Guides WordPress

7 conseils pour sécuriser votre WordPress

Découvrez une liste de 7 conseils incontournables et indispensables pour limiter les risques de piratage sur votre site WordPress.

S'inscrire à la newsletter

Saviez-vous que WordPress est le CMS open source le plus utilisé au monde ? Environ 15% des sites internet dans le monde s’en servent.
Qui dit succès, dit revers de la médaille! Il est donc nécessaire de se protéger le mieux possible.

Vous trouverez ci-dessous quelques conseils que j’aurai souhaités connaître lorsque j’ai débuté avec WordPress. Ils vous permettront d’éviter de passer des heures à essayer de récupérer ce qu’il reste de votre site ou blog suite à une attaque.

Dès l’installation : il faut se préparer au pire !

En installant WordPress vous devez renseigner l’identifiant de l’administrateur. Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre des bâtons dans les roues à ceux qui veulent vous nuire ! Laissez faire votre imagination ou un générateur de mot de passe !.

Pour votre mot de passe, j’espère que je ne vous apprends rien en vous disant qu’il faut des minuscules, des majuscules, des chiffres et des signes de ponctuation. J’utilise toujours un générateur comme celui dont j’ai parlé un peu plus haut.

C’est la même chose pour le préfixe de vos tables, oubliez le “wp” habituel pour quelque chose de plus exotique comme “n9z” ou “qb2”. Je vous déconseille de mettre vos initiales, c’est la première chose à laquelle vos assaillants vont penser.

Maintenez WordPress à jour

WordPress est régulièrement mis à jour, n’oubliez pas d’installer les mises à jour lorsqu’elles sont disponibles dans votre tableau de bord. En migrant vers la dernière version de WordPress, vous éviterez que les failles de sécurité de la version précédente soient exploitées.

Avec la mise à jour automatique, cela sera fait en moins de 2 minutes (n’oubliez pas de sauvegarder votre base avant).

Chouchoutez vos fichiers sensibles

Il y a 2 fichiers qui sont très importants dans votre installation de WordPress : “wp-config.php” et “.htaccess”, il faut prendre bien soin d’eux. Vous pourrez ajouter d’autres choses au fichier “functions.php” de votre thème.

Dans wp-config.php

Générez et insérez y les clés de sécurité en vous rendant sur la page suivante : https://api.wordpress.org/secret-key/1.1/salt/

Note : Vous aurez besoin de vous reconnecter après cette manipulation.

Dans .htaccess

Protégez votre fichier wp-config.php grâce à ce code :

<Files wp-config.php> 
   order allow,deny  
   deny from all  
</Files>

Protégez votre fichier .htaccess (ce code peut être contenu dans le même .htaccess) :

<Files .htaccess>
   order allow,deny  
   deny from all  
</Files>

Dans functions.php

Ce conseil est déjà bien répandu mais je vous le rappelle tout de même. Il s’agit de cacher le numéro de version de WordPress. En effet, un éventuel hacker pourrait, grâce à ce numéro connaitre les failles de sécurité de votre site (si vous n’avez pas mis WordPress à jour).

Voici le code à insérer :

remove_action('wp_head', 'wp_generator');

Cachez vos répertoires

Il se peut que vous n’ayez pas désactivé l’exploration de vos répertoires. Par exemple en entrant l’url suivante : votresite.com/wp-content/plugins n’importe qui peut apercevoir les plugins que vous utilisez et donc exploiter les failles éventuelles…

Retournez dans le fichier .htaccess et insérez-y le code suivant :

Options All -Indexes

Restreignez l’accès à votre administration

Le plugin Login Lockdown permet de limiter le nombre de tentatives pour se connecter à l’administration de WordPress. C’est particulièrement utile si quelqu’un essaie de deviner votre mot de passe. Attention à ne pas vous tromper plusieurs fois de suite, sinon vous devrez attendre pour vous connecter :)

Télécharger Login Lockdown

Le plugin AskApache Password Protect devrait plaire aux plus soucieux. Il permet d’ajouter un niveau de sécurité supplémentaire en créant un identifiant et un mot de passe pour accéder à tout ce que contient le répertoire wp-admin.

Téléchargez AskApache Password Protect

N’oubliez pas ce plugin essentiel

WordPress Security Scan est un plugin qui se chargera de contrôler que tout est en ordre afin que vous ayez le moins de chances possibles de vous faire attaquer. Il vérifie entre autres que :

  • que votre WordPress est à jour
  • le préfixe de vos tables (et la possibilité de le changer)
  • que les permissions de fichiers sont bonnes
  • que vos fichiers et répertoires sont bien protégés
  • etc

Téléchargez WordPress Security Scan

Backup, Backup et … Backup

S’il n’y avait qu’une seule chose à faire pour sécuriser votre site sous WordPress, c’est d’effectuer des sauvegardes régulièrement. Je me suis déjà fait avoir une fois, j’ai perdu absolument toute la base de données et quand il y a plusieurs dizaines d’articles c’est très triste :(

Il existe des dizaines de plugins WordPress pour sauvegarder vos fichiers (répertoire de vos extentions et thèmes WordPress ainsi que vos fichiers envoyés principalement) et votre base. Je ne les ai pas tous testés mais je vous recommande grandement WP-DB-Backup par Austin Matzko.
Ce plugin sauvegardera votre base à intervalle de temps régulier en vous l’envoyant par mail ou en la stockant sur votre serveur.

Il existe également des plugins qui utilisent Dropbox et Amazon S3 pour stocker vos sauvegardes. Vous pouvez aussi le faire manuellement en utilisant votre client FTP favori.
Vous avez maintenant toutes les clés en main pour que votre WordPress devienne une vrai forteresse. Avec ces conseils vous serez certain de figurer parmi ceux qui sécurisent le plus leurs sites/blogs.

