5 conseils pour sécuriser WordPress

securité wordpress

Parce qu’on se sent bien en sécurité

Malheureusement personne n’est à l’abri contre les attaques de pirates / hackers malintentionnés. J’imagine qu’il existe 2 styles d’hacking :

  • Le hack réfléchit dans un but précis (négative SEO, vengeance personnelle, …),
  • Le hack pour se faire la main (s’entrainer, se tester, s’amuser, …).

La 2ème option me concerne surement étant donné le peu d’intérêt d’avoir pollué un de mes blogs pauvre en contenu, tout jeune et non référencé.

Ayant donc été victime d’une injection SQL, je vous propose une liste ToDo de conseils à mettre en place lors de la création d’un nouveau blog sous WordPress pour le sécuriser un minimum.

1 – Changer le login « admin » et choisissez un mot de passe complexe

WordPress 3.0 (désormais disponible et avec un nouveau theme wordpress par défaut) permet de choisir dès l’installation un login personnalisé.

Le plugin WP Security Scan permet de scanner votre installation WordPress afin de trouver les éventuelles vulnérabilités de sécurité et vous propose en conséquence les actions correctives à mettre en place. Ce plugin possède également un générateur de password, plutôt utile pour vous aider à choisir un mot de passe digne de ce nom.

Installation et configuration WordPress 3.0

2 – Modifier le préfixe wp_ des tables de la BDD WordPress

Dans sa configuration de base, WordPress ajoute le préfixe wp_ devant le nom de chaque table. Une personnalisation à ce niveau peut être utile lors de l’installation de votre blog WordPress.

A noter que wordpress table rename est un plugin qui permet de modifier ce préfixe sur une base de données WordPress déjà existante. Il va dupliquer vos tables avec le nouveau préfixe et il vous suffira de supprimer manuellement les anciennes tables avec le wp_ !

3 – Protéger WordPress avec un fichier .htaccess

  1. Interdire la consultation des fichiers : Afin d’éviter que les internautes puissent consulter vos fichiers, ajouter la ligne suivante au fichier .htaccess situé à la racine du site.

    2. # Interdire la consultation des fichiers
    Options -Indexes

  2. Sécuriser le répertoire wp-admin et le fichier wp-config.php : Afin de restreindre l’accès à ce répertoire, ajouter les lignes ci-dessous seulement si vous avez une IP fixe sinon mettez en place un accès par mot de passe.

    3. order deny,allow
    deny from all
    # 1ere IP autorisée
    allow from XXX.XXX.XXX.XXX
    # 2nde IP autorisée
    allow from XXX.XXX.XXX.XXX

4 – Optimiser le fichier robots.txt de votre WordPress

Empêcher les robots d’indexer les fichiers sensibles de WordPress, dans tous les cas il ne sert strictement à rien de surcharger l’index de Goolge avec ces contenus inutiles pour l’internaute !

Sitemap: http://www.nomdedomaine.tld/sitemap.xml

User-agent: *
Disallow: /wp-content/
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-
Disallow: /feed
Disallow: /comments/feed
Disallow: /feed/$
Disallow: /*/feed/$
Disallow: /*/feed/rss/$
Disallow: /*/trackback/$
Disallow: /*/*/feed/$
Disallow: /*/*/feed/rss/$
Disallow: /*/*/trackback/$
Disallow: /*/*/*/feed/$
Disallow: /*/*/*/feed/rss/$
Disallow: /*/*/*/trackback/$
Disallow: /trackback/
Disallow: /cgi-bin/
Allow: /wp-sitemap.php

User-agent: Googlebot
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.cgi$
Disallow: /*.xhtml$
Disallow: /*.php*
Disallow: */trackback*
Disallow: /*?*
Disallow: /wp-*
Disallow: /*.inc$
Disallow: /*.css$
Disallow: /*.txt$
Allow: /images/
Allow: /wp-sitemap.php

5 – Mettre à jour WordPress et faire régulièrement un Backup

Une fois ces recommandations effectuées lors de la création, restez vigilant !

Il est nécessaire de veiller à ce que votre version de WordPress soit à jour ainsi que les plugins utilisés, sachant qu’une maj a pour objectif d’améliorer le CMS / Plugin en corrigeant un ensemble de bugs et de failles de sécurité.

Sauvegarder aussi régulièrement votre blog et surtout votre base de données. WP-DB-Backup est un plugin permettant de sauvegarder facilement votre base de données WordPress.

Matt Cutts intervient sur la question « How do you protect your blog from hackers? »

21 Commentaires

  1. Marie-Micheline
    Marie-Micheline sur 24 juin 2010 à 12 h 44 min

    Merci pour ces précieux conseils.

