La sécurité de votre site WordPress est cruciale. Les attaques de hackers peuvent causer des dommages irréparables à votre entreprise, tels que la perte de données et la réputation en ligne. Heureusement, il existe des étapes simples que vous pouvez suivre pour protéger votre site contre les menaces potentielles.
Astuce n°1 – Vérifiez la sécurité de votre hébergeur
Lorsque vous choisissez un hébergement pour votre site WordPress, il est important de prendre en compte les critères de sécurité pour protéger efficacement votre site contre les attaques de hackers. Voici quelques critères de sécurité importants à considérer lors de votre choix d’hébergement :
- Sauvegarde automatique : assurez-vous que l’hébergeur propose une sauvegarde automatique de votre site, de manière à pouvoir restaurer rapidement vos données en cas de problème. Il est également important de vérifier la fréquence des sauvegardes et la possibilité de les télécharger. Ces copies de sauvegardes ne sont pas toujours rendues accessibles au client, elles sont utilisées en dernier recours en cas de défaillance de l’hébergeur ;
- Pare-feu : un pare-feu est un système de sécurité qui permet de bloquer les attaques malveillantes en filtrant les connexions entrantes et sortantes de votre site. Vérifiez si l’hébergeur propose un pare-feu intégré pour protéger votre site contre les attaques par déni de service (DoS) et les attaques par injection SQL ;
- Système de détection d’intrusion : un système de détection d’intrusion (IDS) est un outil qui surveille en permanence votre site pour détecter les activités malveillantes. Il peut vous alerter en cas de tentatives de connexion non autorisées, de modifications de fichiers ou de comportements suspects. Vérifiez si l’hébergeur propose un IDS pour protéger votre site contre les intrusions ;
- Support technique : il est important de disposer d’un support technique qualifié pour résoudre rapidement les problèmes de sécurité et vous assister en cas de besoin. Vérifiez les options de support proposées par l’hébergeur, comme le chat en ligne, le téléphone ou la messagerie électronique. Je recommande o2switch pour sa rapidité d’intervention remarquable y compris en période de congés ou de week-ends ;
- Emplacement des serveurs : l’emplacement des serveurs de l’hébergeur peut avoir une incidence sur la sécurité de votre site. Vérifiez si les serveurs sont situés dans un lieu sûr et si des mesures de sécurité supplémentaires sont mises en place pour protéger les données des utilisateurs ;
Ces quelques conseils devraient vous aider à identifier un hébergeur répondant à des critères de base en matière de cybersécurité.
Astuce n°2 – Sauvegarder intégralement et régulièrement votre site WordPress
Avant toute intervention sur votre site, assurez-vous de faire une sauvegarde complète et régulière de votre site WordPress. Cela inclut la sauvegarde de votre base de données MySQL, de vos fichiers accessibles via un compte FTP ou SFTP et de tous les éléments importants de votre site.
Certains hébergeurs, comme o2switch, disposent d’un système de sauvegarde intégré, alors n’hésitez pas à en profiter. Vous pouvez également utiliser des outils de sauvegarde automatique tels que VaultPress pour sauvegarder quotidiennement votre site.
Vous pouvez également avoir recours au système de sauvegarde dans le cloud proposé par Automattic – l’organisation en charge de WordPress, qui s’intitule VaultPress. Il permet de télécharger une sauvegarde intégrale ou partielle (plugins, thèmes, MySQL) à intervalles réguliers (plusieurs sauvegardes quotidiennes).
N’oubliez pas de mettre en place un système de sauvegarde automatique de votre base de données MySQL.
Vos données sont précieuses,
ne prenez pas le risque de tout perdre.
Confiez-nous votre maintenance !
Astuce n°3 – Tenez votre site WordPress à jour
La plupart des sites WordPress qui se font hacker sont des sites qui n’ont pas été mis à jour depuis plusieurs mois voire plusieurs années. Les mises à jour de WordPress apportent des correctifs de sécurité importants, alors assurez-vous de mettre à jour régulièrement votre site. Pensez également à mettre à jour vos extensions et thèmes pour protéger votre site contre les vulnérabilités potentielles.
Notez que WordPress bénéficie d’un système de mise à jour – et de réinstallation, entièrement automatisé. Il arrive qu’on me reporte régulièrement que cette fonctionnalité pose problème : la solution consiste alors à changer d’hébergeur.
Je vous invite à visionner notre podcast pour savoir comment Effectuer une mise à jour de WordPress.
Astuce n°4 – Utiliser des mots de passe sécurisés
Les mots de passe sont la première ligne de défense contre les attaques de hackers. Assurez-vous d’utiliser des mots de passe sécurisés pour tous les comptes administrateurs de votre site, en utilisant des chiffres, des symboles spéciaux et des lettres majuscules et minuscules. Évitez d’utiliser des informations personnelles comme une date de naissance ou un numéro de département. Utilisez également des mots de passe différents pour chaque compte pour protéger efficacement votre site.
Je vous recommande également d’utiliser des gestionnaires de mots de passe tels que 1Password ou Bitwarden. Ces outils vous simplifieront la vie et se base sur le principe suivant : un mot de passe à retenir pour déverrouiller votre coffre-fort chiffré. Ils sont généralement parfaitement intégrés sur vos navigateurs y compris ceux de vos smartphones pour faciliter la connexion à vos différents comptes en ligne.
Astuce n°5 – Utiliser une extension de sécurité
Il existe de nombreux plugins de sécurité disponibles pour WordPress, qui peuvent vous aider à protéger efficacement votre site contre les attaques de hackers. Ces plugins peuvent inclure des fonctionnalités telles que la détection de vulnérabilités, la protection contre les attaques par force brute et la surveillance en temps réel de votre site. Assurez-vous de choisir une extension de sécurité fiable et de la mettre à jour régulièrement pour protéger efficacement votre site.
Personnellement, je n’utilise pas de telles extensions pour les raisons suivantes :
- La plupart des fonctionnalités proposées par ces extensions sont déjà gérées par mon infrastructure d’hébergement et mes nombreuses optimisations de sécurité sur les fichiers appropriés de WordPress ;
- Elles sont à double tranchant : ces extensions verrouillent parfois anormalement un site qui n’est pas attaqué, ce qui créé plus de désagréments qu’autre chose. Elles doivent également faire l’objet de compatibilité avec d’autres extensions ce qui devient vite contre-productif ;
J’agis donc en connaissance de cause sur des environnements sécurisés et des projets sur-mesure. Si vous êtes un utilisateur débutant, je vous recommande Wordfence ou SecuPress qui conviendront parfaitement.
