Site Internet - Sécuriser WordPress

De Movilab.org


Wordpress-logo.png


Sites Internet et cybersécurité

Principales menaces

  • défiguration du site: attaque par laquelle une personne malveillante modifie le site pour remplacer le contenu légitime par un contenu qu’il choisit
  • dénis de service: attaque visant à rendre le site indisponible pour ses utilisateurs légitimes
  • vol de données

Améliorer la sécurité

Qu'est-ce que la sécurité informatique ?

Assurer la sécurité c'est garantir:

  • la confidentialité des données: les données n'ont pas été divulguées de manière non autorisée;
  • l'intégrité des données: les données n'ont pas été altérées accidentellement ou intentionnellement;
  • la disponibilité des données: les données sont accessibles aux ayants droit pendant la période de fourniture du service.

Bonnes pratiques

Changer le préfixe "wp_"

A la création du site ... ou après (vulnérabilité à l'injection de code SQL).

"A la main" (Un exemple avec phpmyadmin) ou avec un plugin:

Créer un compte administrateur

Commencer par supprimer le compte par défaut "admin". Recréer un compte administration qui ne sera dédié qu'à l'administration du site WordPress (gestion des utilisateurs, gestion des extensions, mises à jours, sauvegarde ...). Il a un nom sortant évidemment des habituels ('root', 'admin') et un mot de passe robuste (voir ci-dessous). Si vous êtes à la fois administrateur et créateur de contenu, vous avez deux comptes distincts avec des droits adaptés à chaque rôle (administrateur et contributeur).

Choisir des mots de passe robustes

  • longueur supérieure à 8 caractères
  • association de lettres (minuscule / majuscule), de chiffres et de symboles



Extensions proposant de gérer la politique des mots de passe:

Ajouter la possibilité de la double authentification

Extensions:

  • mini orange - Un utilisateur gratuit = l'administrateur

Modifier l'URL[1] de login

Si vous utilisez phpmyadmin pour gérer vos bases de données MySql, modifier également l'URL de connexion. Par défaut http://mon_word_press/phpmyadmin .

Extensions:

Restreindre le nombre de tentatives de connexion

Il s'agit d'empêcher les tentatives de connexion par "force brute" (essai de toutes les combinaisons possibles).

Extensions bloquant les tentatives de connexions multiples:



Application permettant de le gérer au niveau du système (Linux):

  • fail2ban

Réaliser des sauvegardes régulières

Les sites Wordpress sont devenus de réelles applications et nécessite donc sauvegarder régulièrement les données du site. Le choix de la périodicité des sauvegardes est lié à la vie de vos données (site statique, publication régulière de contenu, application de gestion ... ).

Extensions permettant d'effectuer sauvegardes et restauration:



Sauvegarde au niveau du système (Linux):

Mettre à jour Wordpress et ses extensions

Il est indispensable de mettre régulièrement à jour son site wordpress et ses extensions. Ses mises à jour contiennent des correctifs concernant notamment des failles de sécurité.

Pour ma part, je fais systématiquement une sauvegarde avant une mise à jour ... "au cas où".

Masquer les versions ...

Masquer les versions rend plus difficile les tentatives d'intrusion (recherche de vulnérabilité sur des sites comme exploit-db.

Masquer la version du serveur Web

Masquer la version de Wordpress

  • Supprimer **readme.html**
  • Dans le thème enfant que vous avez pris soin de créer, vous ajouter dans function.php
   remove_action("wp_head", "wp_generator");



A propos des templates ...

Ajouter des clés de sécurité

Ces clés se trouvent dans le fichier de configuration wp-config.php situé à la racine de l'installation WordPress. Verifier que les clés existent et sont générées aléatoirement.
Générer des clés de sécurité "online"

Protéger le fichier de configuration

fichier .htaccess

   <Files wp-config.php>
      order allow,deny
      deny from all
   </Files>

Masquer les erreurs de connexions

L'affichage en clair des erreurs peut donner des indications facilitant une tentative d'intrusion.

Ajouter à functions.php:

   add_filter('login_errors',create_function('$a', "return null;"));

Superviser la sécurité, auditer régulièrement la sécurité de votre site

Les extensions présentés ci-dessous proposent généralement des fonctionnalités évoquées ci-dessus. La version gratuite offre généralement des services suffisants pour des "petits" sites peu exposés.
Extensions:

Références




Accueil - Définition de MoviLab - Qui porte et constitue MoviLab ? - Pourquoi contribuer sur ce wiki ? - Comment contribuer sur ce wiki ? - Conciergerie MoviLab - Mentions légales
  1. Uniform Resource Locator,ici adresse internet de la page
  2. Agence Nationale de de la Sécurité des Systèmes d'Information