Les webmasters le savent bien, gérer la sécurité d’un site WordPress, n’est pas toujours une mission de tout repos. Entre les différentes attaques et les floods/spams, pas toujours évident d’assurer la protection de ce dernier.

giphy-19

(Le webmaster dans son train-train quotidien…)

Cependant, la sécurité d’un site est un élément de grande importance aux yeux de Google. En effet, s’il doute de votre sécurité, il n’hésitera pas à en avertir l’internaute. Et quoi de pire qu’un message d’alerte  » Attention, ce site a été victime d’un piratage » ou « ce site n’est pas sécurisé » pour faire fuir les utilisateurs et potentiels consommateurs ? On ne vous apprend rien quand on vous dit que moins il y a de visite, moins il y aura de conversion, c’est logique…

C’est pour ça qu’on a décidé de vous livrer nos 12 actions a mettre en place pour assurer la sécurité de vos WordPress, on espère que cela vous sera utile.

Les 12 actions qu’il faut mettre en place pour assurer la sécurité de votre site

1) Choisir des mots de passe complexes associant lettres, chiffres et symboles
Il est important de choisir des mots de passe suffisamment complexes pour le BackOffice de votre WordPress, mais également pour la base de données et les accès FTP

2) Bloquer les attaques du type « Force Brute »

Cela consiste à Restreindre le nombre d’essais d’identification. Pour cela, on conseil l’utilisation du plugin : Login Lock Down

3) Masquer la version de wordpress

Pour cela on ajoute le bout de code suivant en bas du fichier functions.php du thème

remove_action(« wp_head », « wp_generator »);

4) Mettre en place des sauvegardes régulières et pour les fichiers et pour la base de données.

5) Faire des mises à jour régulières de toutes les extensions et du noyau de    wordpress

6) Ajouter les clefs de sécurité secrètes SALT

On peut les générer ici : https://api.wordpress.org/secret-key/1.1/salt/

ces clés créent des cookies qui protègent l’installation. Une fois créées, on les ajoute dans le fichier wp-config.php

7) Protection des fichiers sensibles notamment wp-config et le htaccess :

Pour protéger le fichier wp-config via le htaccess, on ajoute en fin du fichier:

<Files wp-config.php>

order allow,deny

deny from all

</Files>

Pour cacher les répertoires sensibles toujours via le htaccess:

Options All -Indexes

Enfin pour protéger le fichier htaccess lui-même:

<Files .htaccess>

order allow,deny

deny from all

</Files>

8) Changez le préfixe « wp_ » par défaut des tables de la base MYSQL.

Ce préfixe est connu de tous et peut être vulnérable en cas d’injection.

9) Masquez les erreurs de connexion

WordPress renvoie un message bien trop explicite en cas de problème de connexion, On ajoute la ligne suivante au fichier functions.php du thème, cela permet d’afficher un message d’erreur banalisé:

add_filter(‘login_errors’,create_function(‘$a’, « return null; »));

10) Désactiver l’éditeur de fichiers

On empêche l’édition des fichiers directement depuis WordPress, pour cela on ajoute simplement la ligne suivante à notre  functions.php:

define(‘DISALLOW_FILE_EDIT’,true);

11) Installer le plugin WP SECURITY SCAN  

Il scanne et détecte les failles de sécurité.

12) Supprimer le fichier README.HTML

Il est important de supprimer le fichier readme.html situé à la racine de WordPress car il affiche le numéro de version de WordPress.

/* focus automation */ /* focus automation */