Voici un petit article, inspiré de celui publié par Smashing Magazine, pour sécuriser simplement et de manière efficace son blog tournant sous Wordpress :




Changer le nom du répertoire de base de Wordpress

Depuis la version 2.6 de Wordpress, il est possible de changer chemin du dossier wp-content, malheureusement, il n’est pas encore possible de bénéficier de cette fonctionnalité pour le dossier wp-admin


Et pourtant ! Il existe en effet une petite astuce qui permet de choisir le chemin vers wp-admin :

Il suffit de mettre tous les fichiers et dossiers de Wordpress dans un dossier de votre choix, puis de changer le chemin du blog dans la page de configuration comme cela :



Une telle configuration a plusieurs avantages :

- Les fichiers Wordpress ne se retrouvent plus à la racine de votre site, c’est donc moins le bordel sur votre hébergement…

- Plusieurs instances de Wordpress peuvent être installées en même temps, avec chacune leurs spécificités et leurs réglages, sans interférer entre elles. Cela s’avère très pratique pour tester ou développer d’autres versions de votre blog.

- Le plus évident des points: La sécurité !

Wordpress n’étant plus placé à la racine du site, la page de login est beaucoup plus difficile d’accès pour les robots écumant le web à la recherche de blog à cracker…

 

 

 

 

Le fichier wp-config.php

Ce fichier, base de la configuration et de la sécurité de Wordpress, doit impérativement être renseigné de manière judicieuse :


- Les clés d’authentification : Depuis Wordpress 2.7, il y a 4 clés d’authentification, qui doivent être remplies comme il faut. Et pour vous évitez le moindre effort, une API de Wordpress vous génère même ces 4 lignes avec des clés aléatoires (API ici)


- Le préfixe de votre table Wordpress dans votre base de données est par défaut wp_, hors en cas d’intrusion au sein de votre base MySQL, un préfixe plus « crypté » peut s’avérer utile.

Mauvais choix : $table_prefix = ‘wp_’;. Choix meilleur : $table_prefix = ‘wp5Hzp83_’;.


- Utiliser une connexion cryptée via SSL pour la partie administration. Si votre serveur le permet, choisir ce mode de connexion est bien plus sûr, il peut être activé en rajoutant la ligne define(’FORCE_SSL_ADMIN’, true); au fichier wp-config.php.




Déplacer le fichier wp-config.php

Depuis Wordpress 2.6, ce fichier peut être déplacé à un plus haut niveau. En effet, ce fichier contient des informations sensibles et touchant directement à la sécurité du blog, plus que n’importe quels autres.

De plus Wordpress va automatiquement chercher ce fichier à partir du plus haut niveau de votre hébergement, vous pouvez donc placer ce fichier dans un dossier parent, hors de votre installation Wordpress, ce qui le rend bien plus dur d’accès.




Protéger votre fichier wp-config.php

Pour interdire l’accès à ce fichier si sensible, un petit .htaccess est parfait :

# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
</files>


De cette manière wp-config.php ne sera accessible par personne !





Supprimer le compte admin

Si il y a un compte qui est testé par les robots et autres hackers de blog Wordpress c’est bien le compte admin ! Celui-ci est systématiquement créé à chaque installation de Wordpress, et possède les droits administrateur, ce qui en fait une cible privilégiée.

Pour le supprimer, rien de bien compliqué :

- Se loguer en admin,

- Créer un nouveau compte ayant les droits administrateur,

- Se deloguer de admin,

- Se loguer avec le nouveau compte

- Supprimer le compte admin.





Choisir des mots de passe « fort »

C’est bien connu, le maillon faible dans tout système sécurisé se situe bien souvent au niveau du mot de passe, la faute aux utilisateurs qui choisissent des mots de passe trop court, présent dans un dictionnaire, tout en minuscule…

Encore une fois : Choisissez des mots de passe « forts », comprenez par là des mots de passe compliqués.


Mes recommandations :

- Au moins 7 caractères

- Des majuscules, minuscules, nombres

- Des caractères spéciaux comme ” ^ & % ? ou $.


Il serait dommage de ne pas le faire, d’autant plus que depuis Wordpress 2.7, une indication visuelle informe de la solidité du mot de passe.




 

Supprimer les messages d’erreur sur la page de login

La page de login, porte de la partie administration, s’ouvre à la seule et unique condition que le couple login/password soit correct.

Et c’est là le problème de cette page: elle renvoie des informations en cas d’échec sur la nature de celui-ci. Pratique, me direz-vous, pour un utilisateur lambda, mais aussi pratique pour les robots qui testent les pages de login à la recherche d’une entrée…


Heureusement, désactiver ce retour d’info est très simple, il suffit de rajouter la ligne suivante au fichier function.php de votre thème :

add_filter(‘login_errors’,create_function(‘$a’, « return null; »));




Suivre et limiter les échecs de connexion

Un autre problème de Wordpress est le fait qu’il ne limite ni ne garde de trace des « mauvaises » connexions, par conséquent l’administrateur ne peut en aucun cas être averti d’une éventuelle attaque par brute force (ou autres…)


Mais heureusement une parade existe encore une fois, grâce à l’utilisation du plug-in approprié.


Les plug-in Login LockDown et Limit Login Attempts permettent en effet d’enregistrer les essais de connexions à votre blog, et ils permettent aussi de bloquer la possibilité de connexion pour un utilisateur donné, pendant un temps donné, et après un nombre d’essais infructueux donnés… C’est pas beau la vie ?




Un dernier conseil, qui peut paraître évident pour certains : Maintenez votre blog à jour, au niveau de la version de Wordpress, des plug-in mais aussi de votre serveur si vous êtes sur votre propre hébergement.

Une faille découverte est vite propagée sur Internet, et les petits pirates sont rapides à les tester !



[Photo]