10 façons clés de sécuriser une installation WordPress typique
Publié: 2016-02-20En plus d'une décennie, WordPress est passé d'un système de gestion de contenu naissant à la solution en ligne la plus utilisée. Cette notoriété, d'une manière générale, est bonne pour l'ensemble de la communauté et a conduit au plus grand groupe de développeurs pour tous les systèmes de gestion de contenu actuellement disponibles. Le CMS change, évolue et devient plus avancé, en grande partie en raison de sa taille, de sa portée et de son influence dans la publication en ligne.
Mais ce sont ces mêmes choses qui font de WordPress la cible régulière de tentatives de piratage malveillant et d'atteintes à la vie privée. Les pirates ont pris note de la prolifération du CMS parmi les sites Web indépendants et les grands médias, et ils exploitent un certain nombre de vulnérabilités qui leur permettent d'accéder au tableau de bord et même à la base de données WordPress elle-même.
Heureusement, les utilisateurs de WordPress ne sont pas simplement des « canards assis » dans un environnement en ligne de plus en plus malveillant. Il existe un certain nombre de choses qui peuvent être faites pour améliorer considérablement la sécurité d'une installation WordPress et contrecarrer les tentatives des pirates de s'emparer du contenu, de la base de données et de la fiabilité globale d'un site Web.
1. Changer le préfixe de la base de données WordPress
Par défaut, chaque installation de WordPress place ses tables dans une base de données MySQL avec le préfixe "wp_". Ceci est généralement fait pour le rendre plus intuitif, car WordPress est souvent abrégé en "WP" et il n'y a tout simplement aucune confusion quant au CMS auquel appartiennent ces tables.
Cependant, les utilisateurs les plus néfastes d'Internet savent que WordPress placera son contenu dans des tableaux avec ce préfixe par défaut, et c'est l'une des premières façons dont ils pénètrent dans une installation ou causent des problèmes avec la base de données du logiciel de l'extérieur.
Le préfixe lui-même est défini dans le fichier wp-config.php avant que le processus d'installation ne se produise. À ce moment-là, les propriétaires de sites Web WordPress doivent faire défiler le fichier de configuration et rechercher la ligne suivante :
$table_prefix = 'wp_';
Cette ligne doit être remplacée par pratiquement n'importe quoi sauf le préfixe par défaut. Choisir quelque chose comme le titre du site Web ou le nom de l'administrateur principal peut être une première étape importante pour sécuriser l'installation et empêcher les pirates malveillants d'accéder à Internet.
2. Cachez le numéro de version de l'installation de WordPress au public
Chaque modèle WordPress est livré avec une variable qui affiche les informations de base de WordPress et permet la modification continue de l'en-tête via des plugins. Cette variable est <?php wp_head() ?> et elle est invariablement placée entre les balises d'ouverture et de fermeture <HEAD> du fichier header.php . L'une des principales choses effectuées par cette variable est d'afficher le numéro de version de l'installation actuelle de WordPress au public.
Ceci est en fait utilisé par l'équipe de développement d'Automattic à des fins d'analyse, car cela leur permet de voir quels numéros de version sont les plus utilisés et s'il existe un grand nombre d'utilisateurs non actuels.
Il permet également aux pirates de visualiser le numéro de version de l'installation de WordPress et de planifier leur attaque en conséquence. Étant donné que les vulnérabilités de sécurité avec WordPress sont généralement spécifiques à la version et sont corrigées dans toutes les versions ultérieures, une installation obsolète qui affiche son numéro de version est prête à être attaquée par ceux qui souhaitent obtenir un accès non autorisé au tableau de bord ou à la base de données.
Ces informations peuvent et doivent être supprimées de la variable « wp_head » ; cela peut être fait en ajoutant la ligne de code suivante au fichier functions.php du thème actuel :
remove_action('wp_header', 'wp_generator');Enregistrez ce fichier et téléchargez-le sur le serveur, et personne ne saura jamais si l'installation de WordPress est actuelle, obsolète ou même en version bêta. Rien ne sera annoncé publiquement.
3. Limitez le nombre de tentatives de connexion infructueuses
En règle générale, les internautes malveillants accèdent au tableau de bord WordPress par le biais d'une attaque par « force brute » qui saisit rapidement des dizaines de milliers de mots de passe. Cette attaque cherche à utiliser des mots du dictionnaire et des nombres communs pour déterminer les informations d'identification de sécurité de l'utilisateur. Sans un blocage approprié de ces tentatives répétées, il n'y a vraiment rien pour les arrêter.
