Par Séverine Beney
WordPress est très populaire et se développe de manière exponentielle dans le monde professionnel. Son énorme popularité ne le met cependant pas à l’abri d’attaques malveillantes. Ainsi, tout ce que l’on a patiemment construit peut assez rapidement être détruit.
Voici quelques astuces qui vous permettront de mieux protéger vos installations sous WordPress et qui rendront la tâche plus difficile à certaines personnes « indélicates » :
1) Mettre à jour WordPress ainsi que tous les plugins (extensions) qui y sont installés.
En effet, procéder à la mise à jour de votre version de WordPress et des extensions installées permettra de corriger d’éventuelles failles de sécurité constatées dans les versions précédentes. Négliger cette étape pourrait engendrer des dommages aisément évitables. En outre, ces mises à jour vous permettront de profiter des dernières innovations mises à votre disposition par l’équipe qui développe WordPress. Et comme cette équipe fait tout pour vous faciliter la vie, il suffit simplement de cliquer sur le lien apparaissant en haut de votre écran à chaque fois qu’une mise à jour a été validée.
Bien entendu, avant de faire une mise à jour, il est préférable de faire une sauvegarde de votre base de données (contenu, commentaires, etc.)
2) Sauvegarder régulièrement votre base de données
Comme indiqué ci-dessus, mieux vaut prendre toutes les précautions nécessaires, et ce, pas uniquement avant de faire une mise à jour. La sauvegarde fait partie des opérations indispensables. Pour cela, plusieurs solutions sont possibles :
Soit passer directement par votre espace d’hébergement (via PhpMyAdmin),
Soit utiliser une extension à installer dans WordPress.
La seconde solution est la plus commode et surtout, la moins difficile à comprendre. Plusieurs extensions permettant d’effectuer efficacement cette tâche sont à votre disposition, notamment « Wordpress Database Backup ».
Correctement configurée, cette extension vous permet de recevoir directement dans votre boîte mails une image de votre base de données. L’ envoi peut être journalier, hebdomadaire, etc. Vous pouvez ainsi stocker votre fichier sur votre disque dur et en cas de besoin, vous pourrez le restituer.
Les images ci-dessous vous explique comment procéder :
3) Masquer le numéro de la version de WordPress que vous utilisez
Cela peut paraître anodin comme action, mais elle a son utilité. En effet, cette petite manipulation complique singulièrement la tâche des indélicats qui auraient l’idée de pirater votre site en y injectant du code malveillant en les privant de cette information utile pour détecter les failles potentielles de votre installation WordPress.
Pour réaliser cette opération, vous pouvez utiliser une autre extension téléchargeable directement depuis votre espace d’administration WordPress. Il s’agit de « Hide WordPress Version ». Une simple recherche par mots-clés dans la rubrique « Extension » via le lien « Ajouter » vous permettra d’installer puis d’activer cette extension. Pour récupérer cette extension et l’installer, il vous suffit de procéder de la même manière que celle expliquée ci-dessus pour la recherche de l’extension WordPress Data Backup.
4) Modifier les attributs de vos fichiers sensibles
Pour cette étape, il est nécessaire de passer par Filezilla, donc de vous connecter à votre espace FTP pour pouvoir accéder aux dossiers et fichiers à protéger absolument.
Voyons d’abord ce que sont les « attributs ». Il s’agit en fait de droits alloués à chaque dossier ou fichier présent sur votre espace d’hébergement ou espace FTP : droits en lecture, en écriture et en exécution. C’est par ce biais que peuvent arriver les attaques les plus inattendues… En outre, cela vous permettra de bloquer les attaques de l’un des chevaux de Troie les plus redoutables : base64_decode(
La particularité de ce cheval de Troie réside, entre autres, dans le fait qu’il perturbe l’affichage de votre site ou blog. Quand vos images et vos textes se superposent, le résultat est assez… bizarre…
Voici comment procéder pour vous en prémunir :
5) Surveillez régulièrement l’intégrité de votre installation WordPress
Vous souhaitez connaître l’état de santé de votre installation ? « Sucuri » vous y aidera. Cet outil permet de scanner en ligne votre site Web ou votre blog. Il suffit simplement de saisir l’adresse du site ou blog concerné, de cliquer sur « Scan Website » et de le laisser travailler. Il vous informera immédiatement s’il trouve la moindre anomalie.
Le lien ici : http://sitecheck.sucuri.net/scanner/
Voilà, avec ces quelques petits conseils, vous arriverez à mieux protéger votre site ou votre blog fièrement propulsé par WordPress
Bonjour Séverine,
Merci pour ce rappel de conseils très utiles.
Je ne connaissais pas le conseil 4, et je ne comprends pas ce que je dois faire exactement pour modifier ces attributs.
Pourriez-vous nous le préciser ?
Merci !
Cordialement.
Annick.
Bonjour Annick et désolée pour ma réponse tardive.
En fait, pour changer les attributs (ou autorisations) d’un fichier ou d’un dossier dans l’espace FTP, vous avez besoin d’un logiciel comme Filezilla (comme indiqué dans mon article).
Ensuite, une fois que vous avez sélectionné le fichier à modifier, il faut faire un clic droit sur le nom de ce fichier et choisir l’option « Droits d’accès au fichier » et de suivre le procédé indiqué dans les captures-images. Une fois la modification des droits effectuée, vous pouvez valider et votre modification sera prise en compte.
Bien cordialement,
Séverine
Merci beaucoup pour ces conseils clairs et concrets. Cela sera très utile. Un piratage peut arriver plus vite qu’on le croit. Il est important de savoir comment se protéger.
Bonjour et Merci pour ces indications sécuritaires.
J’ai 2 préoccupations:
- Est-ce-que l’installation de toutes ces extensions (en plus de celles déjà installées) ne ralentirait pas l’affichage du blog?
- Est-ce seulement le fichier wp-config.php qui doit être mis en lecture seul?
Bonjour Patrx et merci à vous aussi.
Votre question est pertinente car elle soulève un autre sujet : le nombre de plugins à installer.
Pour ma part, quand je fais une installation, je propose toujours à mes clients une liste de plugins accompagnée des explications liées à chacun de ses plugins et j’insiste plus particulièrement sur la notion de sécurisation et de protection.
Les plugins visant à protéger une installation WordPress peuvent en effet poser quelques problèmes au niveau de la longueur d’affichage des pages ou articles mais cela peut être compensé par l’installation d’un plugin « cache » qui règle le problème. Donc, quelque part, ce problème finit par se neutraliser de lui-même une fois le plugin cache installé et correctement configuré.
Concernant le fichier wp-config, c’est le plus sensible. En revanche, rien ne vous empêche de créer, par exemple, des pages index.php vierges et d’en incorporer une dans chaque dossier important (pour ceux qui n’en possèdent pas). Cela empêche la lecture des répertoires. Une astuce efficace du côté sécurisation et protection.
Un autre article est en préparation qui viendra compléter celui-là.
Bien cordialement,
Séverine BENEY
Bonjour,
C’est fort utiles tous ces conseils ! Je viens d’appliquer les 3 derniers conseils à mes blogs. Merci beaucoup !
Emilie.