Astuce n°6 – Utiliser un certificat SSL
Un certificat SSL (Secure Socket Layer) est un moyen de sécuriser les communications entre un navigateur et un serveur web. Il permet de crypter les données sensibles transmises entre les deux, telles que les informations de paiement et les données personnelles des utilisateurs. Utiliser un certificat SSL sur votre site WordPress est un moyen efficace de protéger les données sensibles de vos utilisateurs et de renforcer la confiance en votre site.
La norme veut que toutes les installations WordPress soient protégées par un certificat SSL. Le passage au HTTPS est une étape délicate mais indispensable pour le bon fonctionnement de votre installation WordPress.
Astuce n°7 – Supprimer le compte ‘admin’ par défaut
Dans les anciennes versions de WordPress, l’identifiant admin correspondait au compte administrateur créé lors de l’installation. Il s’agit donc d’un identifiant de premier choix testé par les pirates lors des tentatives de piratage de type brute force.
Limitez les risques en visionnant ce podcast vidéo pour savoir comment supprimer le compte administrateur de WordPress si votre installation est ancienne.
Astuce n°8 – Limiter les tentatives de connexion
Les attaques par force brute consistent à utiliser des scripts pour deviner le mot de passe d’un compte administrateur en effectuant des milliers de tentatives de connexion. Pour protéger votre site contre ce type d’attaque, vous pouvez limiter le nombre de tentatives de connexion autorisées pour un compte donné. Si un utilisateur dépasse le nombre de tentatives autorisées, son compte sera automatiquement bloqué pour une période de temps définie.
Je recommande les extensions Limit Login Attempts Reloaded ou Login LockDown pour restreindre le nombre de tentatives autorisées pour un certain laps de temps.
Astuce n°9 – Masquer les erreurs de connexion
Lors du processus de connexion, WordPress affichera des messages d’erreurs explicites suite à une saisie. Il convient donc de masquer ces erreurs en intervenant dans le fichier functions.php de votre thème WordPress.
Il suffit ensuite de rajouter la ligne de code suivante :
Notez que cette sécurité est propre au thème utilisé et qu’il convient donc de la réitérer en cas de changement.
Astuce n°10 – Bloquer la navigation de vos dossiers WordPress
Par défaut, les dossiers de votre site WordPress peuvent être facilement accessibles aux visiteurs de votre site. Cependant, vous pouvez bloquer la navigation de ces dossiers en ajoutant une ligne de code dans le fichier .htaccess. Cela empêchera les visiteurs d’accéder à ces dossiers et protégera ainsi les données sensibles de votre site.
Suivez ce podcast vidéo pour apprendre comment bloquer l’accès aux répertoires de votre installation de WordPress.
Astuce n°11 – Désactiver l’éditeur de fichier
WordPress dispose d’un éditeur de fichiers directement embarqué dans l’administration. Il autorise ainsi la modification de fichiers de code de vos extensions et de vos thèmes. Cela signifie qu’un compte administration compromis pourra modifier des fichiers sans aucun trace visible et ce, sans accès direct au serveur via un compte FTP ou équivalent.
Il suffit pourtant d’ajouter une define dans le fichier de configuration wp-config.php pour désactiver une telle fonctionnalité. C’est aussi un bon moyen pour éviter les erreurs de saisie dans le code.
Ouvrez donc ce fichier à l’aide de votre éditeur de code favori et ajoutez cette ligne :
Astuce n°12 – Ajouter des clés de sécurité secrètes dans le fichier wp-config.php
Vérifiez que votre fichier de configuration wp-config.php – un fichier stratégique situé à la racine de votre installation WordPress contenant vos données de connexion à la base de données MySQL, contient bel et bien des clés de sécurité générées aléatoirement.
Pour en savoir plus, je vous recommande vivement de lire ce tutoriel vidéo pour configurer ces clés de sécurité.
Astuce n°13 – Protéger l’accès au wp-config.php via .htaccess
Ouvrez le fichier .htaccess situé à la racine de votre serveur FTP puis rajoutez la ligne suivante. Elle empêchera un hacker de récupérer votre identifiant et mot de passe en cas de problèmes avec PHP sur le serveur.
Astuce n°14 – Masquer la version de WordPress
Si vous affichez le code source de votre site WordPress, vous remarquerez la présence d’une balise meta indiquant la version de votre WordPress.
Le problème réside dans le fait qu’un hacker pourra identifier facilement les failles relatives à la version que vous utilisez – d’où le conseil de mettre à jour votre installation WordPress.
Suivez le tutoriel intitulé Masquer le numéro de version de WordPress.
Astuce n°15 – Bloquer l’accès au fichier readme.html
Les fichiers readme.html et license.txt peuvent révéler des informations sur la version de WordPress utilisée sur votre site. Utilisons le fichier .htaccess afin d’en bloquer l’accès :
Astuce n°16 – Désactiver Windows Live Writer
Windows Live Writer est un logiciel Microsoft permettant de bloguer depuis une application de bureau. Or, pour des raisons de compatibilité, WordPress ajoute une ligne de code supplémentaire dans le header de votre blog. Inutile et source d’insécurité !
Consultez le tutoriel Désactiver Windows Live Writer sous WordPress.
Astuce n°17 – Changer le préfixe de votre base de données
Cette astuce n’en est pas une : elle n’apporte rien en matière de sécurité. C’est un mythe propagé depuis longtemps par la sphère WordPress et je m’inclus dedans. Ce réglage n’a en réalité qu’une valeur cosmétique et ne limite en rien les piratages.
Si vous y tenez, voici malgré tout un tutoriel pour modifier le préfixe de votre base de données WordPress.
En suivant ces conseils de sécurité de base, vous pouvez protéger efficacement votre site WordPress contre les attaques de hackers et minimiser les risques de perte de données et de réputation en ligne.
Si avec toutes ces précautions, je me fais encore hacker, que puis-je faire? Que dois-je faire? Eh oui, mes fichiers sont encore malmenés, des fichiers sont déposés dans mes répertoires. Même ma base de données est attaquée.
Bonjour
Merci pour cet article très complet
Les sites worpress hébergé chez OVH rencontre un problème de compatibilité avec l extension de sécurité Acumix …
Je vous recommande d utiliser soit Itheme sécurité soit Wordfence afin de sécuriser facilement votre site WordPress.
