Comment sécuriser (un peu) wordpress : quelques règles simples

Quelques éléments de contexte…

Quand j’ai décidé de monter mon blog en Février 2017 (ce truc tout moche là), j’avais déjà (co)-géré par le passé d’autres projets collectifs sous Wordpress.

Pourquoi ce CMS et pas un autre ?

Pour sa facilité d’installation, d’hébergement, de configuration, de mise en page, de lecture, le référencement, les mises à jour, le laaaaaaarge choix et les utilités des plugins, bref, Wordpress (WP pour les intimes) est à mon humble avis l’outil idéal.

Wordpress est très utilisé dans le monde par tout un tas d’acteurs : qu’ils soient simples blogueurs particuliers, associations ou sociétés commerciales.

Mais un grand nombre de ces personnes font des erreurs (fin, quelques fois quand-même on se demande si ce n’est pas volontaire) dans la sécurisation de leur site internet.

Exemples concrets ? Quelques articles :

Comment la cybersécurité pourrait s’inviter à la présidentielle de 2017

  • Présidentielle 2017 chez Macron :

Le screen des vulnérabilités début Février 2017 (screen Reflets.info).

Ce que les déclarations de l’équipe Macron et les articles des journalistes disent sur leur niveau en sécurité informatique

Emmanuel Macron et son mot de passe…

Macron, les Russes, les jeunes et le gruyère…

  • Présidentielle 2017 chez Fillon :

Le screen des vulnérabilités début Février 2017 (screen Reflets.info).

L’article de Streepress “Le site Fillon2017.fr est un gruyère ouvert aux hackers”.

  • La série WTF :

Le site de Jacques Attali qui contient un fichier de backup (avec la BDD dedans tant qu’à faire, sinon ce n’est pas rigolo) dans le répertoire /uploads : Jacques Attali digital, au propre et au figuré.

Par conséquent, j’ai décidé de pondre ce petit tuto/conseil que j’applique moi-même.

Précision : Dans ce petit tuto, j’aborde uniquement cette problématique concernant le CMS Wordpress et sur les blogs “hébergés par vos soins”, comprennez ceux qui n’utilisent pas le service commercial proposé par automattic “.wordpress.com”.

Passons aux choses -un peu- sérieuses…

Avant toute chose : sachez que ces quelques conseils ne sont pas exaustifs, déjà au sein de Wordpress, ensuite vous pouvez avoir un CMS “blindé” mais un serveur en carton, l’OS serveur pas du tout MAJ, ou un PC compétement vérolé, la sécurité informatique est une chaine dans laquelle chaque maillon à son importance.

Mes conseils ne sont pas classés par ordre chronologique ou d’importance.

Avant toute manipulation, faites une sauvegarde, au cas où, il ne vaut mieux jamais être trop prudent.

  • Conseil Numéro 1 : Les MAJ de WPs.

Faire les mises à jour de Wordpress et s’y tenir.

A chaque mise à jour disponible, un avertissement sera visible et la mise à jour sera proposée dans la page /wp-admin/update-core.php.

La liste des vulnérabilités -connues- de Wordpress par version est disponible sur wpvulndb.com.

  • Conseil Numéro 2 : Les MAJ des plugins.

Faire les mises à jour des plugins de Wordpress et s’y tenir.

Tout comme pour Wordpress, à chaque mise à jour disponible, un avertissement sera visible et la mise à jour sera proposée dans la page /wp-admin/update-core.php.

La liste des vulnérabilités -connues- des plugins de Wordpress par version est disponible sur wpvulndb.com.

  • Conseil numéro 3 : Le mot de passe :

Un bon mot de passe, long (plus de 10 caractères hein), avec des lettres, des chiffres, des majuscules et des caractères spéciaux, c’est chiant (même impossible) à retenir, simple à réaliser mais c’est efficace.

Tant qu’à faire, on le change de temps en temps.

  • Conseil numéro 4 : Changer sa page de login :

La solution la plus simple est d’utiliser le plugin Rename wp-login.php en ayant préalablement noté la nouvelle page.

  • Conseil numéro 5 : Un “anti-bruteforce” :

L’attaque par force brute/bruteforce (la page Wikipédia est ici) est possible sur tous les systèmes, bien évidemment, elle est beaucoup utilisée sur Wordrpress comme on peut le lire sur cet article de 2013 ou sur celui-ci datant de 2015.

Pour cela, j’utilise le plugin “Loginizer” (en version gratuite), il existe d’autres plugins mais celui-ci est très bien.

  • Conseil numéro 6 : Cacher le numéro de version de Wordpress :

Si vous n’avez pas effectué la dernière mise à jour de Wordpress, ou pire, comme François Fillon vous avez plusieurs MAJ de retard (Article Streetpress) ou même aucune des deux situations, vous pouvez cacher votre numéro de version de Wordpress, bien qu’il soit possible dans certaines conditions de le retrouver…

Pour cela, éditez le fichier “functions.php” du thème que vous utilisez (/wp-content/themes) :

function remove_version_generator() { return '';}
add_filter('the_generator', 'remove_version_generator');

Regardez également du côté du fichier “readme.html” qui crache aussi votre version de Worpress, vous pouvez le supprimer.

  • Conseil numéro 7 : Empêcher le listage des utilisateurs :

Pour cela, j’utilise le plugin “Stop User Enumeration”.

Comme pour l’anti-bruteforce, il existe tout un tas de plugins similaires, même des tout-en-un gratuits ou payants.

  • Conseil numéro 8 : Empêcher le listage des répertoires :

Afin d’éviter que les répertoires /wp-includes ou /wp-content soient ouverts au 4 vents (un peu comme Magnificia ici) on va bidouiller un peu pour aller créer un fichier “index.php” dans chaque répertoire que l’on veut masquer.

Ensuite, on va regarder du côté du “fameux” .htaccess pour y intégrer la ligne suivante :

Options All -Indexes

Pour cela il faut également regarder du côté des permissions des fichiers via Filezilla par exemple.

Afin de vérifier cela, tout comme l’anti-bruteforce j’utilise le plugin “Loginizer” (en version gratuite) qui va indiquer la valeur conseillée et celle appliquée.

Si vous tentez de mettre en place ces mesures mais que vous galérez un peu, n’hésitez pas à me contacter.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *