#1 – Sauvegarder intégralement et régulièrement votre site WordPress

Avant toute intervention, faites une sauvegarde régulière de votre site WordPress. Vous devez sauvegarder les éléments suivants :

• Votre base de données MySQL ;
• Votre compte FTP ;

Il se peut que votre hébergeur dispose d’un système de sauvegarde intégrale directement accessible via cPanel par exemple. Profitez-en pour obtenir un ZIP complet de votre site !

La plateforme d'administration de votre hébergeur peut disposer d'un outil de sauvegarde

Vous pouvez également avoir recours au système de sauvegarde dans le cloud proposé par Automattic – l’organisation en charge de WordPress, qui s’intitule VaultPress. Il permet de télécharger une sauvegarde intégrale ou partielle (plugins, thèmes, MySQL) à intervalles réguliers (plusieurs sauvegardes quotidiennes).

N’oubliez pas de mettre en place un système de sauvegarde automatique de votre base de données MySQL.

#2 – Tenez votre site WordPress à jour

85% des sites WordPress qui se font hackés sont des sites qui n’ont pas fait de mise à jour depuis plusieurs mois voire plusieurs années.

Chaque mise à jour du cœur de WordPress apporte des correctifs de sécurité. Il en va de même pour vos plugins !

Notez que WordPress bénéficie d’un système de mise à jour – et de réinstallation, entièrement automatisé. Il arrive qu’on me reporte régulièrement que cette fonctionnalité pose problème : la solution consiste à changer d’hébergeur. Je vous recommande celui que j’utilise depuis plusieurs années : Mavenhosting.

Je vous invite à visionner notre podcast pour savoir comment Effectuer une mise à jour de WordPress.

#3 – Utiliser des mots de passe sécurisés

Un compte administrateur disposant de privilèges élevés – que ce soit sur votre site WordPress ou votre ordinateur personnel, doit disposer d’un mot de passe d’au moins 8 caractères incluant :

1. Des chiffres ;
2. Des symboles spéciaux ;

Cela vous évitera de subir des attaques de hackers consistant à tester les mots du dictionnaire.

Évitez toute donnée faisant référence à votre vie personnelle comme une date de naissance, un numéro de département. De nos jours, la vie privée est très mal protégée sur Internet.

Bien entendu, utilisez des mots de passe uniques pour vos différents comptes. Un mot de passe pour les gouverner tous… et l’on voit comment ça finit (cf. Le Seigneur des Anneaux de Tolkien) !

#4 – Changer le préfixe de votre base de données

Lorsque vous procédez à l’installation de WordPress, le préfixe attribué à votre base MySQL est wp_

Si vous n’avez pas prêté attention à ce paramètre, il n’est pas trop tard. Pour ce faire, utilisez le plugin WP Security Scan.

#5 – Bloquer la navigation de vos dossiers WordPress

Par défaut, n’importe qui peut accéder au contenu de vos dossiers par défaut – comme /wp-content, via un simple navigateur.

Suivez ce podcast vidéo pour apprendre comment bloquer l’accès aux répertoires de votre installation de WordPress.

#6 – Supprimer le compte ‘admin’ par défaut

Par défaut, WordPress vous propose de créer un compte intitulé admin lors de l’installation. Si vous ne pensez pas à changer cet identifiant commun, un hacker n’aura plus qu’à trouver votre mot de passe.

Limitez les risques en visionnant ce podcast vidéo pour savoir comment supprimer le compte administrateur de WordPress.

#7 – Ajouter des clés de sécurité secrètes dans le fichier wp-config.php

Vérifiez que votre fichier de configuration wp-config.php – un fichier stratégique situé à la racine de votre installation WordPress contenant vos données de connexion à la base de données MySQL, contient bel et bien des clés de sécurité générées aléatoirement.

Pour en savoir plus, je vous recommande vivement de lire ce tutoriel vidéo pour configurer ces clés de sécurité.

#8 – Masquer la version de WordPress

Si vous affichez le code source de votre site WordPress, vous remarquerez la présence d’une balise meta indiquant la version de votre WordPress.

<meta name="generator" content="WordPress 3.0.5" />

Le problème réside dans le fait qu’un hacker pourra identifier facilement les failles relatives à la version que vous utilisez – d’où le conseil de mettre à jour votre installation WordPress.

