WebDevOnLinux ¦ Développement Web Sur Linux.

Securiser Wordpress

Par Steph le 30/03/2009, sous BestOf, Wordpress

:, , , ,

Cet article décrit 7 points à réaliser pour améliorer la sécurité de votre blog WordPress.

coffre-fort

La sécurité est souvent un aspect négligé des blogueurs, mais quelques minutes de travail suffisent pour vous permettre d’économiser des heures et des heures de « rétablissement de votre blog », si quelqu’un décide de le hacker.

  1. Télécharger, installer le plugin wp-scanner et lancer le test depuis cette adresse http://blogsecurity.net/wpscan. Il vous retournera un certain nombre d’indications sur les trous de sécurité de votre blog. N’oubliez pas de le désactiver par la suite.
  2. Télécharger et installer le plugin Login Lockdown. Il enregistre l’adresse IP et horodote chaque tentative de connexion échouée. Si plus d’un certain nombre de tentatives sont détectées dans un court laps de temps de la même plage d’adresses IP, alors la fonction de connexion est désactivée pour toutes les demandes de cette plage. Cela aide à prévenir la découverte de mot de passe par brute force.
  3. Télécharger et installer le plugin Secure Wordpress qui va :a) éliminer les informations d’erreurs  sur la page de connexion;b) ajouter un fichier index.html au répertoire de plugins;c) supprimer le fichier wp-version, sauf dans la zone d’administration;d) désactiver Really Simple Discovery;e) désactiver Windows Live Writer;f) désactiver la mise à jour des informations de base pour les non-administrateurs;g) désactiver le plugin de mise à jour des informations par les non-administrateurs;

  4. Supprimer de votre thème l’affichage de la version de Wordpress en éditant le fichier header.php. Rechercher tout appel de la fonction wp-version.
  5. Créer un nouvel utilisateur en lieu et place du compte admin(suppression).
  6. Ajouter cette ligne à votre fichier .htaccess pour empêcher de lister le contenu des répertoires. 
    Options -Indexes
  7. Pour éviter de se faire piller votre bande passante, interdisez l’utilisation des images de votre site : Ajouter cette ligne à votre fichier .htaccess 
    RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://www.domain.com.*$ [NC]
ReWriteRule .*\.(gif|png|jpe?g)$ - [F]

De même, faites des sauvegardes régulières de votre blog ( cf article : Sauvegarde complète et automatique de votre blog Wordpress.)

Pensez à ajouter http://blogsecurity.net à vos lectures en s’abonnant à leurs flux RSS via feedly (cf article : Booster vos lectures de Flux : Feedly).

Si vous avez d’autres propositions pour renforcer la sécurité de wordpress, faites en part !

A lire également

Vous pouvez continuer votre lecture sur des sujets similaires en consultant les articles suivants:

  1. Les Plugins Wordpress indispensables
  2. Wordpress : Faille de sécurité -> maj 2.8.4
  3. 5 astuces pour nettoyer et optimiser la base de données Wordpress
  4. Sauvegarde complète et automatique de votre blog Wordpress.
  5. Génération automatique du sitemap de Wordpress

6 Commentaires pour cet article

  • Steph
    janvier 2nd, 2010 à 11 h 00 min

    salut,

    qui est ton hébergeur ?????

    cdt bob

  • bibiyanki
    janvier 2nd, 2010 à 10 h 55 min

    je dois avoir un probleme avec mon fichier htaccess car aucun de tes superbes lignes ne marchent arff

    RewriteCond %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http://www.domain.com.*$ [NC]
    ReWriteRule .*\.(gif|png|jpe?g)$ – [F]

    j’ai modifié domaine.com par l’url de mon blog mais rien n’y fait…

  • Steph
    novembre 27th, 2009 à 10 h 43 min

    merci je vais mettre à jour la doc

  • Olala22000
    novembre 27th, 2009 à 10 h 08 min

    Placer une copie du fichier “.htaccess” dans le dossier “wp-admin”

    On peut limiter l’accès au dossier “wp-admin” par adresse IP, pour éviter qu’une personne malintentionnée y accède.

    * Ouvrez votre client FTP , et placez vous dans la racine de votre installation Wordpress.
    * Téléchargez le fichier “.htaccess” sur votre bureau.
    * Entrez dans le répertoire “wp-admin”.
    * Chargez-y le fichier “.htaccess” que vous venez de téléchar

  • Oneshot
    avril 14th, 2009 à 19 h 20 min

    Merci de ces informations qui m’ont été biens utiles =)
    Bonnes continuation

  • Wolforg
    mars 30th, 2009 à 19 h 02 min

    S@lut,
    Bravo pour ton site en général et pour cet article en particulier :)
    Pour ma part, je préconise également de changer le compte de l’admin (par défaut : admin) soit par la base de données via phpmyadmin par exemple, soit en créant un nouveau compte puis en supprimant le premier.

    P.S : Dommage que « Subscribe to comments » ne soit pas installé sur ton blog… ;-)

4 Trackbacks / Pingbacks pour cet article

  • Jonas Luthi Blog
    avril 17th, 2009 à 15 h 22 min

    WP_Install sort en version 2…

    Durant ces vacances j’ai eu l’occasion d’améliorer mon script WP_Install à l’aide d’un serveur en local sur mon mac.

    C’est déjà quoi WP_Install ?
    WP_Install est un script qui permet de télécharger WordPress ai…

  • www.blogmemes.be
    avril 12th, 2009 à 19 h 29 min

    Securiser Wordpress…

    – Vous aimez cet article ? Votez pour lui sur Blogmemes.be !Cet article décrit 5 points à réaliser pour améliorer la sécurité de votre blog WordPress.
    La sécurité est souvent un aspect négligé des blogueurs, mais quelques minutes de travai…

  • Créer un blog avec Wordpress en 10 étapes. | WebDevOnLinux
    avril 8th, 2009 à 17 h 30 min

    [...] La sécurité est souvent un aspect négligé des blogueurs, mais quelques minutes de travail suffisent pour vous permettre d’économiser des heures et des heures de “rétablissement de votre blog”, si quelqu’un décide de le hacker. Alors sécuriser wordpress ! [...]

  • Anonyme
    mars 30th, 2009 à 12 h 13 min

    Securiser Wordpress…

    La scurit est souvent un aspect nglig des blogueurs, mais quelques minutes de travail suffisent pour vous permettre d’conomiser des heures et des heures de « rtablissement de votre blog », si quelqu’un dcide de le hacker….

Poster une réponse