Certain plugins WordPress comportent des failles de sécurité …et ces extensions sont parfois incompatibles entrent elle…
Si votre site wordpress plante suite à l installation d un de ces plugin pas de panique …Connectez vous via le ftp …. allez dans le dossier wp-content ….puis plugins et renommez l extension qui pose problème exemple :itheme security deviendra ithemesecurity1 et voila ca remarche !
Wordfence est une bonne extension de sécurité …vous etes averti par mail a la moindre anomalie (extension pas à jours tentative de connexion ….).
Je me suis retrouvé avec une cinquantaine d alertes en une seul journée les robots s éclatent …. !
Bonjour, Bonjour,
J’aimerai apporter deux petits ajouts vu que l’article est encore bien présent dans les moteurs de recherche.
Premièrement, le plug-in Better security est maintenant bien connu sous le nom de iTheme Security est offre une bonne protection du WordPress.
Le deuxième point en est un qui est trop souvent négligé. Trop souvent en tant qu’hébergeur de site web je vois des sites WordPress à jour infecter, car les gens négligent l’importance d’aussi mettre à jour leur tous les plug-ins de WordPress. Dans la majorité des sites WordPress infectés, le problème réside dans un plug-in mal protégé!
Un des outils simples et efficaces pour nettoyer un site WordPress infecter est de souscrire à un service payant comme SiteLock.
Merci de m’avoir lu et bonne journée!
La double authentification est à mon avis un très gros plus. Surtout que c’est très facile aujourd’hui grâce à Google Authenticator https://wordpress.org/plugins/google-authenticator/
Perso, j’utilise All In One WordPress Security and Firewall Plugin – Et il permet de faire la plupart des Fix proposés dans cet article, plus des options sympa pour bien sécuriser son WordPress 🙂
Ces plugins sont sujets… à des failles de sécurité et sont lourds. C’est toujours préférable d’appliquer des hacks.
Pas rancunier MavenHosting: ils continuent d’envoyer une reference a cet article a leurs clients (apparemment vous avez migre de serveur!) en cas de faille de securite. Vous avez une faille et vous etes chez Maven? Pas de probleme pour eux: ils vous suspendent le compte sans avertissement, affichent une superbe page ACCOUNT SUSPENDED… et vous le decouvrez vous-meme par hasard quelques temps apres. MavenHosting = experts en securite (ils l’ont tres recemment prouve!) et en service client.
Merci en tous cas pour votre article, qui m’a permis d’ameliorer la securisation de mon site WP (du moins je l’espere car j’ai ete victime de multiples intrusions ces derniers jours, avec des scripts back door malicieux un peu partout dans le site. J’ai d’ailleurs decouvert un excellent plugin qui m’a bien aide pour identifier tous ces fichiers: Anti-Malware and Brute-Force Security by ELI…). Bonne continuation!
🙂
En ce qui me concerne, j’ai mis mon site WordPress en ligne avant-hier et, depuis, je suis bombardé de commentaires indésirables et incompréhensibles ( que des séries de caractères sans logique aucune ).
Heureusement, j’avais coché l’option permettant la modération de chaque commentaire avant publication.
Cependant, c’est assez agaçant et ennuyeux de recevoir et de supprimer tous ces commentaires…
Une solution ? Merci !
Il faut configurer Akismet ! Un vieux tuto ici : https://wpchannel.com/configuration-plugin-anti-spam-akismet/
sinon il y aussi d’autres plugins comme celui là https://wordpress.org/plugins/cleantalk-spam-protect/
Bonjour Aurelien,
J’ai une question, j’ai securisé mon fichier wp-login.php avec un htaccess et htpassword. Ca marche super mais le probleme que j’ai c’est que mes articles proteges par mot de passe me demandent aussi cette identification, c’est embettant…
As tu deja eu ce cas, saurais tu m’aider ?
Merci d’avance
Johanna
Désolé de ma réponse tardive. Je te conseille de passer par un plugin comme Limit Login Attemps pour sécuriser le formulaire de connexion. 😉
Bonjour,
Il y a une option de sécurité que je ne trouve pas. Comment faire pour cacher le lien de téléchargement (d’un produit payant) du code source de la page web ?
Merci
UP
Je cherche également.
Bonjour,
je lis votre billet suite à celui-ci :
http://wpformation.com/securiser-wordpress-hidemywp/
Dans mon cas, je suis clairement opposé aux modules qui posent souvent des problème en cas de mise à jour du noyau wp.
J’essaye de trouver des techniques comme l’ajout de champs masqués.
Si vous avez des informations, je vous invite à me contacter.
Cordialement
Oui l’ajout de plugins n’est pas toujours top. Qu’entends-tu par ajout de champs masqués par rapport aux astuces évoquées ici ?
Bonjour,
A propos du #12 pour masquer les messages d’erreur de connexion, j’ai tenté d’ajouter au style.css de mon thème
#login_error { visibility: hidden !important!;} ou
#login_error { display:none !important;}
Mais ça ne fonctionne pas, et je ne comprends pas trop pourquoi.
C’est la méthode qu’utilise WP Security Scan pourtant.
Si quelqu’un peut m’expliquer pourquoi ça ne fonctionne pas….
Bonjour,
merci pour ces informations… même si le post date, il est pour moi toujours très intéressant.
J’avais utilisé le plugin Better WP Security… résultat : me suis fais virer par mon propre blog 🙁 … J’ai tout bêtement activé le plugin, mais pas paramétré de suite, je pensais le faire après… et du coup, comme je changeais des trucs dans l’éditeur du thème, je me suis faites virée ! Impossible de me reconnecter ! 🙁 J’ai du tout désinstallée et refaire le blog à neuf… sans Better WP Security cette fois ! 😉
J’ai essayé manuellement certaines petites techniques concernant l’admin, le readme.html par exemple.
Mais y’a une question que je me pose… elle est peut-être naïve… mais bon, je la pose quand même. A quoi ça sert de pirater le blog de quelqu’un ? à part faire “c” le monde… ? Est-ce que tous les blogs sont susceptibles d’être piratés, où juste ceux qui ont une vocation commerciale ? Ou des sites dans le genre comme le tien ou celui de Boite à Web ? Enfin, tout ça pour demander si le mien risque de rencontrer des problèmes ? Et si oui, pour quelles raisons ? ça serait quoi l’intérêt ? Suis-je donc obligée de me fournir un plugin de sécurité ?
Tout le monde peut se faire pirater. Le but ? Propager des idées malfaisantes et surtout gagner de l’argent.
