Sécuriser son site WordPress
par Michel - http://www.leblogduhacker.fr/securiser-site-wordpress/
Lien vers l'article en ligne : http://www.leblogduhacker.fr/securiser-site-wordpress/
Sécuriser son site WordPress
WordPress est un système de gestion de contenu (CMS) parmi les plus populaires au monde.
Il permet de créer facilement et rapidement des sites web performants. Seulement un site web doit également
être sécurisé. Sachez que les défaillances de sécurité qui rendaient hier l’entreprise victime en cas d’intrusion
ou de dysfonctionnement de son traitement automatisé de données, peuvent désormais la rendre responsable,
voire coupable.
Je cite l’article 34 de la loi Informatique et Libertés du 6 janvier 1978 :
« Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données
et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher
qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
On a donc tout intérêt à sécuriser notre site web, et voici comment.
Garder WordPress à jour
WordPress est populaire, le nombre d’utilisateurs conséquent implique un nombre de pirates conséquent, à
l’affut de la moindre mise à jour oubliée pour exploiter d’éventuels bugs de sécurité.
Il est donc impératif d’effectuer les mises à jour le plus vite possible via votre panneau d’administration.
Les mises à jours sont indiquées directement dès leurs sorties, et cela va de même pour les plugins. N’oubliez
pas de mettre à jour vos plugins, ils sont souvent la source d’un piratage réussi.
Sauvegarder régulièrement la base de données et les fichiers
En cas de problème, vous pourrez toujours retrouver vos fichiers et bases de données si déjà vous les aviez
sauvegardés auparavant.
Pour sauvegarder la base de données, vous pouvez l’effectuer en ligne de commande, via votre interface
d’administration type phpmyadmin, ou via un plugin prévu pour : BackWPup.
Changer l’identifiant
Pour des raisons de sécurité il n’est pas conseillé de garder l’identifiant par défaut « admin ».
Cette étape est assez technique à réaliser seul, vous pouvez donc utiliser l’excellent plugin dont nous
reparlerons plus tard : http://wordpress.org/extend/plugins/better-wp-security/
Protéger le serveur
Pour bien sécuriser son site WordPress, il faut également penser au serveur.
Supprimez le fichier readme.html installé à la racine de votre installation qui contient la version de WordPress.
N’oubliez pas de modifier les lignes suivantes de votre fichier wp-config.php :
page 1 / 4

Sécuriser son site WordPress
par Michel - http://www.leblogduhacker.fr/securiser-site-wordpress/
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');
Cachez le contenu de vos répertoires :
Créez ou modifiez le fichier .htaccess à la racine de votre installation et placez y la ligne suivante :
Options All -Indexes
Sécurisez vos fichiers importants:
Placez dans le même fichier .htaccess le code suivant :
<Files wp-config.php>
order allow,deny
deny from all
</Files>
<Files .htaccess>
order allow,deny
deny from all
</Files>
Qui permettra de restreindre l’accès à wp-config.php donc à votre mot de passe de base de données, ainsi qu’au
fichier .htaccess lui-même.
Utiliser HTTPS
HTTPS permet de crypter les données transmises entre un client et un serveur.
Lorsque ces données ne sont pas cryptées et sont récupérées à la volée, je ne vous décris pas le problème qu’il
peut se passer s’il s’agit du mot de passe administrateur.
Vous devez d’abord activer le module ssl de apache :
sudo a2enmod ssl
Ensuite créez un nouveau fichier dans le répertoire sites-available que vous nommerez « nomsite-ssl »
Placez dans ce fichier :
page 2 / 4

Sécuriser son site WordPress
par Michel - http://www.leblogduhacker.fr/securiser-site-wordpress/
<VirtualHost *:443>
ServerName www.votresite.fr
ServerAlias votresite.fr
DocumentRoot /var/www/votredossier/
SSLEngine on
SSLCertificateFile /etc/apache2/server.crt
SSLCertificateKeyFile /etc/apache2/server.key
</VirtualHost>
Il reste à générer les fichiers de certificat :
sudo openssl req -x509 -nodes -days 365 -newkey rsa:1024 -out /etc/apache2/server.cr
t -keyout /etc/apache2/server.key
Faites attention lorsqu’on vous demande le « Common Name », il s’agit de votre nom de domaine.
Enfin activez le site avec :
sudo a2ensite nomsite-ssl
et redémarrez apache :
service apache2 reload
Plus d’informations ici : http://doc.ubuntu-fr.org/tutoriel/securiser_apache2_avec_ssl
Une fois cela fait, téléchargez le plugin suivant : http://wordpress.org/plugins/wordpress-https/
Cochez les deux premières cases, cliquez sur Save Changes, et votre site sera maintenant en https pour tout ce
qui est administration dont la connexion à votre compte administrateur.
Installer les plugins de sécurité indispensables
Le plugin Better Wp Security est très efficace pour automatiser certaines tâches que nous avons vues. Il permet
de sécuriser son site WordPress à l’aide d’une tonne d’options.
page 3 / 4

Sécuriser son site WordPress
par Michel - http://www.leblogduhacker.fr/securiser-site-wordpress/
Hide My WP protège votre site en cachant les fichiers et dossiers sensibles.
Le plugin Baw anti Csrf quant à lui vous protège des attaques par CSRF.
Rester vigilant
Un mot de passe compliqué en vaut 10 simples.
N’utilisez pas ce même mot de passe pour plusieurs sites/services différents.
Ne cliquez pas sur des offres trop alléchantes, encore moins si on vous demande votre mot de passe.
Évitez de vous connecter sur un ordinateur qui ne vous appartient pas, car même en HTTPS vous n’êtes pas à
l’abri des keyloggers.
Plus de tutoriels inédits sur le Hacking sur le site web Le Blog Du Hacker
Powered by TCPDF (www.tcpdf.org)
page 4 / 4