La sécurité sur un site internet est un aspect à ne surtout pas négliger. C’est une question vitale à laquelle il faut penser pour maintenir la confiance de vos utilisateurs, éviter tout risque de perte de données, ou de piratage. Ainsi, pour améliorer la sécurité de son site WordPress, vous retrouverez des conseils supplémentaires dans cet article.
Changer le nom d’utilisateur de l’administration d’un site WordPress est la chose à laquelle penser lorsque vous créez le premier utilisateur (administrateur par la force des choses) de votre site au moment de l’installation de WordPress. Ainsi, WordPress et certains assistants d’installation proposent un nom d’utilisateur par défaut qui est « admin ». Si un pirate potentiel connait votre adresse de connexion et le nom d’utilisateur de l’administrateur, il ne lui reste plus qu’à deviner le mot de passe. Je vous recommande donc de ne pas utiliser « admin », mais quelque chose d’autre à la place. Au passage, en parlant de l’administration de WordPress, vous pouvez changer son URL de connexion.
Avoir un CMS, des extensions et un thème à jour est important. En effet, bon nombre de mises à jour corrigent certaines failles de sécurité, je vous recommande de mettre à jour votre site le plus souvent possible pour corriger les éventuelles failles de sécurité corrigées à travers les versions. De plus, WordPress vous propose une fonctionnalité de mise à jour automatique de votre CMS, thème et extensions inclus.
Si vous n’utilisez pas un plugin ou un thème, il est important de le désinstaller pour éviter d’éventuelles vulnérabilités. En effet, ces derniers peuvent contenir des vulnérabilités de sécurité qui peuvent être exploitées par des pirates informatiques pour accéder à votre site ou le compromettre.
En effectuant des sauvegardes régulières de son site, en cas de piratage, ou de plantage de ce dernier, vous avez en quelque sorte la possibilité de remonter dans le temps en restaurant une version antérieure. Pour en savoir plus, sur les sauvegardes : consultez cet article.
Vous avez deux possibilités pour installer WordPress:
wp_. Par défaut, une grande majorité des hébergeurs les changent, mais pas tous. Si ce n’est pas le cas, je vous donnerai plus loin dans cet article une astuce pour changer dynamiquement vos préfixes des tables.wp (ne pas oublier de mettre un _).
Vous devez veillez à ce que votre site WordPress tourne bien sous la dernière version de PHP, si ce n’est pas le cas ou que vous utilisez une version obsolète de PHP, WordPress vous l’indiquera. En principe, les hébergeurs mettent souvent les versions de PHP à jour. Dans le cas contraire, essayez de voir dans l’administration de votre hébergement pour mettre à jour la version de PHP manuellement. Pour rappel, PHP est le langage dynamique avec lequel est développé WordPress.
Le certificat SSL (Secure Sockets Layer) permet de crypter les informations transmises par l’utilisateur depuis son navigateur au serveur sur lequel est hébergé le site.
Pour éditer le fichier wp-config.php, vous devez passer par un client FTP (Filezilla par exemple) pour accéder aux fichiers de l’hébergeur de votre site et sélectionner le dossier dans lequel votre site est installé. Puis trouvez le fichier wp-config.php > clic droit > « Afficher/Editer ».
Si vous êtes attentif à ce détail, vous constaterez que sur l’onglet des extensions et thèmes figure un accès pour modifier leurs fichiers. Ainsi, si vous êtes plusieurs à administrer un site, vous avez la possibilité de faire en sorte que la modification des fichiers des plugins et thèmes ne puisse se faire que depuis un client FTP, auquel la personne la plus de confiance aura accès. Dans le fichier wp-config.php, ajoutez donc le code suivant :
define( 'DISALLOW_FILE_EDIT', true );Dans le cas où un utilisateur saisit un mauvais nom d’utilisateur ou un mauvais mot de passe, vous pouvez masquer l’erreur de connexion qui apparaitra. Ainsi, personne ne pourra savoir si l’erreur concerne le mauvais mot de passe ou le mauvais nom d’utilisateur, pour cela, dans le fichier wp-config.php, faites appel à la constante qui suit :
define( 'WP_DEBUG', false );Comme je vous l’ai précisé plus haut, si votre site internet a été installé automatiquement ou que vous n’avez pas pensé à changer les préfixes des tables, vous avez la possibilité de le faire dynamiquement à l’aide de PHP. Pour cela, vous rajouterez le code suivant au fichier wp-config.php en remplaçant « wp_ » par le préfixe de votre choix :
$table_prefix = 'wp_';Puis, vous exécuterez 12 requêtes MySQL pour mettre à jour vos 12 tables dans la base de données avec le nouveau préfixe depuis PHPMyAdmin :
RENAME table `wp_commentmeta` TO `wpnew_commentmeta`;
RENAME table `wp_comments` TO `wpnew_comments`;
RENAME table `wp_links` TO `wpnew_links`;
RENAME table `wp_options` TO `wpnew_options`;
RENAME table `wp_postmeta` TO `wpnew_postmeta`;
RENAME table `wp_posts` TO `wpnew_posts`;
RENAME table `wp_terms` TO `wpnew_terms`;
RENAME table `wp_termmeta` TO `wpnew_termmeta`;
RENAME table `wp_term_relationships` TO `wpnew_term_relationships`;
RENAME table `wp_term_taxonomy` TO `wpnew_term_taxonomy`;
RENAME table `wp_usermeta` TO `wpnew_usermeta`;
RENAME table `wp_users` TO `wpnew_users`;Pour que la version de WordPress sous laquelle tourne votre site disparaisse du code source de la page, ajoutez donc ce code :
remove_action('wp_head', 'wp_generator');Une fois cette fonction utilisée, la version de WordPress n’est plus affichée dans l’en-tête de votre site, ce qui peut aider à protéger votre site contre les hackers qui cherchent à utiliser des failles de sécurité connues.
D’autres articles ont déjà été publiés au sujet de la sécurité sur WordPress, notamment sur le fichier .htaccess précisément, c’est la raison pour laquelle cet article a été plus globaliste. Si vous voulez faire un checkup global de sécurité sur votre site WP, n’hésitez pas à mettre bout à bout ces articles.
