Comment sécuriser son blog WordPress facilement

Si vous envisagez d’ouvrir un nouveau blog ou de migrer sur WordPress, vous avez surement du voir un peu partout sur les réseaux des personnes dépitées car leur blog s’est fait pirater… Du coup ça fait un peu peur parce que les blogs WordPress ont l’air de se faire pirater souvent… Pourquoi ? Tout simplement parce qu’il y a des millions de blogs WordPress (la grande majorité des blogs mondiaux tournent sous WordPress) et que c’est un système ouvert à tous, une aubaine pour les hackers de tout poil. Du coup ils s’en prennent en masse aux blogs WordPress et ce n’est pas parce que vous avez « un tout petit blog » que vous êtes à l’abri !

Effectivement, les attaques se font par vagues et automatiquement sur des milliers de blogs pour mettre de la pub (souvent adsense pour se faire quelques piécettes sur votre dos), faire une redirection (vers un site porno la plupart du temps), etc..

Outre le désagrément de se faire pirater, cela a de lourdes conséquences car dès lors que M. Google détecte un code malicieux sur un site, il le bloque et vos visiteurs recevront un avertissement en tentant d’y accéder… A côté de cela votre hébergeur peut décider de vous mettre « en quarantaine » sur un serveur beaucoup plus lent, voire vous supprimer totalement l’accès… Au bout du compte, si vous tardez trop à réparer, votre site risque de ne plus être référencé du tout et ne plus apparaitre dans les résultats de moteurs de recherche… pas cool tout ça…

Moi-même j’ai été piratée 2 fois en 6 mois à mes débuts sur WordPress, à chaque fois pour déposer des pubs sur mon site… Du coup, j’ai pris le problème à bras le corps et j’ai écumé le web à la recherche de solutions efficaces pour sécuriser son blog WordPress facilement.

Voici donc un concentré des actions à mener pour repousser les pirates, à la portée de tous, sans forcément avoir de grosses notions en informatique ;)

A la création du blog

Admin / mot de passe

Lorsque vous créez votre WordPress, pensez à utiliser un nom d’utilisateur autre que « admin »… C’est bête à dire mais la plupart blogueurs utilisent le « admin » qui est proposé par défaut et du coup, c’est le login que les pirates tentent en premier ! Autant ne pas leur simplifier la tâche en leur donnant la moitié de la clé pour entrer non ?

Pour le mot de passe, là encore, rendez la tâche ardue aux hackers en le choisissant long et compliqué. Utilisez des majuscules, minuscules, des chiffres, des symboles… un mot de passe long demande un temps considérable pour être cassé et les pirates ne perdront pas de temps ;)

Vous pouvez changer votre mot de passe facilement dans : Utilisateurs > Votre Profil. Pour le nom d’utilisateur, c’est un plus compliqué par après et je vous invite à consulter ce tuto : http://bloginfos.com/changer-nom-utilisateur/

Sécuriser son blog - 1

Changer le préfix des tables

Lorsque vous installez votre WordPress sur un hébergement tout neuf, celui-ci va créer automatique des tables dans votre base de donnée. Par défaut, toutes ces tables commencent par « wp_ » et forcément elles sont les mêmes pour tous les sites utilisant WordPress. Vous aurez donc « wp_options », « wp_users », « wp_posts », etc… Bref, tout pirate connaît forcément le nom de vos tables ce qui lui permet de lancer des scripts automatiques et tenter des injections SQL…

Du coup, là encore pour ne pas simplifier la tâche aux pirates, changez le préfixe de vos tables lors de l’installation ! C’est fait en un clic en modifiant directement « wp_ » dans la case lors de l’installation. Mettez ce que vous voulez, « wp_fuckhackers_ » par exemple ^^

Sécuriser son blog - 4

Si votre installation est déjà faite avec le préfixe « wp_ », cela va être un peu plus compliqué de le modifier, mais pas impossible ! Je vous invite à consulter ce tuto : http://wpcours.com/wordpress/modifier-le-prefixe-de-base-donnees-pour-securiser-wordpress/

Installer des plugins de sécurité

Wordfence

Je vous en ai déjà parlé sur mon article consacré à mes plugins chouchou : Wordfence c’est LE plugin que je recommande pour sécuriser un blog WordPress. Il est très simple à utiliser et va permettre de gérer plusieurs éléments de sécurité comme notamment : limiter le nombre de tentative de connexion, signaler les connexions sur le blog, signaler les mises à jours à faire, scanner l’installation à la recherche de code malicieux, etc…

Sécuriser son blog - 2

Commencez par installer l’application soit en la téléchargeant puis en l’injectant via votre FTP, soit en la recherchant directement dans l’onglet « extensions » de votre administration.

