Sécurité WordPress
Protéger votre blog d’une attaque par force brute
www.ya-graphic.com
Consultant SEO, Social Media
contact@ya-graphic.com

Sécurité WordPress
Comme annoncé dans mon article Sécurité WordPress: Se protéger d’une attaque par force
brute, je vous propose dans ce document une liste de conseils à appliquer pour garantir la
sécurité de votre blog / site web propulsé par WordPress.
Dans la seconde partie de ce document* je cite quelques extensions qui devraient vous
permettre de sécuriser votre blog/site web.
Les conseils et les extensions cités dans ce document peuvent se compléter.
* Ce document ne peut être utilisé, reproduit ou communiqué sans autorisation de l’auteur.

Conseils de sécurité
 Supprimez tous les thèmes inactifs, les pirates visent les thèmes WordPress non utilisés
pour installer leur Backdoor.
 Toujours mettre à jour WordPress, votre thème et vos extensions.
 N’installez que les extensions essentielles - une dizaine environ.
 Méfiez-vous des extensions de sécurité obsolètes, mal codées et lisez toujours les
informations de compatibilité sur la page de l’extension
 Vous pouvez cacher les pages de connexion « wp-admin » et « wp-login.php », il faudra
alors ajouter la ligne « ErrorDocument 401 default » dans le fichier .htaccess.
 Scannez de temps en temps les répertoires de votre blog, notamment Uploads, il ne doit
pas y avoir de fichier qui se termine par « .php », ça pourrait être un Backdoor.

 Choisissez un hébergeur de sites web reconnu par sa fiabilité même si eux aussi peuvent
être secoués par les attaques par force brute. HostGator, l’un des plus gros hébergeur de sites
basé aux États-Unis raconte comment les attaques par force brute pouvaient déstabiliser leurs
serveurs. L'entreprise affirmait que le Botnet d'installations WordPress infectées comprenait
désormais plus de 90.000 sites compromis.
 Faites une comparaison entre votre fichier « wp-config » actuel et le fichier « wp-config-
sample » d’une installation WordPress vierge pour voir si un code malveillant aurait été inséré.
 Les droits d’accès aux répertoires « wp-admin » , « wp-includes » et « wp-content » doivent
être 755 ; le .htaccess 644 ; « wp-config.php » 600 et les autres fichiers 644. Jamais 777 !
 Utilisez un mot de passe compliqué - long avec plusieurs types de caractères - et ne le
gardez pas à vie ! Changez-le par exemple tous les 3 mois. Les pirates exploitent un fichier qui
contient plus d’un milliard de mots de passe. Aujourd’hui les machines utilisées par le Botnet
sont plus rapides, chaque seconde un nouveau mot de passe peut être essayé par une
nouvelle adresse IP.

 Évitez le nom « admin » comme nom d’utilisateur, trouvez-en un plus original. Le Botnet
utilise la plupart du temps « admin » comme identifiant, il ne lui reste donc que le mot de
passe à trouver !
 Limitez les échecs d’authentification. Certaines extensions de WordPress permettent de le
faire : Wordfence Security ou Limit Login Attempts.
 Si possible mettez en place l’authentification en 2 étapes, une fonctionnalité disponible
pour les blogs hébergés chez WordPress.com.
 Les extensions et le thème ne doivent être accessibles que pour l’administrateur du blog.
 Changez le préfixe « wp_ » de la table de votre base de données.
 Supprimez le fichier « readme.html » qui se trouve à la racine de votre blog.
 Vous pouvez utiliser le service CloudFlare qui permet de bloquer automatiquement les
tentatives de connexion qui portent la signature d’une attaque par force brute.

Extensions de sécurité
Une extension d’authentification en 2 étapes pour WordPress: Google Authenticator Plugin for
WordPress. Notez bien que ce n’est pas l’extension officielle de Google.
Pour limiter les échecs d’authentification vous pouvez utiliser Wordfence Security qui est
vraiment pas mal. L’extension vous permet de visualiser le trafic en temps réel de votre blog,
de scanner vos fichiers, d’activer un pare-feu, de définir des niveaux de sécurité, de bloquer
des IP par pays même si l’efficacité de cette fonctionnalité est limitée. Botnet exploiterait en
effet plus de 90.000 adresses IP. CloudFlare, entreprise de sécurité et de performance web, a
dénombré quelques 60 millions de requêtes de ses clients WordPress en l’espace d’une heure.
L’extension Captcha pour WordPress est un système de captcha qui vous permet de vous
protéger des robots. Il s’intègre dans votre formulaire de contact, dans votre formulaire de
commentaires et dans vos pages de login - /wp-login.php et /wp-admin.

Il y a l’extension WP Security Scan qui permet de trouver d’éventuelles vulnérabilités de votre
blog.
L’extension Better WP Security vous permet de changer l’URL de votre page de connexion et
de définir une URL personnalisée. L’extension permet aussi de trouver d’éventuelles
vulnérabilité cachées dans votre blog.
Pour scanner votre blog
Vous avez Exploit Scanner (si vous rencontrez des problèmes avec une extension, vous pouvez
la supprimer et la réinstaller) ; l’extension Theme Authenticity Checker .
Le site Sucuri.net vous permet de scanner votre blog/site gratuitement. Il vous permet
notamment de détecter des programmes, scripts malveillants et autres anomalies.
Ces quelques extensions vous permettront de sécuriser votre blog/site WordPress. Il y a
d’autres extensions, limitez-vous aux extensions essentielles , ne les installez pas toutes et
évitez les gadgets.

Ya-graphic.com
Digital Marketing | SEO, SEA, Social Media
contact@ya-graphic.com
Mob. 06-52-64-70-04
Twitter: @yagraphic
Google+: ya-graphic
SIRET: 51260110500012