C'est là qu'intervient le plugin Login LockDown. En utilisant le plugin, les utilisateurs de WordPress peuvent définir une limite sur le nombre de tentatives de connexion infructueuses avant d'être essentiellement verrouillé hors du tableau de bord pendant une heure. Ces tentatives infructueuses sont liées aux adresses IP, ce qui rend ce plugin encore plus efficace.
4. Les administrateurs ne doivent pas se nommer "Admin"
Lors de l'installation de WordPress à partir du programme d'installation intégré, l'utilisateur administrateur est généralement nommé « admin » par défaut. Les internautes malveillants le savent, et c'est le premier nom qu'ils essaieront de deviner lorsqu'ils obtiendront un accès par force brute au tableau de bord WordPress.
Lors de l'installation de WordPress pour la première fois, assurez-vous de nommer l'utilisateur administrateur quelque chose de difficile à deviner (peut-être un surnom ou autre chose). Une attaque par force brute par mot de passe n'est efficace que si le nom d'utilisateur de l'administrateur est connu. Sinon, il sera doublement impossible d'y accéder.
5. Gardez WordPress à jour à tout moment et soyez rapide à ce sujet
Une nouvelle version de WordPress est généralement publiée toutes les quelques semaines environ, avec des mises à jour mineures et des correctifs de sécurité servant à protéger les utilisateurs des pirates qui ciblent de plus en plus les tableaux de bord et les bases de données sur Internet.
Ne pas maintenir WordPress à jour revient essentiellement à inviter les pirates à entrer, à supprimer certains messages et à compromettre la sécurité du site Web. C'est une très mauvaise chose de prendre du retard sur ces mises à jour, d'autant plus qu'un thème non modifié affichera même le numéro de version pour les esprits curieux.
Depuis la version 3.0, WordPress permet la mise à jour automatique du Dashboard en un seul clic. En fait, le tableau de bord avertit même automatiquement les utilisateurs des mises à jour et les invitera à mettre à niveau dans un texte assez gras et exceptionnel. Cela devrait être fait dès qu'une mise à jour est disponible ; cela n'entraînera pas la perte de fichiers, plugins, thèmes ou paramètres.
Au lieu de cela, la mise à jour de WordPress ne servira qu'à activer les nouvelles fonctionnalités et à corriger les vulnérabilités de sécurité découvertes depuis l'envoi de la dernière version aux 60 millions d'utilisateurs du logiciel. Restez toujours à jour pour tenter de repousser les pirates.
6. Masquez le fichier WP-Config.PHP de pratiquement tous les utilisateurs Internet
Les utilisateurs de WordPress ne doivent jamais oublier la puissance du fichier .htaccess lorsqu'ils cherchent à masquer des fichiers et à protéger l'intégrité de leur tableau de bord et de leur base de données WordPress. En fait, ce fichier est essentiel pour assurer la sécurité à long terme de WordPress de plusieurs façons. En utilisant quelques lignes de code simples, le fichier ".htaccess" peut en fait masquer complètement les fichiers des utilisateurs Internet publics, même si les autorisations de fichier appropriées ne sont pas définies sur ce fichier.
C'est la solution à l'affichage public du fichier "wp-config.php", qui contient des éléments tels que les clés API et le préfixe de base de données nécessaires pour compromettre une installation.
Pour sécuriser ce fichier contre les internautes malveillants, ajoutez simplement les lignes de code suivantes au fichier « .htaccess » situé dans le dossier racine de l'installation de WordPress. Si aucun fichier de ce type n'existe, créez-en un :
<Fichiers wp-config.php> commande autoriser, refuser refuser de tous </Fichiers>
Avec cette ligne de code placée dans le fichier, enregistrez-la et téléchargez-la sur le serveur via un client FTP. Le fichier de configuration de l'installation WordPress concernée disparaîtra désormais essentiellement de la vue du public, et cela ne peut que signifier de bonnes choses pour la sécurité et la tranquillité d'esprit.
7. Et, en parlant d'autorisations de fichiers, vérifiez-les pour assurer la sécurité
WordPress ne nécessite pas de règles très permissives pour l'accès et la modification des fichiers afin de fonctionner correctement. En effet, tous les paramètres et informations de contenu du site sont écrits dans la base de données plutôt que stockés dans des fichiers PHP côté serveur. Pour cette raison, il n'y a absolument aucune justification pour utiliser une valeur 777 CHMOD sur un fichier WordPress. Il s'agit plutôt d'un simple moyen de s'assurer que les pirates ont un accès facile aux paramètres de configuration ou à d'autres fichiers susceptibles de compromettre l'installation.
