Comment améliorer la sécurité de votre blog WordPress
Publié: 2022-02-26WordPress est le système de gestion de contenu (CMS) auto-hébergé le plus populaire sur Internet et, comme Microsoft Windows, il est également la cible d'attaques la plus populaire. Le logiciel est open source, hébergé sur Github, et les pirates sont toujours à la recherche de bugs et de vulnérabilités pouvant être exploités pour accéder à d'autres sites WordPress.
Le moins que vous puissiez faire pour sécuriser votre installation WordPress est de vous assurer qu'elle exécute toujours la dernière version du logiciel WordPress.org et que les différents thèmes et plugins sont mis à jour. Voici quelques autres choses que vous pouvez faire pour améliorer la sécurité de vos blogs WordPress :
#1. Connectez-vous avec votre compte WordPress
Lorsque vous installez un blog WordPress, le premier utilisateur est appelé « admin » par défaut. Vous devez créer un utilisateur différent pour gérer votre blog WordPress et supprimer l'utilisateur « admin » ou changer le rôle de « administrateur » à « abonné ».
Vous pouvez soit créer un nom d'utilisateur complètement aléatoire (difficile à deviner), soit une meilleure alternative serait d'activer l'authentification unique avec Jetpack et d'utiliser votre compte WordPress.com pour vous connecter à votre blog WordPress auto-hébergé.
#2. Ne faites pas la publicité de votre version de WordPress dans le monde
Les sites WordPress publient toujours le numéro de version, ce qui permet aux utilisateurs de déterminer plus facilement si vous utilisez une version obsolète non corrigée de WordPress.
Il est facile de supprimer la version WordPress de la page, mais vous devez apporter une autre modification. Supprimez le fichier readme.html de votre répertoire d'installation WordPress car il annonce également votre version de WordPress dans le monde.
#3. Ne laissez pas les autres "écrire" dans votre répertoire WordPress
Connectez-vous à votre shell WordPress Linux et exécutez la commande suivante pour obtenir une liste de tous les répertoires "ouverts" où tout autre utilisateur peut écrire des fichiers.
trouver . -type d -perm -o=w
Vous pouvez également exécuter les deux commandes suivantes dans votre shell pour définir les bonnes autorisations pour tous vos fichiers et dossiers WordPress (référence).
trouver /votre/wordpress/dossier/ -type d -exec chmod 755 {} \; trouver /votre/wordpress/dossier/ -type f -exec chmod 644 {} \;
Pour les répertoires, 755 (rwxr-xr-x) signifie que seul le propriétaire a l'autorisation d'écriture tandis que les autres ont les autorisations de lecture et d'exécution. Pour les fichiers, 644 (rw-r—r—) signifie que les propriétaires de fichiers ont des autorisations de lecture et d'écriture tandis que les autres ne peuvent que lire les fichiers.
#4. Renommez le préfixe de vos tableaux WordPress
Si vous avez installé WordPress en utilisant les options par défaut, vos tableaux WordPress portent des noms tels que wp posts ou wp_users. C'est donc une bonne idée de changer le préfixe des tables (wp ) en une valeur aléatoire. Le plugin Change DB Prefix vous permet de renommer votre préfixe de table en n'importe quelle autre chaîne en un clic.
#5. Empêcher les utilisateurs de parcourir vos répertoires WordPress
C'est important. Ouvrez le fichier .htaccess dans votre répertoire racine WordPress et ajoutez la ligne suivante en haut.
Options -Index
Cela empêchera le monde extérieur de voir une liste des fichiers disponibles dans vos répertoires au cas où les fichiers index.html ou index.php par défaut seraient absents de ces répertoires.
#6. Mettre à jour les clés de sécurité WordPress
Rendez-vous ici pour générer six clés de sécurité pour votre blog WordPress. Ouvrez le fichier wp-config.php dans le répertoire WordPress et remplacez les clés par défaut par les nouvelles.
Ces sels aléatoires rendent vos mots de passe WordPress stockés plus sécurisés et l'autre avantage est que si quelqu'un est connecté à WordPress à votre insu, il sera immédiatement déconnecté car ses cookies deviendront désormais invalides.
#7. Gardez un journal des erreurs WordPress PHP et de la base de données
Les journaux d'erreurs peuvent parfois offrir des indices solides sur le type de requêtes de base de données et de demandes de fichiers invalides qui frappent votre installation WordPress. Je préfère le Error Log Monitor car il envoie périodiquement les journaux d'erreurs par e-mail et les affiche également sous forme de widget dans votre tableau de bord WordPress.
Pour activer la journalisation des erreurs dans WordPress, ajoutez le code suivant à votre fichier wp-config.php et n'oubliez pas de remplacer /path/to/error.log par le chemin réel de votre fichier journal. Le fichier error.log doit être placé dans un dossier non accessible depuis le navigateur (référence).
définir('WP_DEBUG', vrai); si (WP_DEBUG) { définir ('WP_DEBUG_DISPLAY', faux); @ini_set('log_errors', 'On'); @ini_set('display_errors', 'Off'); @ini_set('error_log', '/path/to/error.log'); }
#9. Mot de passe Protégez le tableau de bord d'administration
C'est toujours une bonne idée de protéger par mot de passe le dossier wp-admin de votre WordPress car aucun des fichiers de cette zone n'est destiné aux personnes qui visitent votre site Web WordPress public. Une fois protégés, même les utilisateurs autorisés devront entrer deux mots de passe pour se connecter à leur tableau de bord WordPress Admin.
10. Suivez l'activité de connexion sur votre serveur WordPress
Vous pouvez utiliser la commande « last -i » sous Linux pour obtenir une liste de tous les utilisateurs qui se sont connectés à votre serveur WordPress avec leurs adresses IP. Si vous trouvez une adresse IP inconnue dans cette liste, il est certainement temps de changer votre mot de passe.
De plus, la commande suivante affichera l'activité de connexion de l'utilisateur pendant une période plus longue, regroupée par adresses IP (remplacez USERNAME par votre nom d'utilisateur shell).
dernier -if /var/log/wtmp.1 | grep NOM D'UTILISATEUR | awk '{imprimer $3}' | trier | unique -c
Surveillez votre WordPress avec des plugins
Le référentiel WordPress.org contient un certain nombre de bons plugins liés à la sécurité qui surveilleront en permanence votre site WordPress pour détecter les intrusions et autres activités suspectes. Voici les incontournables que je recommanderais.
- Exploit Scanner - Il analysera rapidement tous vos fichiers WordPress et articles de blog et répertorie ceux qui peuvent contenir du code malveillant. Les liens de spam peuvent être masqués dans les articles de votre blog WordPress à l'aide de CSS ou d'IFRAMES et le plugin les détectera également.
- WordFence Security - Il s'agit d'un plugin de sécurité extrêmement puissant que vous devriez avoir. Il comparera vos fichiers de base WordPress avec les fichiers d'origine dans le référentiel afin que toute modification soit instantanément détectée. De plus, le plugin verrouillera les utilisateurs après un nombre de tentatives de connexion infructueuses.
- WP Notifier - Si vous ne vous connectez pas trop souvent à votre tableau de bord WordPress Admin, ce plugin est fait pour vous. Il vous enverra des alertes par e-mail chaque fois que de nouvelles mises à jour sont disponibles pour les thèmes installés, les plugins et le cœur de WordPress.
- Scanner VIP - Le plugin de sécurité "officiel" analysera vos thèmes WordPress pour tout problème. Il détectera également tout code publicitaire qui aurait pu être injecté dans vos templates WordPress.
- Sucuri Security - Il surveille votre WordPress pour toute modification des fichiers principaux, envoie des notifications par e-mail lorsqu'un fichier ou une publication est mis à jour et tient également un journal de l'activité de connexion de l'utilisateur, y compris les échecs de connexion.
Astuce : Vous pouvez également utiliser la commande Linux suivante pour obtenir une liste de tous les fichiers qui ont été modifiés au cours des 3 derniers jours. Remplacez mtime par mmin pour voir les fichiers modifiés il y a "n" minutes.
trouver . -type f -mtime -3 | grep -v "/Rep_mail/" | grep -v "/journaux/"
Sécurisez votre page de connexion WordPress
Votre page de connexion WordPress est accessible au monde entier, mais si vous souhaitez empêcher les utilisateurs non autorisés de se connecter à WordPress, vous avez trois choix.
- Protection par mot de passe avec .htaccess - Cela implique de protéger le dossier wp-admin de votre WordPress avec un nom d'utilisateur et un mot de passe en plus de vos identifiants WordPress habituels.
- Google Authenticator - Cet excellent plugin ajoute une vérification en deux étapes à votre blog WordPress similaire à votre compte Google. Vous devrez entrer le mot de passe ainsi que le code dépendant du temps généré sur votre téléphone mobile.
- Connexion sans mot de passe - Utilisez le plugin Clef pour vous connecter à votre site Web WordPress en scannant un code QR et vous pouvez terminer la session à distance avec votre téléphone mobile lui-même.
Voir aussi : Plugins WordPress indispensables