-à-dire à l'interface d'administration. Pour ce faire, insérez le paragraphe suivant et remplacez le mot "IPADRESS" par votre adresse IP. Vous le découvrirez par exemple en cliquant sur le lien suivant : Contrôle du respect de la vie privée
    Si vous n'avez pas d'adresse IP statique, vous devrez probablement ajuster l'adresse IP périodiquement.

    # Verrouiller l'accès au backend
    <IfModule mod_rewrite.c>
    RewriteEngine on
    RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
    RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
    RewriteCond %{REMOTE_ADDR} !^IPADRESSE$
    RewriteRule ^(.*)$ - [R=403,L]
    </IfModule>

    Si vous utilisez Nginx au lieu d'Apache, les entrées dans le fichier.htaccess n'auront aucun effet. Dans ce cas, contactez votre hébergeur, qui peut effectuer les réglages pour Nginx.

    Retour