Suivez le tutoriel intitulé Masquer le numéro de version de WordPress.

#9 – Protéger l’accès au wp-config.php via .htaccess

Ouvrez le fichier .htaccess situé à la racine de votre serveur FTP puis rajoutez la ligne suivante. Elle empêchera un hacker de récupérer votre identifiant et mot de passe en cas de problèmes avec PHP sur le serveur.

<FilesMatch ^wp-config.php$>
 deny from all
 </FilesMatch>

#10 – Bloquer les attaques de type « brute force »

Par défaut, il est possible de tester autant de couples identifiant / mot de passe que souhaitez pour se connecter à votre administration WordPress.

Installez donc le plugin Login LockDown pour restreindre le nombre de tentatives autorisées pour un certain laps de temps.

#11 – Utiliser un scanner de failles de sécurité

Le plugin WP Security Scan dispose d’outils très pratique pour identifier vos failles de sécurité. Il vous indiquera notamment le CHMOD de vos répertoires et le CHMOD conseillé. Si tout est vert, vos données sont en sécurité. Un point rouge, il vous faut intervenir avec un client FTP.

Ce plugin vous permet également de changer le préfixe de votre base de données WordPress et de générer des mots de passe costauds.

Un second plugin très complet est également disponible. Il s’agit de Better WP Security que vous pouvez télécharger ci-dessous :

N.B : toutefois, je vous mets en garde sur certaines actions qui pourraient causer des dommages sur votre site. Le fait de pouvoir modifier en quelques clics des paramètres sensibles peut constituer un risque pour les utilisateurs non initiés. Notez bien que ce plugin est aussi en version bêta. Les testeurs pourront donc s’amuser sur des installations de tests !

#12 – Masquer les erreurs de connexion

Lors du processus de connexion, WordPress affichera des messages d’erreurs explicites suite à une saisie. Il convient donc de masquer ces erreurs en intervenant dans le fichier functions.php de votre thème WordPress.

Il suffit ensuite de rajouter la ligne de code suivante :

add_filter('login_errors',create_function('$a', "return null;"));

Notez que cette sécurité est propre au thème utilisé et qu’il convient donc de la réitérer en cas de changement.

Une astuce tirée de l’excellent site WpRecipes.

#13 – Désactiver Windows Live Writer

Windows Live Writer est un logiciel Microsoft permettant de bloguer depuis une application de bureau. Or, pour des raisons de compatibilité, WordPress ajoute une ligne de code supplémentaire dans le header de votre blog. Inutile et source d’insécurité !

Consultez le tutoriel Désactiver Windows Live Writer sous WordPress.

#14 – Vérifiez la sécurité de votre hébergeur

Terminons par une astuce de sécurité d’ordre plus générale. Il est important que votre hébergeur vous propose des versions relativement récentes – on ne peut pas être à jour en permanence, de Apache, MySQL (base de données) et PHP.

Renseignez-vous auprès de votre hébergeur ou utilisez un fichier PHP pour obtenir ces informations cruciales.

Je vous recommande l’hébergeur Mavenhosting qui fait tourner WordPress Channel sans soucis depuis sa création !

14 astuces de sécurité pour WordPress est un bon début pour commencer ! En effet, il est possible d’aller bien plus loin pour améliorer le niveau de sécurité de votre site. Libre à vous de me proposer vos trouvailles et autres hacks via les commentaires !

Crédits photo : alexpgp

Rajoutez ensuite cette ligne de code :

<?php remove_action('wp_head', 'wp_generator'); ?>

Retournez à présent sur votre site WordPress puis faites un clic droit Code source de la page dans Firefox ou tout autre navigateur.

Utilisez le raccourci clavier Ctrl + F sous Windows ou Cmd + F sous MacOS X, pour rechercher le mot-clé generator.

Si la présence d’une ligne de code ressemblant à <meta name="generator" content="WordPress 3.0.5" /> persiste, ouvrez donc le fichier header.php de votre thème.

Supprimez la ligne de code suivante :

<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>” />

Sauvegardez le fichier puis actualisez votre site.

Le numéro de version ne devrait plus apparaître dans votre code source. Les hackers ne pourront plus disposer de cette information utile pour détecter les failles potentielles de votre installation WordPress.