Bonjour,
Depuis que j’ai installer le mise a jour de Better WP sécurity mon blog n’arrête pas de bloquer, j’ai sauter ce pluguing de ma base de donnée et j’ai renommé le htaccess et ça marche ( avec l’aide de l’assistance de mon
hébergeur )
Sauf aujourd’hui ça marche pas ! je ne peux pas accéder a mon blog !
J’ai ce message d’erreur: Warning: in_array() expects parameter 2 to be array, null given in /home/cheurfan/public_html/wp-content/plugins/bbpress/includes/common/functions.php on line 1199
Fatal error: Call to undefined function is_user_logged_in() in /home/cheurfan/public_html/wp-content/plugins/member-access/lib/MemberAccess.php on line 217
Si quelqu’un parmi vous peux m’aider SVP
Il faut faire très attention en utilisant de tels plugins… le plus simple pour essayer de solutionner consiste à renommer le dossier /wp-content/plugins pour tous les désactiver.
Merci pour votre réponse !
#4 : changer le préfixe _wp.
Il suffit juste de taper autre chose au clavier, c’est ça, et ça marche ?
Je peux mettre n’importe quoi, alors ? (dfds65g4gsd89, par exemple…)
Je pose la question, car, je me demande s’il n’y pas un risque que d’autres fichier présents dans le dossier wp ne reconnaissent pas cela.
Merci pour votre partage, en tout cas.
Chris.
#PureNgrgy
avecJetpack mieux vaut être prudent quand on installe des plugins 😉
Amicalement
tu veux dire que le jetpack de wp réagit mal parfois avec certains plugin?
JetPack intègre de nombreux modules et il est possible de rencontrer des incompatibilités avec d’autres scripts. C’est “normal”. 😉
Bonjour
Est-ce que le fait d’installer et d’activer le plugin Better WP Security qui est mis à jour récemment et semble très populaire peut causer des dommages si je maintiens les options par défaut? (cf ta mise en garde à son sujet dans ton article)
Car j’avais installé l’autre jour un plugin similaire (http://wordpress.org/extend/plugins/wordfence) et un peu après je ne savais même plus commenter en réponse à mes lecteurs. Une x désactivé tout OK.
Je cherche toutefois une solution de sécurité “simple” 🙂
Merci de ton feedback. Bon weekend
merci pour tous ces conseils. Avec les annonces de récentes attaques, j’essaye de me mettre à jour et ce n’est pas facile. En tout cas je viens de sauvegarder pas mal de bases de données et de faire des modifications pour éviter les attaques. J’espère que cela suffira. J’ai pas envie d’en faire trop pour ne pas aussi perdre du temps en connexions en tout genre.
J’ai testé, avec ce générateur : http://www.htaccesstools.com/htpasswd-generator/
Une fois que je met en ligne le fichier cela me bloc a moi même l’accès.
Bonjour,
Je suis tombée sur votre article et je me suis dit pourquoi je ne l´ai pas découvert avant…
En effet j´ai malheureusement paramétrer le plugin Better wp security et maintenant je n´ai plus accés à mon blog c´est a dire la page admin, j´ai ce message (désolé ce que vous cherchez n´est pas ici) super…J´ai essaye de supprimer le plugin en question dans ma base de donnee(phpmyadmin) chez mon hebergeur , en supprimant dans options (bwps lockouts et bwps log) je ne sais pas si s´etai vraiment ca mais bon..sans succès! que faire?
merci d´avance
Répondu sur l’autre article. 😉
bonjour
j’ai suivi votre tuto pour changer mon identifiant “admin” par un nouvel indentifiant mais en conservant mon adresse mail de mon compte”admin” ce que word press refuse de faire
comment procéder
merci
Hacker un blog ou site ne sert qu’à hacker tout simplement et rien d’autre
problème d’objectifs de sa vie. Construire et détruire sont contraires.
Merci beaucoup ,
Mais je viens de le lire, et de prendre des notes pendant une heure!, et je ne vois pas comment “passer à l’action?” ,sans danger pour mon blog qui est une partie de ma vie!.
Cpanel?,WHM?, Weekly?,Préfixe de la base?:où?,
Voilà ma question:traduction de tous ces mots inconnus , veuillez m’en excusez!
Cordialement vôtre.
Dan
Les astuces décrites ici sont plutôt réservés à des utilisateurs avancés. Je vous recommande la lecture des différents livres / DVD présentés sur ce site. 😉
Bonjour,et bonne année à tous, et merci!,
J’ai un blog Messenger puis wordpress, depuis 7 ans !.Je ne comprends rien à votre vocabulaire très “professionnel”(j’ai 72 ans , mais j’ai des connaissances en informatique essentielles); mais je sais que se lancer, sans être sure, dans des manips dangereuses , c’est bloquer son blog , à coup sûr.(Ex en pagaille).J’ai donné ,étant ,seule.
Pourriez -vous,( pour des néophytes de mon style), énoncer clairement , comment sécuriser mon blog( ce qui devrait être fait automatiquement ,non?,) j’en suis à plus de 43000 lecteurs (public en plus, car mes lecteurs n’ont pas de blog!!!, trop complexe pour eux, depuis la suppression de Messenger),déjà une erreur néfaste, pour la popularité de WP.
Mettre Security WordPress scan, est-ce supprimer automatiquement “Windows live writer” qui est pour moi , “écrivain” essentiel (mauvaise vue!)…et ne pas me permettre d’utiliser un lien avec mon blog (très pratique).
En gros que faire ?.J’ai posé la question un peu partout , et je vois que certains ont eu des problèmes …car pour vous suivre il faut savoir ce que signifie vos mots abrégés, et un minimum de pratique.Ecrire dans un blog et dialoguer , ne nécessite pas savoir manipuler et connaître les subtilités de l’informatique , je peux reformater , sauvegarder, installer et désinstaller des logiciels , je me suis adaptée à XP, Vista, et Windows 7..et voilà ,hélas , windows 8 !!!!.Je sais numériser et faire des retouches sur des diapositives de 40 ans (Moyen-orient en 2CV,et autres 15 ans…).je ne suis pas encore “gâteuse”.Mais je viens de faire tous les forums, et je reste muette!!!; de plus, les livres sur wordpress:nuls!;et ils osent mettre pour les débutants…(mdr).
Le support????: une connexion avec wordpress sur windows live( dans mon profil) a disparu, je recherche un plugin, on m’oriente sur WordPress.org (que je n’ai pas).cela fait un mois.
Installer un diaporama devient une épreuve insensée, de la musique n’en parlons pas, mettre des photos ou vidéos (censure).Alors que des blogs sont scandaleux de vulgarité, j’ai été harcelée , on m’a dit;”allez au commissariat”!!! (imaginez la tête de l’inspecteur, franchement?.)
Mémé ne réclame pas un site “3ème âge” , mais un site simple pour débutants , bien traduit.Avec des solutions claires, et répondant à des questions précises .
Que WordPress nous propose un antispam et malwares correct, même payant, mais efficace.sauvegarder 5 ans de billets n’est pas une mince affaire, “savez-vous?”.
Dan dite Laurency
Merci pour toutes ces infos, j’ avais un problème assez râlant : des pages de mon site (assez bien choisies pour ne pas s’ en apercevoir tout de suite) du style pages suivantes ou pages de recherche , pointaient vers un une page (en redirection ) Facebook de boutique d’ affilié… la bonne affaire ! Je croyais que j’ avais un plugin qui fonctionnais pas, étais piraté en fait…
J’ ai installé un plugin de sécurisation (WSD security) le scan a été révélateur, j’ étais vulnérable…depuis le plugin j’ ai changé la valeur du préfixe de la base de donnée et puis j’ ai suivi toute les procédures suivantes et notament le suivi du httacces c’ est super important ! Merci mille fois !!!
En plus j’ ai été canardé de 3 go de traffic sur le serveur, heureusement après 3 h d’ attente je suis de nouveau ok.
Si vous arrive, vous savez quoi faire maintenant !
Conseils en fait très important, tant pour le novice ou professionnel Merci
Bonne continuation
Bonjour,
Une bonne solution pour avoir des sauvegardes de WordPress récentes et automatisées (pour les utilisateurs qui ajoutent fréquemment du nouveau contenu sur leur site, blogueurs par exemple) : Utiliser Dropbox et le plugin WordPress Backup to Dropbox.
Ça permet de dormir sur ses deux oreilles 🙂
Il ne faut PAS supprimer le fichier readme.html car il revient à chaque mise à jour automatique, un jour, vous oublierez…
Utilisez plutôt la technique #9 de cet article et appluquez là à ce fichier, c’est bien plus logique !
Bonne journée
Bonjour,
Je connaissais Secure WP. Je l’ai souvent utilisé mais à l’utilisation je préfère WP Security Scan et sa panoplie de systèmes de sécurité plus performants à mon goût. Qui plus est avec ce plugin, vous recevez des rapports automatisés dès qu’une erreur ou un changement dans vos fichiers est détectée sur le serveur. C’est très efficace.
J’ai aussi installé Login Lock sur certains WP. Je suis d’ailleurs surpris par le nombre croissant d’IP que ce plugin bloque à chaque essai infructueux de connexion à /wp-admin/
Vous vous embêter vraiment, vous pouvez faire tous ça avec un plugin :
– Installer le plugin Secure WordPress
Le plugin propose d’activer des fonctions pour sécuriser au maximum votre blog :
– Désactiver la suggestion et le message d’erreur à la connection de WordPress.
– Supprimer la version WordPress dans toutes les zones, y compris le flux, mais pas dans la partie admin.
– Supprimer la version de WordPress dans la zone d’administration pour les non-administrateurs. Afficher la version de WordPress uniquement aux utilisateurs avec les droits d’édition de vos plugins.
– Créer le fichier index.php dans les répertoires /plugins/ et/themes/ pour éviter de montrer votre liste de répertoire.
– Supprimer le lien de Really Simple Discovery dans wp_head du frontend.
– Supprimer la mise à jour du Noyau WordPress pour tous les utilisateurs sauf l’administrateur.
– Supprimer le lien de Windows Live Writer dans wp_head du frontend.
– Supprimer la mise à jour des plugins et du template pour tous les utilisateurs sauf l’administrateur.
Voila, j’espère que ça vous a aider
Une astuce de sécu de trop ?
Bonjour,
J’ai suivi pas à pas vos différentes astuces après m’être fait hacker 3 fois mon site. Mais en faisant l’astuce 12 sur le fichier Functions.php, cela a planté direct mon site. Si vous vous connectez dessus vous verrez maintenant la ligne suivante :
Fatal error: Call to undefined function wp_suspend_cache_addition() in /home/resea53/public_html/wp-includes/cache.php on line 288
J’ai supprimé l’astuce, rechargé le fichier Functions.php, mais rien ne change.
Que dois-je faire ?
Merci
Bon j’ai remis la sauvegarde…
Merci pour toutes ces remarques et conseils. Je vais me renseigner d’avantage sur Suhosin, c’est en effet une solution qui me semble efficace. Quand je disais beaucoup de mes sites, en fait simplement deux dont un où il est clair que la sécurité du serveur est à mettre en cause. J’ai exagéré un peu mes propos, je sais par expérience que WP n’a rien d’une passoire.
Ma machine risque difficilement d’être infectée mais aucun système n’est infaillible et ton propos éclaire une interrogation qui m’est venue récemment : des malwares peuvent-ils m’espionner depuis un poste infecté ? il semble que oui.
Merci encore pour ta réponse.
Oui, Eloka, certains logiciels malveillants visent spécifiquement FileZilla. En effet, ce client FTP (notamment) stocke en clair les informations de connexion, ou tout du moins il peut exporter cette liste sur demande. Ce n’est pas une faille en tant que telle du logiciel, l’équipe considérant que c’est au système d’exploitation de gérer sa propre sécurité.
Cependant, un confrère, pourtant un professionnel d’Internet, a installé à son insu un malware ayant dérobé ses identifiants de connexion en cliquant sur un simple PDF infecté (via une faille dite « zero day », imparable malgré son anti-virus). Aussi, comme tu le remarques, il n’existe pas de logiciel imparable. De toutes façons, si tu sécurises la porte, le pirate pourra toujours passer par la fenêtre, la cave, le grenier, voire défoncer le mur. Mieux vaut donc être plus sécurisé que le voisin. 😉 Dans le cas de mon confrère, l’ensemble des sites accessibles en FTP (mais curieusement aucun de ceux non accessibles en FTP, mais accessibles en SFTP, comme quoi le script du pirate n’était pas très évolué) avait été infectée par l’ajout d’un code JavaScript dirigeant automatiquement les visiteurs de ses sites vers un autre logiciel malveillant installé automatiquement (via une autre faille « zero day »). Charmant.
