Pour les webmasters, la peur de se faire hacker est souvent grande, et plus un site est populaire, plus il s’expose à diverses tentatives de piratage. Voici 5 astuces et plugins qui vous permettrons de sécuriser au maximum votre installation de Wordpress, car mieux vaut prévenir que guérir!
1 - Dumper votre base de données avec WP-database backup
Voici le premier conseil que je donnerais à qui que ce soit en matière de sécurité des données sur un site web: Faites des sauvegardes, et faites en souvent. Bien sur, vous avez la possibilité de passer par le phpMyAdmin de votre hébergeur, ou de faire un dump en ligne de commande si vous avez un accès ssh à votre serveur, mais ce petit plugin vous simplifiera énormément la tâche: Il vous suffira de vous rendre dans votre administration Wordpress.
A noter, WP-Database Backup offre la possibilité de vous mailer quotidiennement une sauvegarde de votre base de données. Un must!
2 - Scanner son installation Wordpress à la recherche de failles
Nous avons maintenant de quoi sauvegarder notre chère base de données de manière quotidienne. La prochaine étape consiste à scanner notre installation Wordpress, histoire de vérifier qu’aucune faille de sécurité n’est présente. Pour cela, nous allons utiliser l’excellent plugin WP Security Scan qui va nous permettre de repérer les vulnérabilités présentes sur notre blog et nous proposera une solution pour régler ces problèmes. Cet excellent plugin permet entre autres de renommer les préfixes de tables, de tester votre mot de passe, de supprimmer le compte admin et de vérifier que les répertoires de votre blog ont bien les droits (chmod) nécessaires.
3 - Se protéger de la force brute
La force brute est une technique de hack consistant à essayer le maximum de combinaisons possibles dans le but de trouver un mot de passe. Il existe même un script Python servant à tenter de découvrir le mot de passe d’un blog tournant sous Wordpress.
Il va sans dire que si votre mot de passe est le nom de votre blog où un truc du style “secret”, vous êtes cuits. La première des protections est donc d’utiliser un mot de passe costaud, avec des minuscules, majuscules, chiffres et caractères spéciaux. Vous pouvez d’ailleurs faire confiance au générateur de mot de passe inclus dans WP Security Scan.
Mais le fait d’avoir un mot de passe fort n’empêche en rien les scripts comme celui dont je parlais à l’instant, de tenter de trouver votre mot de passe, et qui sait, peut-être un jour de le découvrir.
La solution pour repousser ce genre d’envahisseur indiscret se nomme Ask Apache. Ce plugin propose, entre autres, de protéger votre répertoire wp-admin par une authentification au niveau du serveur (htpasswd).
Notons aussi la possibilité d’interdire le hotlinking, ou encore l’accès direct à vos répertoires wp-content et wp-includes…
4 - Se méfier des plugins
Les plugins, surtout les méconnus ou extrêmement récents, peuvent parfois malheureusement contenir des failles de sécurité. Pour celà, il est nécessaire de masquer le contenu du répertoire /wp-content/plugins. Il suffira ici de créer un fichier vide nommé index.html et de l’uploader à la racine ce répertoire.
Depuis le temps qu ce genre de déconvenue est connue, je m’étonne que Wordpress ne masque toujours pas le contenu de ce dossier par défaut…
5 - Masquer la version de Wordpress utilisée
Si une faille existe dans une version particulière de WP, un éventuel pirate n’aura qu’a afficher la source de votre blog dans son navigateur et regarder si la version que vous utilisée corresponds à celle incriminée: En laissant le meta version, vous indiquerez clairement au pirate que vous êtes potentiellement vulnérables. Il suffit simplement de supprimer la ligne correspondante dans le fichier header.php de votre thème.
De même, il existe aussi un plugin capable de mettre un numéro de version aléatoire et complètement bidon, pour tromper les curieux.