Apres le bug WordPress de la version 2.8.3, il est de bon ton de parler de sécurité sur nos beaux blogs, avec tous ces criminels qui traînnent en ce moment !
A part si votre blog contient des informations secrètes sur les grand établissement financier de ce monde, il n’est pas nécessaire d’utiliser toutes ces astuces en meme temps, mais vous devriez tres certainement en utiliser au moins quelques uns. J’ai trouvé ce très bon article sur Wp-Beginners, et je me suis dis qu’une petite version française pourrait vous être utile.
1. Créer des liens personalisés
Il est relativement simple d’accéder à la partie membre de votre blog, il suffit de rajouter /wp-login.php à la fin de votre nom de blog, et vous voilà prêt à entrer. Si vous utilisez le même mot de passe partout et que celui-ci se fait pirater, vous êtes fini. Il existe donc un plugin nommé Stealth Login qui vous permet de créer des liens personnalisé pour se connecter, déconnecter, l’accès a la partie admin, ainsi que l’inscription. Vous pouvez également désactiver l’accès direct à wp.login.php. Cette astuce ne permet pas en elle même de sécuriser votre blog, mais elle rajoutera une épine dans le pied non négligeable aux pirates , et aux bots.
2. Prendre un mot de passe complexe
C’est presque une lapalissade, mais un mot de passe compliqué, c’est plus compliqué à trouver. Donc on reprend les conseils les plus évidents, on prend un mot de passe de plus de 7 caractères, avec si possible des lettres, des chiffres, des caractères spéciaux. Et surtout, des mot de passes différents pour vos autres sites. Mais comme on est jamais à l’abri d’un vol de mot de passe par votre petite copine, ou par un petit malin de votre école, il sera aussi préférable de changer votre mot de passe périodiquement, et oui, je sais que c’est fatiguant et quasiment inutile, mais ça fonctionne.
3. Limiter le nombre d’essais de connections
Lorsqu’un pirate essayer de pénétrer sur votre serveur, il a souvent plusieurs password qu’il pense juste et qu’il va essayer, dans le pire des cas et s’il vraiment il vous en veut, il va lancer un petit script qui va brute forcer votre partie admin. Je vous conseille donc d’utiliser le plugin Login Lockdown qui bannira tout utilisateur entrant un mauvais mot de passe plus de X fois. Vous pouvez déterminer le temps de lockdown, le nombre de mauvais essais et d’autres options depuis votre Administration.
4. Utiliser de pages SSL
Vous pouvez vous connecter à votre Administration WordPress via SSL, l’adresse commencera alors par https://. Celà dépend néanmoins de la configuration de votre hébergeur. Si votre hébergeur est compatible, vous n’avez plus qu’à éditer votre fichier wp-config.php en ajoutant :
define(’FORCE_SSL_ADMIN’, true);
Il existe également un plugin appelé Admin SSL qui ajoutera une couche SSL sur toutes vos pages. Ce plugin n’est compatible qu’avec des versions de WordPress supérieures à 2.7.
5. Protéger le répertoire WP-Admin via mot de passe
Vous pouvez également, si vous voulez ajouter des cadenas partout, ajouter un htaccess au dessus de votre wp-admin. Le plugin AskwApache Password Protect permet d’ajouter ce deuxième mot de passe facilement. Il créera pour vous le fichier .htpasswd et y ajoutera les bonnes permissions, plus rien à rajouter à la main.
6. Limiter l’accès via adresse IP
Pour être vraiment très sécurisé, vous pouvez limiter l’accès à la partie admin à votre IP, celle de votre maison de campagne, et une petite plage d’ip de votre téléphone 3g. Vous n’avez qu’à créer un fichier .htaccess dans le répertoire /wp-admin/ folder (ou modifier l’existant), et ajouter le code suviant:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
# Liste blanche pour votre adresse IP
allow from xx.xx.xx.xxx
# Liste blanche pour votre deuxième adresse IP
allow from xx.xx.xx.xxx
# Liste blanche pour une certaine plage d’ip (de 0 à 255)
allow from xx.xx.xx.
Remplacez les adresse ip par les votre et vous y êtes. Le seul problème étant que si vous voulez accéder à l’administration depuis un endroit exotique, vous devrez d’abord éditer le fichier .htaccess pour rajouter votre adresse ip. Ou alors, vous pouvez créer un petit fichier php avec un nom exotique lui aussi qui se chargera de renomer le fichier .htaccess en .htaccess.desactiver pour enlever la restriction d’adresse ip le temps que vous avez besoin de travailler.
7. N’utilisez pas le nom d’utilisateur « admin »
C’est le nom d’utilisateur par défaut de votre installation WordPress, et par flemme, nous gardons souvent ce nom d’utilisateur. Il s’est avéré par le passé que lorsque des failles sont découvertes, les comptes par défauts sont plus exposés que les autres. Créez donc un autre utilisateur, donnez lui les droits admin, et supprimez cet ancien compte.
8. Retirer les messages d’erreurs depuis la page d’identification
Quand vous entrez un mauvais mot de passe ou un nom d’utilisateur erroné, vous recevez un message d’erreur. Un hackeur pourrait se servir de ces informations pour savoir s’il a le bon nom d’utilisateur ou pas. Il est donc recommandé de retirer ce message d’erreur purement et simplement. Ouvrez le fichier functions.php situé dans le répertoire de votre thème et ajoutez le code suivant :
add_filter(’login_errors’,create_function(’$a’, “return null;”));
Le plugin Secure WordPress permet également d’automatiser cette fonction sans éditer la moindre ligne de code.
9. Gardez WordPress à jour
La dernière astuce, et bien entendu la plus évidente, mettez à jour votre installation de WordPress. Des bugs sont découverts assez fréquement, et sont réparés très rapidement par l’équipe de développement WordPress. En gardant votre ancienne version vous devenez une proie facile pour tous les pirates.
Article original sur WP-Beginner