Site Internet - Sécuriser WordPress

De Movilab
Aller à :navigation, rechercher


Wordpress-logo.png


Sites Internet et cybersécurité[modifier | modifier le wikicode]

Principales menaces[modifier | modifier le wikicode]

  • défiguration du site: attaque par laquelle une personne malveillante modifie le site pour remplacer le contenu légitime par un contenu qu’il choisit
  • dénis de service: attaque visant à rendre le site indisponible pour ses utilisateurs légitimes
  • vol de données

Améliorer la sécurité[modifier | modifier le wikicode]

Qu'est-ce que la sécurité informatique ?

Assurer la sécurité c'est garantir:

  • la confidentialité des données: les données n'ont pas été divulguées de manière non autorisée;
  • l'intégrité des données: les données n'ont pas été altérées accidentellement ou intentionnellement;
  • la disponibilité des données: les données sont accessibles aux ayants droit pendant la période de fourniture du service.

Bonnes pratiques[modifier | modifier le wikicode]

Changer le préfixe "wp_"[modifier | modifier le wikicode]

A la création du site ... ou après (vulnérabilité à l'injection de code SQL).

"A la main" (Un exemple avec phpmyadmin) ou avec un plugin:

Créer un compte administrateur[modifier | modifier le wikicode]

Commencer par supprimer le compte par défaut "admin". Recréer un compte administration qui ne sera dédié qu'à l'administration du site WordPress (gestion des utilisateurs, gestion des extensions, mises à jours, sauvegarde ...). Il a un nom sortant évidemment des habituels ('root', 'admin') et un mot de passe robuste (voir ci-dessous). Si vous êtes à la fois administrateur et créateur de contenu, vous avez deux comptes distincts avec des droits adaptés à chaque rôle (administrateur et contributeur).

Choisir des mots de passe robustes[modifier | modifier le wikicode]

  • longueur supérieure à 8 caractères
  • association de lettres (minuscule / majuscule), de chiffres et de symboles



Extensions proposant de gérer la politique des mots de passe:

Ajouter la possibilité de la double authentification[modifier | modifier le wikicode]

Extensions:

  • mini orange - Un utilisateur gratuit = l'administrateur

Modifier l'URL[1] de login[modifier | modifier le wikicode]

Si vous utilisez phpmyadmin pour gérer vos bases de données MySql, modifier également l'URL de connexion. Par défaut http://mon_word_press/phpmyadmin .

Extensions:

Restreindre le nombre de tentatives de connexion[modifier | modifier le wikicode]

Il s'agit d'empêcher les tentatives de connexion par "force brute" (essai de toutes les combinaisons possibles).

Extensions bloquant les tentatives de connexions multiples:



Application permettant de le gérer au niveau du système (Linux):

  • fail2ban

Réaliser des sauvegardes régulières[modifier | modifier le wikicode]

Les sites Wordpress sont devenus de réelles applications et nécessite donc sauvegarder régulièrement les données du site. Le choix de la périodicité des sauvegardes est lié à la vie de vos données (site statique, publication régulière de contenu, application de gestion ... ).

Extensions permettant d'effectuer sauvegardes et restauration:



Sauvegarde au niveau du système (Linux):

Mettre à jour Wordpress et ses extensions[modifier | modifier le wikicode]

Il est indispensable de mettre régulièrement à jour son site wordpress et ses extensions. Ses mises à jour contiennent des correctifs concernant notamment des failles de sécurité.

Pour ma part, je fais systématiquement une sauvegarde avant une mise à jour ... "au cas où".

Masquer les versions ...[modifier | modifier le wikicode]

Masquer les versions rend plus difficile les tentatives d'intrusion (recherche de vulnérabilité sur des sites comme exploit-db.

Masquer la version du serveur Web[modifier | modifier le wikicode]

Masquer la version de Wordpress[modifier | modifier le wikicode]

  • Supprimer **readme.html**
  • Dans le thème enfant que vous avez pris soin de créer, vous ajouter dans function.php
   remove_action("wp_head", "wp_generator");



A propos des templates ...

Ajouter des clés de sécurité[modifier | modifier le wikicode]

Ces clés se trouvent dans le fichier de configuration wp-config.php situé à la racine de l'installation WordPress. Verifier que les clés existent et sont générées aléatoirement.
Générer des clés de sécurité "online"

Protéger le fichier de configuration[modifier | modifier le wikicode]

fichier .htaccess 

   <Files wp-config.php>
      order allow,deny
      deny from all
   </Files>

Masquer les erreurs de connexions[modifier | modifier le wikicode]

L'affichage en clair des erreurs peut donner des indications facilitant une tentative d'intrusion.

Ajouter à functions.php: 

   add_filter('login_errors',create_function('$a', "return null;"));

Superviser la sécurité, auditer régulièrement la sécurité de votre site[modifier | modifier le wikicode]

Les extensions présentés ci-dessous proposent généralement des fonctionnalités évoquées ci-dessus. La version gratuite offre généralement des services suffisants pour des "petits" sites peu exposés.
Extensions:

Références[modifier | modifier le wikicode]



Accueil - Définition de MoviLab - Qui porte et constitue MoviLab ? - Pourquoi contribuer sur ce wiki ? - Comment contribuer sur ce wiki ? - Conciergerie MoviLab - Mentions légales
  1. Uniform Resource Locator,ici adresse internet de la page
  2. Agence Nationale de de la Sécurité des Systèmes d'Information
Récupérée de « https://movilab.org/index.php?title=Site_Internet_-_Sécuriser_WordPress&oldid=70157 »

Soutenir Movilab

Vous pensez que nous allons dans le bon sens ? Si vous en avez l'envie nous vous invitons à nous rejoindre ou à faire un don.

Pourquoi s'investir ? Faire un don

Movilab

S'impliquer

Explorer

Clavardons !

Creative Commons Attribution
Powered by MediaWiki
Powered by Semantic MediaWiki