WordPress est une cible très populaire pour les pirates, car dès qu'il y a d'innombrables installations dans le monde, leur nombre augmente constamment et les failles de sécurité sont régulièrement causées par des thèmes et des plugins de fournisseurs tiers.
C'est pourquoi vous devriez déjà considérer certains points importants lors de la mise en place du système pour
sécuriser WordPress le mieux possible (même s'il y aura à peine une sécurité à cent pour cent).
Ce guide vous expliquera les étapes à suivre et présentera également quelques plugins qui rendent l'installation plus sûre.
Installation: Clés secrètes, préfixe de table et mot de passe
Lors de l'installation, le fichier wp-config-sample.php avec les paramètres individuels de la base de données doit être adapté et renommé en wp-config.php. Mais ce fichier peut également contenir les clés de sécurité du nouveau site web ou du blog. Malheureusement, beaucoup de personnes ne procèdent pas à cette étape, bien qu'elle soit mise en œuvre très rapidement.
Sous les paramètres de la base de données, il y a un lien (https://api.wordpress.org/secret-key/1.1/salt/) dans le fichier wp-config-sample.php, qui peut être utilisé pour générer les clés nécessaires. Ces clés sont ensuite échangées par copier-coller pour les informations vides derrière les huit lignes de définition.
Une autre étape importante pour plus de sécurité est le changement du préfixe standard des tables WordPress, qui est normalement wp_. Ce préfixe peut également être modifié dans le fichier wp-config (situé sous la clé de sécurité). Si le préfixe est modifié, les tables de la base de données ne commenceront plus par wp_, mais par les lettres ou les chiffres ou par le nom que vous avez choisi.
Le troisième point crucial pour plus de sécurité sont les données de connexion au backend de WordPress, que vous devez définir lors de l'installation. Veuillez ne pas choisir un nom d'utilisateur commun comme demo, admin, test123 ou quelque chose de ce genre. En cas d'attaques automatiques sur votre blog (dites de force brute), ces noms d'utilisateur par défaut seront sélectionnés à plusieurs reprises, si le mot de passe n'est pas non plus sûr, le site sera piraté rapidement.
Vous devez également noter que votre nom d'utilisateur n'apparaîtra nulle part dans votre blog dans une archive comme celle de l'auteur ou dans les billets du blog, car c'est quelque chose qui n'est pas optimal dans WordPress, l'affichage du nom d'utilisateur dans l'URL de l'auteur, qui ressemble à ceci : http://deinewebsite.com/author/benutzername. En effet, si le nom d'utilisateur est facilement accessible, par exemple parce qu'il peut être vu par chaque utilisateur dans les articles du blog ou ailleurs, les pirates se rapprochent de la connexion illégale. Sous ce lien, vous trouverez un moyen de cacher votre nom d'auteur.
Une autre façon de cacher votre nom d'utilisateur admin est de bloguer avec un rôle d'utilisateur différent, de télécharger des images et de poster plus de contenu. Pour ce faire, créez un utilisateur avec le rôle "éditeur". Par défaut, cet utilisateur n'a pas accès aux zones sensibles de l'installation de WordPress comme les plugins, les paramètres, les thèmes, etc. Ainsi, même les pirates n'auraient que des options limitées pour changer quoi que ce soit sur le site.
Comme mot de passe, vous devez en créer un qui donne à WordPress le niveau de sécurité "Fort", c'est-à-dire au moins 7 à 8 chiffres et qui doit contenir des caractères spéciaux à l'exception des lettres majuscules et minuscules et des chiffres.
Si nécessaire : supprimez les fichiers license.txt ainsi que readme.html et readme.html du répertoire racine de WordPress, ces deux derniers contiennent la version de WordPress, que tout le monde n'a pas besoin de connaître.
Avec ces étapes, votre installation de WordPress est déjà plus sûre que beaucoup d'autres sur le web. Mais il y a d'autres points dont vous devez être conscient afin de rendre le plus difficile possible aux pirates de cracker votre site.
Limiter les tentatives de connexion : Limiter les tentatives de connexion incorrectes
Jusqu'à ce que vous ayez installé ce plugin, vous ne saurez pas combien de fois des tentatives sont faites pour attaquer votre site via la page de connexion. Avec Limit Login Attempts, vous pouvez rendre ces tentatives visibles.
Dans la zone de gestion des plugins, vous pouvez définir après combien de tentatives de connexion la page de connexion sera bloquée pour l'IP qui a fait la tentative de connexion. En outre, vous pouvez être averti par courrier électronique si une tentative de connexion non autorisée a été effectuée. Si une attaque par force brute se produit, où différentes combinaisons de noms d'utilisateur et de mots de passe sont automatiquement essayées, il peut arriver que plusieurs centaines de tentatives de connexion bloquées se produisent en une journée. Cela m'est arrivé plusieurs fois avec ce blog.
Attention à la qualité
Les thèmes et plugins WordPress de fournisseurs tiers provoquent souvent des failles de sécurité cruciales que les pirates peuvent utiliser pour nous envahir. N'installez donc pas trop de plugins sur votre blog juste parce qu'ils pourraient être cool, mais ils devraient être utiles pour votre site web. Plus vous avez installé de plugins, plus il est probable que certains plugins "se gênent" et réduisent la vitesse du site et produisent des erreurs et des échecs.
N'utilisez que les plugins qui sont également répertoriés dans le répertoire officiel de WordPress. Car c'est là que tout développeur de plugin doit s'inscrire pour fournir un plugin à la communauté WordPress. Si un plugin présente des bugs, la communauté le signalera au développeur du plugin en demandant aux différents utilisateurs de le commenter et de le noter.
C'est pourquoi vous devez également faire attention aux notes et au nombre de téléchargements lorsque vous téléchargez un nouveau plugin gratuit. L'avantage des plugins et des thèmes payants que vous pouvez acheter sur différentes plateformes comme Themeforest est que les développeurs fournissent une assistance où vous pouvez signaler des bugs ou d'autres problèmes. En outre, ces programmeurs ont une bonne réputation, de sorte que dans la plupart des cas, ils font le plus grand effort pour fournir des produits de haute qualité.