Pour en revenir à FileZilla, il fonctionne de même sous Windows que sous Linux ou OS X. Or, ce dernier du moins dispose d’un Trousseau d’accès permettant aux applications qui y font appel de chiffrer tous les mots de passes par une passphrase (mot de passe général) censée un logiciel malveillant de dérober les accès à l’insu de l’utilisateur. FileZilla ne l’exploite pas.
Merci Martin d’avoir apporté ton expérience ! 😎
Bonjour,
C’est un article fort intéressant et j’applique certaines recommandations que vous citez sur la plupart de mes blogs. Évoluant dans un domaine fortement concurrentiel, mes sites sont souvent attaqués. Heureusement je veille à avoir des versions à jour, un .htaccess protégé et des mots de passe introuvables.
Cependant, hier encore, une injection SQL détectée dans ma base malgré la présence de WP Security Scan et de Bad Behavior.
Alors, existe t-il vraiment une solution efficace ou tout ça n’est-il que de la poudre aux yeux pour nous empêcher de voir la réalité en face : aucun système (même ultra sécurisé) n’est infaillible ?
@Eloka : Si malgré tous les conseils prodigués sur cette page, tu as des défauts de sécurités rencontrés dans ta base de données, c’est peut-être que le problème vient d’ailleurs que de WordPress. Je pense notamment à ton ordinateur local hacké d’une manière ou d’une autre qui auraient permis à un tiers de récupérer la liste des mots de passes FileZilla, par exemple, que tu utilises, donc les accès à l’ensemble de tes sites, puis, par ricochet, l’injection de ce que ce tiers souhaite dans la base de données. Bon, c’est une piste peu probable, certes, mais ça reste possible.
Si un autre de tes sites passe par le même utilisateur que WordPress, il peut lire dans l’arborescence de ton site WordPress, et donc lire sa configuration SQL. C’est aussi une vois à étudier.
Enfin, depuis Debian Squeeze 6.0, le PHP 5 est par défaut livré avec Suhosin, une extension qui barre la route à la plupart des utilisations étonnantes et douteuses utilisées parfois par les hackers et autres pirates pour prendre le contrôle d’un site à distance. Cette extension est disponible aussi par ailleurs. Cela vaut le coup de l’installer, la configurer au besoin, et enfin l’exploiter sur l’ensemble de ses sites.
Evidemment, des sauvegardes régulières sur une machine distante que la machine d’origine ne peut effacer son toujours indispensables, tout comme des procédures de recouvrement des données régulièrement mises à l’épreuve. Pour cela, VaultPress peut être utile.
Hello ! Super article Aurélien ! Je suis ok sur le fond avec le premier avis de Martin : les 3 premiers points que tu mentionnes ne peuvent pas être négligés. Cependant, certaines autres propositions sont loin d’être simplement “complémentaires”. Je suis chargé de projet en cybercriminalité bancaire et je peux te dire que j’ai vu pas mal de sites piratés pourtant bien up-to-date mais victimes de problèmes de conf (au niveau des serveurs mutualisés de certains hébergeurs, paramètre non maitrisable). En gros, blinder les répertoires critiques en htaccess est un minimum vital. Masquer la version et “limiter” le bruteforcing sont aussi utiles.
@Philippe : Reprenons, si tu le veux bien, les points des indispensables mentionnée dans l’article. Note que j’aurais bien fait une liste numérotée (<ol>) ou pas (<ul>) dans ce commentaire, mais comme une récente mise-à-jour de WordPress quelque peu paranoïaque empêche leur utilisation dans les commentaires (cf. kses), je vais me contenter de la balise <b>. Et tant pis pour la facilité de lecture. (C’était un préambule dont le sens caché est : « à force de sécuriser tout et n’importe quoi, on limite inutilement des fonctions utiles et qui ne représentaient pourtant aucun danger, par pure paranoïa ».)
#1 – Sauvegarder intégralement et régulièrement votre site WordPress
Oui, c’est indispensable.
En informatique, la sauvegarde est indispensable, en particulier pour des données en ligne. À ne pas négliger : récupérer la sauvegarde faite sur un espace de stockage inaccessible au site un fois la sauvegarde faite. Cela évitera qu’un pirate qui prendrait le contrôle du site en profite pour effacer les sauvegardes ou les infecter d’on ne sait quoi.
#2 – Tenez votre site WordPress à jour
Oui, c’est indispensable.
Comme indiqué précédemment, maintenir à jour est d’autant plus important que le correctif indique la faille et la manière de l’exploiter des précédentes versions. Une fois une faille connue et corrigée, il convient de mettre à jour au plus vite, surtout que le code de WordPress est open source, donc publiquement accessible, et donc accessible aussi aux individus malveillants.
#3 – Utiliser des mots de passe sécurisés
Oui, c’est indispensable.
Minuscules, majuscules, chiffres, signes de ponctuation. Les mots de passe par défaut de WordPress sont sécurisés. Bien veiller à les choisir longs.
En revanche, la transmission des mots de passes n’est pas sécurisée, que ce soit par email ou par http. Il serait donc intéressant d’éviter l’envoi des mots de passes par mail, et en profiter pour utiliser un certificat SSL sur l’interface d’administration. Personnellement, j’y viens petit à petit sur mes sites WordPress, en utilisant des certificats SSL émis par une autorité de certification. Ce n’est sans doute pas indispensable, mais largement plus prudent.
Un gros défaut des mots de passes sécurisés : on ne peut pas les deviner, certes, mais ils sont aussi de plus en plus difficiles à mémoriser. Il en résulte que l’on crée des failles ailleurs, notamment en postant un Post-it sur l’écran de l’ordinateur visible par tous. Ou que l’on utilise un logiciel qui centralise des mots de passes (comme le navigateur, les mots de passes sauvegardés par Firefox sont stockés et accessibles en clair).
Ne pas omettre de modifier le fichier « wp-config.php » manuellement pour y remplir les éléments aléatoires privés permettant notamment de créer les mots de passes aléatoires par WordPress. Une faille corrigée en 2009 (?) a dévoilé la possibilité de deviner, pour un pirate, le mot de passe généré via le générateur de nombres pseudo-aléatoires de WordPress. Ce mécanisme vise notamment à rendre le générateur de nombres pseudo-aléatoires plus aléatoire et imprévisible qu’il ne l’était.
#4 – Changer le préfixe de votre base de données
Non, ce n’est pas indispensable.
Renommer les tables préfixées par « wp_ » en « xx_ » n’améliore en rien la sécurité en soit.
