Agilité, Développement Java, Nouvelles technologies et plus…
  • rss
  • Accueil
  • Management
  • Programmation agile
  • Technologie
  • Linux
  • Evénement
  • App Android
  • Contact
  • A propos de l'auteur
  • English
  • Francais

Conseils pour sécuriser votre site WordPress

Fabian Piau | mercredi 10 octobre 2018 - 18:43
  • Imprimer
  • Twitter
  • LinkedIn
  • Facebook
  • Pocket

 English version available

Mise à jour
14 Janvier 2021 : Mise à jour des security headers, remplacement de « Feature-policy » par « Permissions-policy ».

WordPress est l’un des systèmes de gestion de contenu (CMS) les plus populaires. Cette popularité signifie également que c’est une cible de choix pour les pirates.
Dans cet article, je vais vous donner quelques conseils pour protéger votre site web et éviter les attaques.


1. Utiliser les dernières versions

Cela est vrai pour WordPress, mais également pour toutes vos extensions. De nouvelles versions sont disponibles régulièrement. Si un plugin n’a pas été mis à jour depuis un moment, il n’est probablement plus maintenu et vous devriez sérieusement songer à le supprimer ou le remplacer. Dans une moindre mesure, ceci est également applicable pour votre thème.
La version de PHP utilisée est également importante. Vérifiez auprès de votre fournisseur d’hébergement que vous utilisez la dernière version de PHP (7.X), en particulier, les versions 5.X ne seront plus supportées d’ici la fin de l’année.
Notez également que plus vous installez d’extensions, plus vous prenez des risques, car votre configuration WordPress reposera sur davantage de code tiers. Vous ne devriez garder que les plugins dont vous avez vraiment besoin. Si un plugin est désactivé, ne conservez pas son code source et supprimez tous les fichiers associés.


2. Utiliser des identifiants de connexion sécurisés

Ne jamais utiliser l’utilisateur admin par défaut. Si c’est votre cas, désactivez ce compte et créez votre propre compte avec un nom d’utilisateur personnalisé.
Choisissez un mot de passe complexe. Si plusieurs utilisateurs gèrent votre site Web, assurez-vous que les autorisations sont valides et évitez de donner le droit d’administration à tout le monde.


3. Scanner votre site web

C’est un moyen facile et rapide de trouver des vulnérabilités et de voir si l’un de vos plugins est vulnérable ou non. Vous pouvez utiliser ces 2 outils en ligne:

  • WordPress Security Scan (mon préféré avec un rapport détaillé)
  • WPSec


4. Utiliser des fichiers .htaccess pour protéger vos répertoires

Le fichier .htaccess est un fichier de configuration pour le serveur. Il vous permet de définir des règles à suivre par celui-ci.

Par exemple, dans /wp-content/uploads, j’ai créé le fichier .htaccess suivant:

# Refuser l'accès à tout par défaut
Order deny,allow
Deny from all

# Autoriser l'accès aux fichiers multimédia
<FilesMatch '\.(jpg|jpeg|png|gif|bmp|zip|rar|pdf)$'>
    Allow from all
</FilesMatch>

Cette configuration garantit que seuls les fichiers multimédias sont accessibles à partir du navigateur. Tous les fichiers JavaScript et PHP seront non accessibles. Ce n’est pas sans faille, car seule l’extension est vérifiée, mais c’est mieux que rien.

Pour éviter l’exécution de code PHP malveillants dans certains dossiers (par exemple, dans /wp-includes), vous pouvez créer un autre fichier .htaccess avec le contenu suivant:

<Files *.php>
Order allow,deny
Deny from all
</Files>


5. Vérifier les autorisations sur les fichiers et répertoires

Assurez-vous que les fichiers critiques (wp-config.php, php.ini…) ne sont pas accessibles en écriture publiquement, mais en lecture seule. Seul le propriétaire devrait pouvoir écrire.


6. Utiliser les « security headers »

Vous pouvez consulter cet outil en ligne pour connaître quels headers vous supportez actuellement.

Dans le dossier racine, mettez à jour le fichier .htaccess et ajoutez:

# Extra Security Headers
<IfModule mod_headers.c>
	Header set Strict-Transport-Security 'max-age=31536000; includeSubDomains'
	Header set X-XSS-Protection '1; mode=block'
	Header set X-Frame-Options 'sameorigin'
	Header set X-Content-Type-Options 'nosniff'
	Header unset Server
	Header always unset X-Powered-By
	Header unset X-Powered-By
	Header unset X-CF-Powered-By
	Header unset X-Mod-Pagespeed
	Header unset X-Pingback
</IfModule>

Dans le fichier wp-config.php, ajoutez:

