Le TOP 10 de la sécurité pour votre site WP

La vidéo de 77webstudio sur le TOP 10 des choses à faire :

https://www.youtube.com/watch?v=qHyBUsxNF6A

Suivant que vous serez en local, hébergé chez wordpress.com avec ou sans options, hébergé ailleurs, certains des points ci-dessous ne seront pas d’actualité. Il faut cependant dérouler toute la checklist. En attendant un autre post plus « technique », voici un résumé (commenté) en français de la vidéo :

10 ) Ne pas utiliser « admin » comme nom d’utilisateur. Ce nom de login est proposé par défaut à l’installation, et c’est le premier que les hackers testeront. Si vous l’avez créé à l’installation de WP , ce n’est pas grave. Commencez par suivre les 9 autres recommandations, puis rendez-vous sur ce post :

(futur post sur comment supprimer le profil « admin »)

https://www.youtube.com/watch?v=0BOdvtnfKjQ

9 ) Faire les mises à jour (MAJ) de WordPress, des extensions, et du thème : Cela permet de bénéficier des corrections de sécurité et autres améliorations. Cette actualisation rend impérative la création d’un thème « enfant » qui conservera vos modifications du thème, tout en acceptant la MAJ du thème « parent » de façon transparente.

La MAJ se fait très simplement, depuis le Dashboard , ou Tableau de Bord. (Updates, ou Mises à Jour)

8 ) Adopter un mot de passe « fort » : Faute de mieux, mélanger majuscules et/ou minuscules et/ou chiffres, sur 8 caractères minimum. Exemples : ZE456YU9, ze456yu9, 456YU9op, etc.  La page ici donne des indications (en anglais) sur la création d’un mot de passe ou d’une phrase de passe encore plus fort.

Sachez quand même que l’installation de base de WP ne limite pas le nombre de tentatives de connexion, ce qui le rend théoriquement vulnérable à une attaque en « Force Brute », même avec un mot de passe fort ; nous verrons plus loin commment s’en protéger.

A noter : Il existe aussi un plugin pour FireFox pour créer et stocker les mots de passe, et cela existe probablement pour les autres browsers (Safari, Chrome, etc.).

Plus sur les mots de passe forts (en anglais), avec des suggestions de programmes gratuits de création/stockage des mots de passe. (ici)

7 ) Choisir un bon hébergeur : Il est important que les serveurs soient online 24/7, que le support logiciel soit bon (hotline, sécurité, versions récentes de Apache, PHP, MySQL), la bande passante satisfaisante, les sauvegardes assurées … N’hésitez pas à comparer et à vous renseigner. Il vaut mieux payer un petit peu plus cher, et s’épargner des migrations d’un hébergeur à l’autre ou d’autres tracas.

Les tutoriels dans YouTube vous indiqueront souvent leur hébergeur (HostGator, par exemple) et un code de réduction de 20 ou 25 %. Cela peut être intéressant pour débuter … Et un critère additionnel pour choisir votre hébergeur : voir si vous avez des bonus pour les clients que vous ramenez via votre site ou à travers des vidéos Youtube.

6 ) Se Protéger des attaques en « Force Brute ». Ce type d’attaque consiste à tenter de se connecter en essayant tous les noms et tous les mots de passe : Cela peut être fait au moyen d’un programme très basique, et avec nos PC actuels, ça va vite : 350 Milliards de tentatives par seconde …

Comme WordPress est installé de base sans limite au nombre de tentatives de connexion, ce type d’attaques est possible, sauf si on rajoute le plugin (extension) Limit login attempts ou Login security solution pour limiter le nombre de tentatives de connection consécutives par un utilisateur, ce qui rend ce type d’attaques impraticables, même si « on » connaît déjà le login (nom d’utilisateur).

5 ) Installer un plugin (extension) de sécurité WP. Il en existe un certain nombre; la vidéo en donne trois ;

– Better WP security

– Bulletproof security

– Wordfence security

Il en existe d’autres ; voir ici la base des plugins.

Comme pour toutes les extensions, il faut vérifier la compatibilité avec votre version de WP, la popularité (nombre de téléchargements, notes) et la date de dernière MAJ. Un seul plugin suffit pour une fonction donnée; deux compliquent les choses inutilement.

4 ) Garder un WordPress « propre ». Supprimer les thèmes et plugins inutilisés, garder une base données saine; en plus de faciliter le travail, cela peut éviter des problèmes de sécurité avec des plugins obsolètes, ou de « plantage » du site. La vidéo ne préconise pas de plugin dédié. La page ci-dessous donne une série de conseils (en Anglais) :

http://codex.wordpress.org/WordPress_Housekeeping

Les recherches ci-dessous a ramené un certain nombre de plugins pour purger la base de données, etc. :

Plugins correspondant au mot « Housekeeper »

Plugins correspondant au mot « Cleaning »

Voir aussi la Documentation sur le Forum en français, on ne le dira jamais assez 😉

3 ) Effacer le fichier readme.html. (Ou le renommer) Ce fichier est situé à la racine de votre site; il n’a aucune utilité dans le fonctionnement du site, mais il donne des informations sur la version de WordPress que vous utilisez : pas besoin de faciliter la vie aux hackers. S’il est (déjà) introuvable, c’est qu’il a probablement été « traité » par le plugin de sécurité qui est installé.

Il est aussi accessible en tapant : urldemonsite/readme.html dans la barre de navigation (si il n’a pas été supprimé).

2 ) Surveiller les malwares sur votre site. Il y a des sites sur Internet qui vous proposeront un scan gratuit de votre site, des prestations payantes (nettoyage, protection), et il faut voir aussi les prestations incluses dans votre hébergement. Voir aussi les fonctionnalités de certains plugins, gratuits ou payants.

Un exemple de site qui offre un scan gratuit du site mais fait payer le reste est Sucuri

Un exemple de plugin qui surveille les changements dans les fichiers de votre site est File Monitor Plus (Wordfence le fait aussi) : vous êtes prévenu par e-mail des modifications, ce qui rend le nettoyage plus facile en cas de piratage.

1 ) Faire des sauvegardes régulièrement. Cela permet de remettre le site en ligne rapidement en cas de gros problème (Bug majeur, hack, infection, défaillance de l’hébergeur). Il y a de nombreux plug-ins de sauvegarde :

http://wordpress.org/plugins/search.php?q=backup

Le meilleur en nombre de téléchargements (433 055) et de note (5 étoiles, 384 avis) est apparemment UpdraftPlus – WordPress Backup and Restoration , et sa dernière mise à jour date de moins d’une semaine. Cela ne veut pas dire que c’est le meilleur dans l’absolu, mais en tout cas il a la cote, on ne peut pas se tromper.

Voilà … C’est fini pour cette fois. Je reviendrai sur certains points dans d’autres posts. En attendant, si vous voulez en savoir plus sur la sécurité :

http://www.wpexplorer.com/wordpress-security-tips/

Et la sauvegarde dont il est question dans la vidéo :

http://www.youtube.com/watch?v=XGeWvf5WqRA

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s