Crédits photo : Jon McGovern

N.B : notez que cette astuce fonctionne pour n’importe quel serveur Apache et que le choix du CMS – WordPress en l’occurrence, n’a aucun rapport.

Cette astuce va nous permettre d’interdire le listage d’un répertoire et donc de son contenu présent sur votre serveur FTP.

Notons toutefois que certains dossiers sensibles comme /wp-content/themes et /wp-content/plugins ne sont pas accessible via l’URL car ils contiennent un fichier index.html. Un fichier par défaut que lit en premier le navigateur.

Le principal inconvénient de cette méthode est qu’il nous faut ajouter un tel fichier dans chaque nouveau dossier : une opération fastidieuse que nous allons contourner en ajoutant une ligne de code dans le fichier .htaccess.

A l’aide d’un client FTP comme FileZilla, Cyberduck ou Transmit, connectez-vous à la racine de votre installation de WordPress.

Éditez ensuite le fichier .htaccess qui est un fichier caché. Utilisez donc les fonctions de votre client FTP pour afficher le contenu masqué.

En fin de fichier, rajoutez la ligne de code suivante :

Options All -Indexes

Sauvegardez le tout puis testez le bon fonctionnement de l’opération dans un navigateur.

Vos répertoires ne sont désormais plus accessibles en lecture et leur contenu est donc protégé de tout téléchargement. Le visiteur obtient donc une erreur 404 lui informant qu’aucune page de ce type n’existe. Votre sécurité s’en trouve renforcée !

Crédits photo : Jeremy Cherfas

Ces clés secrètes auront pour effet de crypter les cookies utilisateur  et de renforcer ainsi le niveau de sécurité de votre mot de passe.

Voici la définition officielle fournie par le codex WordPress :

In simple terms, a secret key is a password with elements that make it harder to generate enough options to break through your security barriers. A password like « password » or « test » is simple and easily broken. A random, unpredictable password such as « 88a7da62429ba6ad3cb3c76a09641fc » takes years to come up with the right combination.

En français :

En termes simples, une clé secrète est un mot de passe avec des éléments qui le rendent plus dur pour traverser vos barrières de sécurité. Un mot de passe comme « mot de passe » ou le « essai » est simple et facile à casser. Un combinaison imprévisible tel « 88a7da62429ba6ad3cb3c76a09641fc » que prend plusieurs années pour le cracker.

Ces fameuses clés secrètes peuvent générées aléatoirement à partir de cette URL : http://api.wordpress.org/secret-key/1.1/

Il n’est absolument pas nécessaire de les retenir. Copiez-les simplement dans le fichier wp-config.php présent à la racine de votre serveur FTP – par défaut, en recherchant les lignes de code suivante :

Vous l’aurez compris, il s’agit là d’un point crucial en termes de sécurité lequel est malheureusement très peu connu des blogueurs sous WordPress.

Pour des compléments d’informations en termes de sécurité sous WordPress, je vous recommande la lecture de l’article Sécuriser votre blog WordPress avec WP Security Scan sur Protuts.

Cette astuce est un élément de sécurité à ne pas négliger et je vous recommande fortement de la mettre en œuvre.

Crédits photo : EletronicFrontierFoundation

Le message d’erreur que j’ai obtenu fut le suivant :

Error 406, Not Acceptable. An appropriate representation of the requested resource /wp-admin/post.php could not be found on this server.

Pour empêcher qu’un tel problème ne survienne à nouveau, il suffit d’éditer le fichier .htaccess situé à la racine de votre serveur.

Ouvrez donc votre client FTP favori – par exemple, FileZilla, puis modifiez le fichier en question en rajoutant les lignes suivantes :

<IfModule mod_security.c>
<Files post.php>
SecFilterEngine Off
SecFilterScanPOST Off
</Files>
</IfModule>

Si la ligne :

<IfModule mod_security.c>

est déjà présente dans votre .htaccess, placez le contenu des balises :

<Files>?</Files>

à l’intérieur de ce bloc.

Sauvegardez le fichier puis écrasez l’ancien par le nouveau. Retournez dans l’édition de votre article WordPress, le bug a disparu !

Cette erreur très gênante appartient désormais au passé !

Crédits photo : Syl2m