Wpcours

Des tuto, thèmes et plugins pour Wordpress

Accueil / wordpress / 10 étapes pour sécuriser votre blog Wordpress

10 étapes pour sécuriser votre blog WordPress

Màj le

PinLinkedIn

Se faire hacker peut arriver à n’importe qui son un avis préalable, pour limiter ce risque et être à l’abri des pirates, votre blog doit être  sécurisé au maximum. Ces 10 étapes vont vous permettre de protéger votre blog WordPress pour limiter les dégâts potentiels .

1. Tenez votre blog WordPress à jour

Garder votre blog WordPress à jour est la première et fondamentale étape à faire pour sécuriser son blog. C’est quelque chose qu’ il ne faut jamais manquer, chaque fois que WordPress affichera une mise à jour, cela signifie qu’ils ont fixé des bugs, ajoutés des fonctionnalités et surtout des fonctionnalités et des correctifs de sécurité.

securisez-wordpressIl est plus facile de mettre à jour votre blog à l’aide de l’option de mise à jour automatique. Assurez-vous que votre thème et vos plugins sont compatibles avec la dernière version de WordPress.

Si une mise à jour a été annoncée, alors qui’ elle n’est pas une mise à jour de sécurité, je vous suggère d’attendre  5-6 jours avant de mettre à jour votre site WordPress, afin d’attendre les réclamation des autres utilisateurs pour corriger des bugs.

2.Mettez à jour vos plugins

De même pour les plugins, ils doivent être mis à jour quand cela est possible. Un plugin vulnérables ou script injecté , peut causer le pirtage de votre site WordPress .Il faut toujours utiliser des plugins qui sont régulièrement mis à jour et avec un bon support, et toujours télécharger des plugins sur le site  officiels de WordPress .

3.Masquer le version de WordPress

En connaissant la version de votre blog WordPress, un pirate peut intervenir facilement surtout si vous avez encore une version ancienne non sécurisé de WordPress. Pour masquer cette information, ajoutez ce code à votre fichier fonction.php:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

4.Utilisez un mot de passe complexe

Il faut toujours choisir des mots de passe complexe avec des caractères spéciaux (% & * #) et n’oublier pas les changer tous les 5 ou 6 mois. Je voudrais également vous recommander ce plugin  Login Lockdown. Vous pouvez le télécharger en cliquant sur le lien précédent, le plugin va enregistrer toutes les adresses IP et l’heure des tentatives de connexion à votre interface d’admin. Après un certain nombre de tentatives d’un IP particulier, Il sera bloqué et « blacklisté ».

5.Vérifiez les permissions de vos fichiers WordPress

fichiers-permessionsAccédez au gestionnaire de fichier dans votre Cpanel ou en vous connectant à votre logiciel FTP et vérifiez l’attribut de vos fichiers (permissions). Bon si ils ont l’attribut 744 (lecture seule), si vous trouvez l’attribut 777, vous êtes chanceux car vous n’êtes pas encore piraté.

Vérifiez toutes les permissions de vos fichiers et surtout après la migration vers un nouveau hébergement. Vous pouvez également utiliser le plugin  File permissions and size check, pour vérifier cela automatiquement.

6.Supprimer le compte ‘admin’ par défaut

Par défaut, WordPress vous propose de créer un compte intitulé « admin » lors de l’installation. Si vous ne pensez pas à changer cet identifiant commun, un hacker n’aura plus qu’à trouver votre mot de passe.

Vous pouvez créer un nouvel utilisateur en lui offrant les droits d’accès d’un administrateur. Après création du nouvel  « admin », déconnectez-vous  puis ré-connectez avec ce nouveau compte, puis supprimez l’ancien utilisateur « admin ». N’oubliez pas d’associer les articles et page créer par l’ancien « admin »  au nouvel administrateur.

7.Cachez Le répertoire plugins

Le dossier / wp-content/plugins / ne doit pas être visible aux autres. Essayez de visiter ce dossier en vous connectant à votresite.com / wp-content/plugins /, si vous voyez une liste des dossiers et fichiers, il faut impérativement les cacher.

Pour masquer ces dossiers, vous devez créer un nouveau fichier .htaccess , et le  déposez dans votre répertoire « plugins ».

 # BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# Prevents directory listing
IndexIgnore *
# END WordPress

8.Changer le préfixe des tables WordPress

Lorsque vous procédez à l’installation de WordPress, le préfixe attribué automatiquement à votre basede données  MySQL est wp_

Si vous n’avez pas prêté attention à ce paramètre, il n’est pas trop tard. Pour ce faire, utilisez le plugin WP Security Scan.

lire aussi:

9.Protéger l’accès au fichier « wp-config.php » via « .htaccess »

Ouvrez le fichier .htaccess situé à la racine de votre serveur FTP puis rajoutez la ligne suivante. Elle empêchera un hacker de récupérer votre identifiant et mot de passe en cas de problèmes avec PHP sur le serveur.

<FilesMatch ^wp-config.php$>
 deny from all
 </FilesMatch>

10.Utiliser un scanner de failles de sécurité pour WordPress

wp-securite-scan

Le plugin WP Security Scan dispose d’outils très pratique pour identifier vos failles de sécurité. Il vous indiquera notamment le « CHMOD » de vos répertoires et le « CHMOD » conseillé. Si tout est vert, vos données sont en sécurité. Un point rouge, il vous faut intervenir avec un client FTP.

Ce plugin vous permet également de changer le préfixe de votre base de données WordPress et de générer des mots de passe costauds.

Et voila, je pense que ces étapes vont augmenter considérablement le degré de sécurité de votre blog.

Cela devrait aussi vous intéresser :

Interactions du lecteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *