Les 7 régles de sécurité d’un bon développeur WordPress

Il y a quelques points de sécurité essentiels à bien veiller sur WordPress (cela est également à faire pour une boutique Woocommerce ou Wp-Commerce ou bien encore Jigoshop). Il existe bien d’autres points pour parfaire la sécurité mais les plus indispensables sont ci-dessous :

1. Commencez par sécuriser votre fichier .htaccess

Pour cela copier-coller ce code dans votre fichier .htaccess :

<files .htaccess>
order allow,deny
deny from all
</files>

Pour modifier votre fichier .htaccess utilisez par exemple notpad++, le logiciel de tout développeur et intégrateur qui se respecte (il existe une multitude d’autres logiciels dont Dreamweaver par exemple qui fait très bien son travail également)

2. Amis développeurs, sécurisez le fichier wp-config.php de wordpress !

Le fichier config contient un grand nombre de données des plus sensibles pour votre site internet wordpress…

Jugez par vous même : les infos de votre base de données, le préfixe des tables (que vous aurez bien sûr changé au préalable) ainsi que les mots de passe (les clés), ainsi que certaines autres informations top secrètes. Se faire pirater son site est alors un jeu d’enfant et vous pourrez perdre toutes vos données… et perdre votre site internet chéri par des heures de travail…

Pour éviter cela, sur votre fichier .htaccess ajoutez ces quelques lignes :

<files wp-config.php>
order allow,deny
deny from all
</files>

Une chose de plus de faite !

3. Supprimez toute trace de la version de votre site WordPress

Certains hackers recherche directement le numéro de version wordpress. En effet, les vieux WordPress non mis à jour ont des failles bien connues d’un grand nombre de pirates autour du monde.

Dissimulons donc l’information.

Ouvrez le fichier function.php à la racine de votre thème et ajoutez ces deux lignes :

add_filter(‘get_the_generator_rss2’, ‘__return_false’);
add_filter(‘get_the_generator_atom’, ‘__return_false’);

et ajoutez également cela :

add_filter( ‘script_loader_src’, ‘baw_delete_script_version’, 15, 1 );
add_filter( ‘style_loader_src’, ‘baw_delete_script_version’, 15, 1 );
function baw_delete_script_version( $src ){
$parts = explode( ‘?’, $src );
$ver = ‘?ver=’ . md5( wp_salt( ‘nonce’ ) . $parts[1] );
return $parts[0] . $ver;
}

Plus de trace de version, un gros pourcentage des attaques est ainsi écarté.

Ce point abordé introduit logiquement le 4ème point : les mises à jour.

4. Mettre à jour WordPress et ses plugins

Pour contrer la plupart des attaques mettez à jour WordPress et toutes les extensions utilisées.

Il est conseillé de mettre à jour vos extensions les unes après les autres : en cas de bug de l’une d’entre elle vous pourrez facilement l’identifier. Alors que si vous mettez toutes les extensions d’un coup vous ne pourrez pas cibler le problème. Faites une sauvegarde totale avant la mise à jour (base de données et fichiers)

5. Limitez le nombre de tentatives de connexions à l’administration

J’utilise systématiquement le plugin Login Lockdown. Il vous permettra de limiter le nombre de connexion à votre administration. Il limitera les intrusions « brute force ». Elles consistent à tester plein de noms d’utilisateur et de tester les mots de passe les plus utilisés (admin, 123, mdp, etc) Vous pouvez configurer le nombre de tentative et l’exclusion en cas de dépassement.

6. Sauvegardez le plus régulièrement possible

– Pensez à sauvegarder très régulièrement vos fichiers à partir de votre serveur ftp, déplacez les sur un disque dur externe ou sur un cloud sécurisé.

– Sauvegardez votre base de données avec l’outil Exporter.

– Utilisez l’extension ultime : WordPress Duplicator ! Grâce à elle vous pourrez dupliquer, cloner, sauvegarder et transférer votre site wordpress, que cela soit votre base de données ou vos fichiers. Je ne saurais que vous conseiller cette extension.

7. Masquer les répertoires

Toujours dans le fichier .htaccess ajoutez cela :

Options All -Indexes

Sans quoi les internautes pourront accéder à vos dossiers en tapant directement l’adresse url des dossiers. Ils pourront ensuite naviguer dans l’arborescence du site internet. Pour toute autre question de sécurité veuillez me contacter. See you soon.