Pour vérifier les autorisations et éventuellement les corriger pour une installation plus sécurisée, ouvrez un client FTP et accédez au répertoire racine de WordPress. Faites un clic droit sur n'importe quel fichier PHP et recherchez une option de menu relative aux autorisations. Dans la fenêtre résultante, recherchez un nombre qui indique la disponibilité du fichier. Ce ne devrait certainement pas être 777 . Dans de nombreux cas, il est conseillé d'utiliser une valeur 744 CHMOD qui restreint l'accès et la modification des fichiers au seul utilisateur FTP root du serveur. Modifiez ce paramètre si nécessaire, puis enregistrez-le. Le serveur se mettra à jour en conséquence.
8. Utilisez le fichier .htaccess pour masquer le fichier .htaccess
La plupart des gens ne considèrent pas cela comme une possibilité, mais le fichier .htaccess peut en fait être utilisé pour se cacher du public. Il y parvient déjà en grande partie en utilisant un nom de fichier qui commence par un point, mais cela ne fonctionnera pas sur les ordinateurs Windows. Ces machines doivent trouver le fichier inaccessible en utilisant les instructions contenues dans ".htaccess" lui-même. Les autorisations ressemblent en fait assez à la méthode utilisée pour masquer le fichier de configuration PHP de WordPress, comme on le voit ici :
<Fichiers .htaccess> commande autoriser, refuser refuser de tous </Fichiers>
Encore une fois, une fois que cette ligne est placée dans le fichier, elle peut être enregistrée et téléchargée sur le serveur. Il sera désormais invisible pour pratiquement tous ceux qui visitent le site, à l'exception de l'utilisateur administrateur racine.
9. Comprendre et utiliser la puissance d'un document HTML vierge
Tous ceux qui souhaitent accéder à une installation WordPress compromise savent que le logiciel place ses plugins et ses thèmes dans un répertoire spécifique. Ils vérifieront ces répertoires pour rechercher un manque de plugins de sécurité ou un certain nombre de vulnérabilités basées sur XHTML et CSS, puis ils exploiteront ces éléments pour y accéder. C'est en fait assez facile à prévenir.
Afin de vous assurer que les listes de fichiers de ces répertoires n'apparaissent à aucun utilisateur Internet, créez simplement un document HTML vierge et placez-le dans le dossier. Le document doit être quelque chose d'assez basique, avec des balises d'en-tête et un titre qui dit quelque chose comme « Accès restreint ». Ce titre peut indiquer que l'administrateur du site connaît une chose ou deux sur la sécurité, et il enverra des utilisateurs malveillants vers d'autres sites Web.
10. Ayez toujours une sauvegarde récente disponible
La bonne façon d'aborder la sécurité d'une installation WordPress est qu'il s'agit d'une partie de préparation et d'une partie de prévention.
L'aspect "préparation" de ce processus se présente sous la forme d'une sauvegarde. Les fichiers WordPress réels et la base de données utilisée pour stocker les informations doivent être sauvegardés régulièrement. cela peut être fait de différentes manières, y compris plusieurs plugins WordPress pour le tableau de bord.
Si une méthode plus avancée de sauvegarde des fichiers est nécessaire, les utilisateurs peuvent utiliser des outils de sauvegarde dans les zones d'administration backend cPanel ou Plesk Panel. De plus, les administrateurs peuvent automatiser le processus et créer des tâches Cron afin qu'une sauvegarde récente soit toujours disponible.
L'important à propos de la sécurité de WordPress est de toujours être préparé au pire des cas. Lorsqu'il s'agit de garantir la disponibilité et la fiabilité, même en cas d'attaque par un pirate informatique malveillant, une sauvegarde de site est le moyen le plus simple de se remettre en ligne après la fermeture de la faille de sécurité.
Vigilance et utilisation intelligente sont les clés d'une installation sécurisée de WordPress
De manière générale, WordPress est devenu exponentiellement plus sécurisé ces dernières années. Pendant un bref instant, il a semblé qu'il y avait une nouvelle faille de sécurité toutes les deux semaines. Ce modèle était particulièrement troublant pour les utilisateurs plus grands et plus professionnels, et l'équipe d'Automattic s'est rapidement mise au travail sur un redémarrage complet.
Ce redémarrage était en grande partie la version 3.0, avec une architecture beaucoup plus sécurisée et des outils de mise à jour automatique qui ont permis de rester à jour avec les derniers correctifs et correctifs de sécurité.
Lorsqu'il s'agit de rester en sécurité, ces versions doivent absolument être tenues à jour et les utilisateurs doivent utiliser des autorisations, des restrictions et des astuces de sécurité strictes pour rester à l'abri des internautes malveillants.