Pour que cela soit efficace, il faudrait empêcher le listing des tables à l’utilisateur qui a accès à la BDD. Or, la plupart des hébergeurs ne permettent pas, ou du moins pas aisément, une telle fonction. Qui plus est, il faudrait limiter les attaques par force brute sur la BDD, tout comme l’accès à la BDD depuis certaines IP, sans oublier le sécuriser les accès (SSL ?), etc.
Bref, à moins de mettre la barre beaucoup plus haute, en matière de sécurité d’accès à la BDD, cette action seule semble purement cosmétique.
#5 – Bloquer la navigation de vos dossiers WordPress
Non, ce n’est pas indispensable.
C’est même impossible à appliquer ! Empêcher l’accès à wp-content empêche… l’accès aux thèmes et aux médias ! Le site devient inutilisable !
Par défaut, « wp-content » comporte un fichier « index.php » vide qui empêchent le listing du dossiers si jamais le serveur web permettait de les lister.
En outre, on protège quoi ? Le listing de fichiers dont la liste est déjà publiquement disponible ? Rassurez-moi, personne n’upload sur son blog public des fichiers confidentiels dans l’espoir que personne ne les verra ? Dans ce cas, il faudrait avant toute chose modifier ce comportement.
#6 – Supprimer le compte ‘admin’ par défaut
Non, ce n’est pas indispensable.
La liste des utilisateurs d’un blog WordPress est habituellement exposée par l’habillage du site. Pour vérifier si un utilisateur « tartanpion » existe, il suffit de vérifier la présence de la page « example.com/author/tartanpion », et la quasi-totalité des habillages vous diront si celui-ci existe ou non.
Ensuite, la plupart des blogueurs bloguent avec le compte administrateur, qu’il se nomme « admin » ou pas. Ce nom est donc dévoilé dans chacun des articles et flux RSS.
Enfin, plutôt que de changer le nom de cet utilisateur, il suffit, pour une protection plus intéressante, d’allonger d’autant le mot de passe. Le mot de passe, lui, n’est pas public.
#7 – Ajouter des clés de sécurité secrètes dans le fichier wp-config.php
Ça dépend.
Ce n’est pas indispensable, mais pour le prix que ça coûte (10 secondes ?), mieux vaut le faire. Cela protège notamment des attaques visant à réinitialiser un mot de passe WordPress à l’insu de l’utilisateur.
À compléter par un accès SSL à l’espace d’administration, surtout quand on utilise une connexion Internet sans fil, en particulier dans des endroits inconnus (hôtel, bar, etc.)
#8 – Masquer la version de WordPress
Non, ce n’est pas indispensable.
Comme indiqué précédemment, en suivant les conseils de mise-à-jour régulière, soit c’est le dernier WordPress en date, soit la version précédente. La version est donc déjà dévoilée de fait.
#9 – Protéger l’accès au wp-config.php via .htaccess
Non, ce n’est pas indispensable.
Cette protection n’est utile que dans le cas où l’hébergement web serait défaillant, et plutôt que d’exécuter le fichier PHP, en dévoilerait le contenu sous la forme d’un fichier texte, et donnerait ainsi de fait les accès à la BDD. Si l’on peut se connecter à la BDD depuis n’importe où, alors oui, cela pose problème : un tiers peut réinitialiser le mot de passe ou ajouter un utilisateur, bref, faire ce qu’il veut avec le site. Encore faudrait-il qu’il y ait un défaut préalable sur le serveur web. Mais si le serveur web a un tel défaut, le « .htaccess » ne suffira peut-être pas non plus.
Par défaut, lorsque WordPress ne trouve pas le fichier « wp-config.php » à son emplacement habituel, il va chercher dans le dossier parent. Il est donc plus pertinent de l’y placer, d’autant que lorsque WordPress est installé à la racine du site (cas le plus fréquent), le dossier parent n’est pas accessible depuis le web, et donc le fichier est mieux protégé. Il y a donc plus simple et plus sécurisé comme conseil équivalent.
#10 – Bloquer les attaques de type « brute force »
Non, ce n’est pas indispensable.
Si le mot de passe est sécurisé, alors les attaques par la force brute mettront des milliers ou millions d’années à réussir et ce même sur le serveur le plus rapide du monde et la bande passante la plus instantanée possible, le tout en tenant compte de l’évolution technologique exponentielle que nous connaissons depuis 40 ans au moins dans le domaine informatique.
Bref, on se rend compte du problème avant que celui-ci n’en soit un par d’autres moyens (comme l’allongement exagéré des fichiers logs du serveur web).
#11 – Utiliser un scanner de failles de sécurité
Non, ce n’est pas indispensable.
Car cela implique que WordPress à la base soit non sécurisé, ou que les thèmes ou extensions ne le soient pas. Mais dans ce cas, scanner après les avoir installés semble déjà tard.
Conclusion
Ce que je veux dire ici, c’est que considérer ces conseils comme indispensables semble laisser croire que WordPress n’est pas un CMS sécurisé, et qu’il est au contraire une passoire aux failles. Or, ce n’est pas le cas.
Les conseils ci-dessus ne sont pas dénués de sens et améliorent la sécurité (ou du moins ne la baissent pas). Mais à part quelques conseils de bon sens, notamment pour ce qui est de la sécurité des mots de passes, les autres ne sont pas indispensables. Au mieux, ils sont utiles, au pire, superflus, complexifiant le CMS inutilement, le rendant plus fragile lors des évolutions futures, et n’apportant pas de plus value notable en termes de sécurité .
Hello, concernant le #1 il faut aussi faire attention à ce que les sauvegardes ne soient pas elles-mêmes infectées.
C’est au moment où on restaure qu’on s’aperçoit que la version n-6 ou plus était déjà plombée par le(s) hacker(s).
Il faut donc bien prendre choisir son hébergeur et s’assurer qu’il soit secure 🙂
Merci je sais qu’il est possible d’afficher dans le code source, mais quelle est l’endroit ou le supprimer afin qu’il ne s’affiche plus ! 😉
Arf, je n’avais pas remarqué qu’il manquait le lien vers le tutoriel. Erreur corrigée dans la liste !
Merci ! 😉
La méthode ne fonctionne pas avec mon thème.
Et la ligne n’apparait pas dans le header.. ? Bizarre
Bonjour,
Je viens de jeter un oeil sur le code source de ce blog et je viens de voir qu’il reste la balise link rel=”wlwmanifest à supprimer 🙂
Oui, et ce n’est pas la seule “faille”. 🙂
désolée de vous embêter, mais il me note “The file .htaccess does not exist in wp-admin/.” or mon fichier .htacess à toujours était a la source.
Merci pour vos conseils
Pour quelle astuce ?
Comme vous m’avez dit qu’il y avait pas de danger malgré qu’il est pas mis à jour, j’ai installé wp security scan, et il me sort donc cette erreur. Que dois je faire ?
Merci
Normalement le plugin permet d’effectuer cette manipulation de façon automatique.
il ne le fait pas, ca reste toujours en rouge
Bonjour et merci pour cette piqure de rappel, une petite question SVP :
Ou est situé la meta :
Dans le header.php ou index.php, je n’ai pas réussi à mettre la main dessus ?
Merci
La meta generator ? Tu peux le voir dans le code source du navigateur.
S’il elle n’y est pas, la version est déjà masquée. 🙂
Bonjour,
Encore de nombreuses astuces merci 🙂 Puis-je poser une question qui peut paraître stupide ? A quoi ça leur sert de “hacker” un blog ? C’est quoi le risque ?
Une novice utopiste…
Je ne sais pas…
Ma question est certe candide mais tout à fait sérieuse 🙂
Soit un hacker peut piraté un site pour en extraire des données potentiellement intéressantes, soit il veut atteindre plusieurs centaines de sites à la fois en agissant sur des serveurs mutualisés. Il peut donc viser un hébergeur.
Après, c’est comme le spam… je ne vois pas bien ce qu’ils en tirent.
Derrière le spam il existe une vraie réalité économique !
Quand on envoi 1 000 000 d’emails de spam (scam) avec un lien affilié (par exemple) qui rapporte 0,30€ par clic. En admettant que seulement 10% des destinataires cliquent sur le lien en question, ça rapporte tout simplement 30 000€ 🙂
Voici une raison (parmi d’autres) qui explique pourquoi le spam existe 🙂
ok merci pour vos précieux conseils
Bonjour,
j’étais intéressé par votre article en revanche quand vous dites qu’il faut utiliser “WP Security Scan”, il est plus à jour depuis 113 jours, pour un plugin de sécurité, je trouve que c’est un peu dangereux, mais je me trompe peut être.
En tout cas j’ai pas osé le télécharger.
En passant, un grand merci pour vos conseils qui me sont bien utiles !
J’ai effectivement remarqué avant de le proposer que ce plugin n’avait pas été mis à jour depuis longtemps.
Toutefois, il fonctionne très bien de mon côté et reste l’un des plus connus.
Merci à vous ! 😎
Bonjour,
J’utilise auss wp-security-scan, mais je ne l’active que le temps d’effectuer les vérifications qu’il propose. Après, je le désactive. (Et je complète ses informations par d’autres, comme celles présentées ici).
Pour cacher la version de WP utilisée, il faut aussi enlever le fichier readme.html qui se trouve à la base du site. C’est un fichier créé par l’installation de WP et il faut l’enlever manuellement.
Ce qui n’est pas le cas pour ce site, et on peut savoir la version de WP utilisée en allant à l’url :
https://wpchannel.com/readme.html
😉
Oui je l’avais oubliée ce fichier ! 😀
Encore présent :p
(moi aussi j’oublie tout le temps de le virer)
C’est amusant, il est toujours présent, et j’oublie également de la supprimer à chaque mise à jour de WP !
Bon passage en 3.5.1, tu as une version de retard 🙂
Afin d’éviter d’avoir à supprimer le fichier readme.html à chaque update de version, on peut simplement le bloquer via le .htaccess (comme pour le wp-config.php)
deny from all
🙂
?
deny from all
Hum je ne pense pas…
Je me suis embrouillée avec le code du présent site:
“Vous devez remplacez les “” respectivement par < et >”
Je veux dire il devrait y avoir ça:
deny from all
Puisque c’est une expression régulière.
Je ne vais pas y arriver : vous devriez ajouter des boutons d’éditions pour les commentaires. ;D
<FilesMatch ^wp-config\.php$>
deny from all
</FilesMatch>
Bonjour,
Je voudrais savoir si dans ce bloc de texte:
******
<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>
******
Il ne manquerait pas un “” (sans les guillemets), juste avant le “.” dans “^wp-config.php$” ?
pour que ça ressemble à ceci ?
*******************************
<FilesMatch ^wp-config.php$>
deny from all
</FilesMatch>
*******************************
Merci pour vos tutoriels !
Il y a des conseils de bon sens, et des conseils inutiles dans une liste qui prétend fournir des astuces indispensables. Je blogue depuis 2004, sur des sites de faible ou moyenne impotance, spammés à outrance, comme tous les sites, bref, à la portée de n’importe quel pirate de la planète. Et pourtant, je n’ai pas appliqué la moitié de ces indispensables décrits ici.
Ce qui est indispensable, c’est, avant toute chose, un WordPress à jour, car les correctifs dévoilent de fait les failles des versions précédentes, et permettent donc aux pirates de prendre la main sur des sites aux versions obsolètes. Ensuite vient un mot de passe sécurisé, car il serait dommage de se faire pirater son site parce qu’on a utilisé password en guise de mot de passe, ou le prénom de sa petite amie, ou sa date de naissance, voire son adresse postale, très en vogue auprès des robots hackeurs automatiques. Enfin vient la sauvegarde régulière (avec une procédure de restauration, souvent négligée), car en dehors des actes de piratage, on n’est pas à l’abri d’une panne matérielle, logicielle ou d’une erreur qui peuvent n’avoir aucun rapport avec le site lui-même et son CMS. Tout le reste est superflu.
Certes, la sécurité par l’obscurité peut s’avérer utile dans certains cas, mais certainement pas systématiquement. Par exemple, je ne comprends pas en quoi, sachant que l’on met à jour son WordPress régulièrement, on doit masquer le numéro de version. Puisqu’il est à jour, c’est nécessairement le dernier ou — le temps de mettre à jour — celui qui précède. Le masquer n’est donc plus indispensable, mais complémentaire. Mêmes remarques pour la suite.
Merci de cet avis constructif.
Je suis d’accord sur le fait que le mot indispensable peut paraître un tantinet racoleur mais on a un concentré d’astuces intéressantes.
Après, chacun agit en fonction de ses besoins, de ses connaissances et de son expérience. 🙂
Bonjour,
Merci pour ces conseils.
De mon côté, masquer le numéro de version rentre dans un processus en défense en profondeur. Donc c’est une bonne pratique.
Par contre ne pas oublier également d’effacer le fichier readme.html qui fuite le numéro de version wordpress.
😉
Idem. Ainsi que le fichier .txt placé lui aussi à la racine du site.