  2. Olivier@consultant seo
    Olivier@consultant seo sur 24 juin 2010 à 15 h 45 min

    Il faut veiller également à la « réputation » des extensions WordPress. Certaines sont très mal codées…

  3. Antoon
    Antoon sur 25 juin 2010 à 16 h 07 min

    Article bien pensé !
    Un peu de rappel sur la sécurité ne fait pas de mal

    @+ @ntoon

  4. Crunch@wallpapers psp
    Crunch@wallpapers psp sur 27 juin 2010 à 21 h 27 min

    Pas mal malgré que ça me semble un peu short 5 conseils de ce genre pour ceux qui débutent avec wordpress 😉

    • Snipeo
      Snipeo sur 28 juin 2010 à 15 h 03 min

      C’est les principaux points à adopter lors d’une installation de son blog WordPress, les mettre en place pour ceux qui débutent est déjà pas mal 🙂

  5. Mealin
    Mealin sur 27 juin 2010 à 22 h 53 min

    Rien que le fait de changer le nom « admin » aurait suffit à éviter tous les piratages de blog wordpress qui me sont remontés aux oreilles …

    • Snipeo
      Snipeo sur 28 juin 2010 à 15 h 05 min

      Je plussoie 😉

  6. christophe@tarifs referencement
    christophe@tarifs referencement sur 27 juin 2010 à 22 h 47 min

    Comme dis au dessus, un petit rappel des bases ne fait pas de mal.

    Faite aussi attention aux templates fourni gratuitement par pas mal de sites. Ceux si contiennent souvent des liens caché (par exemple dans des images ou frame de 1px x 1px).
    Même si sa ne remet pas en cause directement la sécurité de votre blog wordpress, cela nuira certainement à votre référencement.

  7. Nicolas L.@Marketing
    Nicolas L.@Marketing sur 29 juin 2010 à 13 h 54 min

    Article énorme ! Indispensable même !

    J’ai en effet déjà remarqué que les crawl des bots sur les /*/feed pouvaient aller jusqu’à faire swapper un petit serveur.

    merci pour toutes ces astuces !

  8. Maxime@agence web
    Maxime@agence web sur 14 juillet 2010 à 18 h 42 min

    De bonnes pratiques dans cet article, merci pour le partage. Je préconise l’astuce du .htaccess, pour s’assurer d’être le seul à pouvoir aller trifouiller dans WP !

  10. Pureshore@Freelance SEO
    Pureshore@Freelance SEO sur 21 juillet 2010 à 5 h 54 min

    De très bons conseils faciles à mettre en place.
    Je mettrai un point d’honneur particulièrement sur le fait de faire des backups réguliers, surtout que ça prend 5min à mettre en place et qu’une fois configuré, tout se fera automatiquement.

    Ca m’a sauvé la vie à plusieurs reprises en ce qui me concerne.

  11. developpeur web
    developpeur web sur 2 août 2010 à 22 h 13 min

    le point « Optimiser le fichier robots.txt de votre WordPress » est particulièrement intéressant. Il fallait le savoir…

  12. julien@saut en parachute
    julien@saut en parachute sur 5 août 2010 à 12 h 15 min

    Wow je pensais pas qu’il fallait faire tout ca pour bien sécuriser son blog wordpress.
    Déja le .htaccess est une très bonne idée.

  13. Samuel Hounkpe@creation site angers
    Samuel Hounkpe@creation site angers sur 28 août 2010 à 11 h 29 min

    Il y a un plugin également à utiliser pour optimiser et faire un backup régulier de ses BDD, c’est WP-DBManager !

  14. Julien Vernet
    Julien Vernet sur 18 novembre 2010 à 6 h 51 min

    Merci pour cette piqure de rappel que je vais m’empresser de mettre en place sur mes sites WP!

  15. Marie@Costume gonflable
    Marie@Costume gonflable sur 23 novembre 2010 à 14 h 47 min

    Merci pour ces conseils que je vais essayer de mettre en place. Habituellement, je renomme simplement le préfixe des tables à l’installation.

  16. John@imprimeur
    John@imprimeur sur 18 janvier 2011 à 15 h 09 min

    Merci pour tous ces conseils, ton article est complet, je pense qu’en respectant toutes ces règles on est déjà bien sécurisé.

  17. yokitap@creation de site
    yokitap@creation de site sur 16 août 2011 à 14 h 12 min

    5 très bon conseils ! Bien que le premier soit une évidence, j’ai bien aimé découvrir ce plugin pour changer le nom des tables wp_ !

    nous sommes tous exposé aux hacks fait par celui qui veut faire un « exploit » ! Attention à ne pas devenir une victime bien malgré nous !

    bons conseils, j’achète :p

  18. Chef de projet multimédia marseille
    Chef de projet multimédia marseille sur 28 janvier 2012 à 17 h 54 min

    Parfait, exactement ce que je cherchais avant d’envoyer mon nouveau site à l’indexation.

  19. Pierre
    Pierre sur 1 mai 2012 à 2 h 23 min

    Merci pour ces conseils qui nous permettent d’aller plus vite. Tenir un blog c’est être architecte, concepteur, rédacteur, ergonomiste, artiste (un peu), « optimiseur » (je ne sais pas si cela existe mais je le fais quand même), référenceur…Alors les conseils de techniciens sont vraiment appréciés. Merci encore. Pierre