Ensuite dans les options de l’application :

  • Renseignez votre clef API
  • Renforcez la sécurité en augmentant les limites de blocage (nombre de tentatives de connexion ou de pages scannées plus bas que ceux préconisés par défaut). Par exemple voici mes réglages :

Sécuriser son blog - 3

Modifier les fichiers sur son hébergement

Alors je sais qu’aller modifier du code directement dans les fichiers de son hébergement peut faire un peu peur lorsque l’on débute et que l’on ne s’y connait pas trop, mais je vous conseille fortement de faire ces quelques modifications via votre ftp. C’est juste des petits bouts de code à coller et comme toujours, faites une sauvegarde avant de modifier quoi que ce soit, comme ça en cas de bêtise vous pouvez réinstaller le fichier d’origine ;)

Dans le fichier .htaccess

Connectez-vous à votre hébergement via votre FTP (filezila par exemple) et recherchez le fichier .htaccess. Il se trouve à la racine de votre site, au même endroit que les fichiers wp-admin, wp-content, …

Commencez par faire une petite sauvegarde de ce fichier puis faites un clic droit dessus et cliquez sur « Afficher/Editer ».  Ajoutez les morceaux de code suivant en haut du fichier:

Pour bloquer les requêtes (trace, delete, debug et track) envoyé à votre site :

[box style=”0″]

# block bad request
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK|DEBUG) [NC] RewriteRule ^(.*)$ – [F,L]

[/box]

Pour bloquer l’accès aux fichiers :

[box style=”0″]

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L] RewriteRule !^wp-includes/ – [S=3] RewriteRule ^wp-includes/[^/]+\.php$ – [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php – [F,L] RewriteRule ^wp-includes/theme-compat/ – [F,L]

[/box]

Pour cacher vos répertoires car par défaut, n’importe qui peut accéder au contenu de vos dossiers WordPress (wp-content) via un simple navigateur:

[box style=”0″]

# directory browsing
Options All -Indexes

[/box]

Pour protéger les fichiers de configuration de WordPress:

[box style=”0″]

# 403 protect
<FilesMatch “^(wp-config\.php|php\.ini|php5\.ini|readme\.html|bb-config\.php)”>
Order Allow,Deny
Deny from all

[/box]

Pour protéger le fichier .htaccess:

[box style=”0″]

# Secure .htaccess
Order Allow,Deny
Deny from all

[/box]

Dans le fichier wp-config

Ce fichier se trouve au même endroit que le fichier .htaccess et est vraiment très important car il contient toutes les infos de connexion à votre base de données ! Procédez de la même manière pour ajouter des clefs de sécurité secrètes. Les clés d’authentification SALT créent un cookie d’identification qui protège votre installation. Si ces codes ne sont pas présents dans votre fichier wp-config.php, vous pouvez les générer et les ajouter en vous rendant sur https://api.wordpress.org/secret-key/1.1/salt/

Cacher la page de login

Par défaut, la page de connexion de tous les blogs WordPress se trouve à l’adresse www.nomdedomain.com/wp-login et c’est là que les pirates vont faire leur tentative de connexion.

Histoire de les désorienter un peu, le site No Tuxedo propose un tuto pour changer l’adresse de cette page de login ! C’est ultra efficace et chez moi cela a réduit les tentatives de connexion à zéro ;) Filez voir le tuto par-là : http://www.notuxedo.com/piratage-de-wordpress-masquer-wp-login-admin/

Entretenir son site

Cela semble un peu bête à dire, mais un site sécurisé c’est d’abord un site entretenu ! Alors il est utile de rappeler quelques règles de base :

  • Mettez à jour régulièrement votre thème et vos plugins. Si vous avez installé le plugin Wordfence, celui-ci vous enverra un mail dès qu’une mise à jour sera disponible. Sinon, guettez le petit indicateur rouge à côté de l’onglet « mises à jour » de votre administration.
  • Faites de sauvegardes régulières soit via un plugin, soit manuellement comme expliqué dans mon article : . En cas de soucis, vous pourrez réinstaller facilement et rapidement votre site comme s’il ne s’était rien passé.
  • Faites attention aux téléchargements de plugins et de thème. Les thèmes gratuits sont quelques fois soit mal sécurisés soit carrément vérolés. Pour se prémunir, installez un plugin comme « Theme Authenticity Checker » qui scanne et analyse les thèmes à la recherche d’un éventuel virus.

Sources et documentations utiles :
http://wpformation.com/11-rappels-securite-wordpress/
http://www.atchik-services.com/blog/webmarketing/securiser-site-blog-wordpress

Répondre à Sandra Annuler la réponse

4 commentaires
    • Je t’en prie, ravie que cela t’ai été utile :)
      Si tu as besoin d’aide pour les fichiers, n’hésites pas à me faire un petit message ;-)
      Bonne journée!

  • Je garde de coté ta page pour sécuriser son blog wordpress car je ne sais pas si c’est une impression mais en ce moment je suis victime de beaucoup de hacking, et dieu sait si j’ai pas mal d’alerte. Donc je me demande si c’est pas le cms wordpress qui en fait l’oeuvre de personnes malveillantes.