/** Extra Security */
header('X-Frame-Options: SAMEORIGIN');
header('X-XSS-Protection: 1; mode=block');
header('X-Content-Type-Options: nosniff');
header('Strict-Transport-Security:max-age=31536000; includeSubdomains; preload');
header('Referrer-Policy: no-referrer-when-downgrade');
header('Content-Security-Policy: upgrade-insecure-requests');
header('Permissions-Policy: autoplay=(), camera=(), encrypted-media=(), fullscreen=(), geolocation=(), microphone=(), midi=(), payment=()');
header_remove('X-Powered-By');
header_remove('Server');
header_remove('X-CF-Powered-By');
header_remove('X-Mod-Pagespeed');
header_remove('X-Pingback');
@ini_set('session.cookie_httponly', true);
@ini_set('session.cookie_secure', true);
@ini_set('session.use_only_cookies', true);


7. Ne pas exposer trop d’informations

Dans le dossier racine de votre site Web, dans php.ini, ajoutez la ligne suivante:

expose_php = Off

Votre version actuelle de PHP ne sera pas exposée.


8. Sauvegarder votre site régulièrement

Dernier conseil, mais non le moindre! Vous n’avez pas besoin d’un logiciel particulier ou d’un plugin supplémentaire pour y parvenir.

  • Avec votre outil FTP préféré (par exemple, Filezilla), enregistrez tous les fichiers disponibles sur votre serveur.
  • Pour la base de données, utilisez la fonctionnalité de sauvegarde MySQL disponible. De nombreux hébergeurs fournissent un accès à phpMyAdmin, un outil en ligne.

Je recommande de faire une sauvegarde tous les mois et de conserver l’historique des 6 dernières sauvegardes dans un endroit sûr. Bien évidemment, cela dépend du volume d’articles que vous écrivez et de l’importance de vos données.


C’est tout! Si vous avez fait tout ce qui précède, votre site Web devrait être plus résistant aux attaques. Dans le pire des cas, vous devriez pouvoir restaurer votre site facilement.

Bon blogage sécurisé!

Articles similaires

Maven sitePlus loin avec le Maven Site IT securityQuelques règles essentielles pour éviter de se faire pirater ses comptes Apache CamelUne première approche du Camel d’Apache printerOptimiser votre site web pour l’impression en 5 minutes
Catégories
Technologie
Tags
piratage, pirate, sécurité, wordpress
Flux rss des commentaires
Flux rss des commentaires

« Devoxx UK 2018 – Jour 2 Une migration Java 11 réussie »

Télécharger l'app CarmaBlog

Flux RSS

  • Flux RSS RSS - Articles
  • Flux RSS RSS - Commentaires

Articles les plus vus

  • Changer la langue de Firefox - 115 533 vues
  • Réaliser un sondage en ligne avec Google Forms / Drive / Docs - 63 080 vues
  • FAQ – Sondage en ligne avec Google Forms / Drive / Docs - 52 034 vues
  • Personnaliser Gnome 3 (Shell) - 29 963 vues
  • La signification d’URL, URI et URN - 17 141 vues
  • Java EE & CDI vs. Spring - 15 388 vues
  • Open Street Map, une meilleure carte que Google Maps? - 14 589 vues
  • Comparaison NoSQL: Couchbase et MongoDB - 14 046 vues
  • Firefox Nightly, Aurora, Beta, Desktop, Mobile, ESR & Co. - 13 065 vues
  • API, REST, JSON, XML, HTTP, URI… Vous parlez quelle langue en fait? - 12 653 vues

Commentaires récents

  • Pauline sur FAQ – Sondage en ligne avec Google Forms / Drive / DocsMerci Fabian, mais le but étant que nos clients pu…
  • Fabian Piau sur FAQ – Sondage en ligne avec Google Forms / Drive / DocsProbablement mais ces options sont en général paya…
  • Pauline sur FAQ – Sondage en ligne avec Google Forms / Drive / DocsBonjour Fabian, Merci de votre retour, oui j'avais…
  • Fabian Piau sur FAQ – Sondage en ligne avec Google Forms / Drive / DocsBonjour Pauline, ce n'est pas possible de créer un…
  • Pauline sur FAQ – Sondage en ligne avec Google Forms / Drive / DocsBonjour, Je suis en train de créer un Google Forms…

