Cela fait maintenant quelques années que j’utilise WordPress parce que Dotclear ça pue et depuis un certain temps maintenant, que j’ai envie de rédiger un article traitant de la sécurité de ce dernier. Et comme j’avais envie bah… je l’ai fait Bien que ce CMS voit sa sécurité améliorée de version en version, cette dernière ne se limitant pas au code source, j’ai jugé nécessaire de vous faire part de quelques petites “bidouilles” qui permettront à votre blog de ne pas se faire vulgairement poutrer par un zombie. C’est récemment arrivé au blog de Bastien et demandez-lui, ça fait mal Je vous souhaite une excellente lecture de cet article d’une vingtaine de pages que j’ai mis un certain temps à rédiger…
Préambule
Toutes les modifications évoquées dans la suite de cet article permettent de sécuriser votre installation de WordPress et ces dernières sont généralement applicables à la plupart des versions. Cependant quelques modifications ne pourront être effectuées sur des versions trop obsolètes de WordPress. Dans ce cas là je vais faire en sorte de préciser dans quel cas il est possible (ou non) d’appliquer telle ou telle modification. A noter que j’ai tout de même personnellement testé l’ensemble de ces modifications sur la version 2.6.5 qui supporte de facto ce qui suit. Si à la suite de cette lecture vous avez des questions, je reste à votre disposition par l’intermédiaire du système de commentaires ou du formulaire de contact.
Sommaire
- Tenir à jour WordPress,
- Combiner HTTP avec SSL (ou TLS) : HTTPS,
- Renommer votre compte administrateur,
- Mot de passe de votre compte administrateur,
- Vérifier les autorisations sur vos répertoires (CHMOD),
- Changer le préfixe de vos tables,
- Restreindre les accès aux répertoires /wp-content/ et /wp-includes/,
- Masquer la version de WordPress,
- Rendre impossible le listage des répertoires,
- Restreindre l’accès au répertoire /wp-admin/,
- Empêcher les robots d’indexer les répertoires /wp-admin/ et /wp-includes/,
- Effectuer des sauvegardes régulièrement,
- Les 3 clés du fichier wp-config.php,
- Déplacer et/ou renommer le répertoire wp-content,
- Limiter le nombre de tentatives d’identification,
- Buvez un coca, fumez une clope, tirez un coup et réfléchissez !
- Liens et sources d’inspiration.