Articles récents

  • Comment écrire un article de blog? En tout cas à ma façon! - Il y a 1 mois et 3 semaines
  • Attaques de robots: vous n’êtes pas seul… - Il y a 1 an et 9 mois
  • Flagger – Monitorer vos déploiements Canary avec Grafana - Il y a 2 ans et 7 mois
  • Flagger – Déploiements Canary sur Kubernetes - Il y a 2 ans et 8 mois
  • Flagger – Premiers pas avec Istio et Kubernetes - Il y a 2 ans et 8 mois
  • CoderDojo Expedia à Londres - Il y a 3 ans et 6 mois
  • Etre bénévole à Devoxx4Kids - Il y a 3 ans et 8 mois
  • Une migration Java 11 réussie - Il y a 4 ans et 1 mois
  • Conseils pour sécuriser votre site WordPress - Il y a 4 ans et 3 mois
  • Devoxx UK 2018 – Jour 2 - Il y a 4 ans et 7 mois
  • Devoxx UK 2018 – Jour 1 - Il y a 4 ans et 8 mois
  • Wise, Revolut et Monzo, une petite révolution dans le monde des expatriés et voyageurs - Il y a 5 ans et 1 semaine
  • Autocomplétion pour Git - Il y a 5 ans et 8 mois
  • Swagger, la documentation API automatisée - Il y a 5 ans et 10 mois
  • Architecture Microservices – Les bonnes pratiques - Il y a 6 ans et 3 mois
Offre moi un café

Langue

  • Français
  • English

Suivez-moi!

Suivez-moi sur Linkedin
Suivez-moi sur Twitter
Suivez-moi sur Stackoverflow
Suivez-moi sur Github
Suivez-moi sur Rss
Link to my Contact

Abonnement email

Saisissez votre adresse email pour être informé des nouveaux articles.

Étiquettes

.net agile agilité android bash blog bonnes pratiques cache cloud conférence css devoxx docker développeur eclipse extreme programming firefox flagger google helm hibernate informatique intégration continue istio java jug kubernetes londres mobilité informatique métier outil panorama partage performance plugin programmeur script société spring sécurité tdd test ubuntu windows wordpress

Liens

  • Blog Ippon Technologies
  • Blog Publicis Sapient
  • Blog Zenika
  • Classpert
  • CommitStrip
  • Coursera
  • Le Touilleur Express
  • Les Cast Codeurs Podcast
  • OCTO talks !
  • The Twelve-Factor App

Catégories

  • Evénement (15)
  • Linux (3)
  • Management (8)
  • Programmation agile (29)
  • Technologie (45)

Archives

  • décembre 2022 (1)
  • avril 2021 (1)
  • juin 2020 (1)
  • mai 2020 (2)
  • juillet 2019 (1)
  • mai 2019 (1)
  • décembre 2018 (1)
  • octobre 2018 (1)
  • juin 2018 (1)
  • mai 2018 (1)
  • janvier 2018 (1)
  • mai 2017 (1)
  • mars 2017 (1)
  • octobre 2016 (1)
  • avril 2016 (2)
  • mars 2016 (1)
  • novembre 2015 (1)
  • mai 2015 (1)
  • février 2015 (1)
  • décembre 2014 (1)
  • novembre 2014 (1)
  • septembre 2014 (2)
  • août 2014 (1)
  • juillet 2014 (2)
  • juin 2014 (1)
  • avril 2014 (1)
  • mars 2014 (1)
  • février 2014 (2)
  • janvier 2014 (1)
  • décembre 2013 (1)
  • novembre 2013 (1)
  • octobre 2013 (3)
  • septembre 2013 (5)
  • juillet 2013 (1)
  • juin 2013 (1)
  • mai 2013 (1)
  • avril 2013 (1)
  • mars 2013 (2)
  • février 2013 (1)
  • janvier 2013 (2)
  • décembre 2012 (2)
  • octobre 2012 (1)
  • septembre 2012 (1)
  • juillet 2012 (1)
  • mai 2012 (1)
  • avril 2012 (1)
  • mars 2012 (1)
  • février 2012 (1)
  • janvier 2012 (2)
  • décembre 2011 (1)
  • novembre 2011 (2)
  • octobre 2011 (2)
  • septembre 2011 (1)
  • juillet 2011 (1)
  • juin 2011 (2)
  • avril 2011 (1)
  • mars 2011 (1)
  • février 2011 (1)
  • janvier 2011 (2)
  • novembre 2010 (2)
  • septembre 2010 (1)
  • août 2010 (1)
  • juillet 2010 (1)
  • juin 2010 (1)
  • mai 2010 (1)
  • avril 2010 (1)
  • mars 2010 (1)
  • février 2010 (1)
  • décembre 2009 (1)
  • novembre 2009 (1)
  • octobre 2009 (2)
  • septembre 2009 (2)
  • août 2009 (3)
  • juillet 2009 (1)
  • juin 2009 (2)
Suivez-moi sur Twitter
Suivez-moi sur Linkedin
Suivez-moi sur Stackoverflow
Suivez-moi sur Rss
Link to my Contact
Suivez-moi sur Github
 
Fabian Piau | © 2009 - 2023
Tous droits réservés | Haut ↑