Connaissez-vous d’autres astuces afin de pousser encore plus loin le niveau de sécurisation de WordPress ? Je serais curieux d’apprendre de nouvelles techniques :)

Passez une agréable journée,
Alex

Sources stats : w3techs.com – photo via Flickr

156 commentaires
  1. illustrateur web le

    De bons conseils mais je me suis toujours demandé qui pourrait bien tenter de forcer mes installations…
    normalement avec un bon MDP c’est déjà quasiment impossible! de rentrer.

  2. Video le

    Merci pour cette petite piqure de rappel qui fait du bien ! Il est vraiment important de protéger son WordPress

    Antoon

  3. manu le

    merci pour ces infos. en effet
    AskApache Password Protect a l’air très complet.

    Et oui, nos malheureux blogs sont parfois la cible d’attaque ciblée sur des plugins, même si on a des mots de passes de la mort qui tuent!

  4. Kattagami le

    Merci pour cet article instructif.

    Cependant je me permets de te signaler qu’il y a une erreur sur cette ligne de code dans ton texte :

    remove_action('wp_header', 'wp_generator');  
    

    Le libellé du hook est « wp_head » et non « wp_header » qui n’existe pas.

  5. Tom le

    Bon article.
    Dans la même optique il faut interdire l’accès à certaine partie du site au robot d’exploration (google bot, bing etc…). Google propose dans son interface « webmaster tools » un outil permettant de construire le fichier robot.txt

  6. jonathan le

    @ Kattagami : merci pour le retour, ma relecture n’a pas été efficace non plus =D

    @Tom : pour le fichier robots.txt, j’ai rédigé un article concernant un fichier robots.txt optimisé pour WordPress : ici

  7. rapetou le
  8. Toff le

    Tout cela est bien utile pour un utilisateur débutant comme moi. Je me suis fait infecté mon blog par les logiciels malveillants en ne le mettant pas à jour de peur de faire de mauvaises manips. Du coup j’étais sur liste rouge sur les moteurs de recherche, j’ai galéré… Maintenant à la moindre MAJ, je fais l’évolution.
    Et j’utilise WP-Security, Better WP Security et Antivirus.

    Merci en tout cas pour toutes les infos et astuces et le boulot réalisé.

  9. Guy Gaetan le

    Bonjour et Bonne Année,
    Article très instructif. Bien que n’étant pas informaticien, je ne comprends pas toujours tout mais ça ne fait rien, j’aime…
    Sur vos conseils, j’essayé de changer « admin » dans mon profil mais il semblerait que cela ne puisse se faire. Y aurait-il une manip particulière pour le modifier maintenant ?

  10. FxB le

    Si tu te loggues en tant qu’admin tu ne peux pas changer son nom, le mieux est de créer un nouvel utilisateur (bien protégé) avec tous les droits d’administration. De te reconnecter avec ce nouvelle administrateur et de changer les droits de ton ancien « admin » en simple utilisateur.

  11. Gaëtan le

    Bonjour Alex,

    Merci de nous faire partager ces bonnes infos et en même temps cela permet d’être à jour et au top avec son blog !

    Bien Amicalement

  12. Sylvie le

    Merci pour ces bon tuyaux, même si en tant que blogueuse débutante +++, je ne comprends pas encore tout, notamment pour les lignes de codes à insérer.
    @FXB : super l’astuce pour changer l’admin, car, bien sur, j’ai fait cette erreur :-) )

  13. BoiteaWeb le

    Bonjour
    Ma solution pour protéger le wp-config.php est encore plus simple avec 0 ligne de code :
    Remontez le fichier d’un cran dans votre arborescence. Oui oui, en dehors du /www/ habituel dans votre FTP chez votre hébergeur. WordPress saura le trouver, lui ;)

    Aussi, attention à l’installation de plugin, je vois dans « N’oubliez pas ce plugin essentiel » le plugin « WordPress Security Scan », je vous invite à lire le changelog version 3.0.9 … je dis ça je dis rien … ;)

    L’installation de plugin est le facteur n°1 des failles sur votre site, vous vous devez de vous assurer que ces plugins n’ouvrent pas des brèches, et ne donnez pas plus de crédits aux plugins dit « de sécurité », ça reste un plugin qui peut contenir des failles. La preuve !

    A bientôt !

  14. Olivier de coaching d'entreprise le

    Oui, il faut prendre les devants avant que les grandes catastrophes n’arrivent !
    Rappel: si vous modifiez des fichiers faites bien une sauvegarde juste avant, au cas où vous en auriez besoin pour tout remettre à plat ensuite !

  15. Urbinfos le

    Merci pour ce tutoriel.

    J’ai également suivi le tutoriel présenté ici, particulièrement la partie htaccess :

    Tutoriel securité

    A utiliser avec précaution (personnellement, j’ai du modifier pas mal de choses pour éviter les plantages)

  16. Guy Gaetan le

    @FXB merci pour cette astuce que j’ai mis en pratique immédiatement…. et je suis beaucoup plus rassuré ainsi.

  17. Aymeric le

    Merci pour ces infos. J’ajouterais une surcouche avec le plugin TAC de WordPress (Theme Authenticity Checker : http://wordpress.org/extend/plugins/tac/ ) qui permet de vérifier que les thèmes que vous installez ne contiennent pas des lignes de codes malicieuses…
    Les failles de sécurité peuvent venir avec les thèmes que vous installez!

  18. BoiteaWeb le

    Attention à TAC qui donne des faux positifs ! Je ne conseille pas de se baser sur son info pour savoir si le thème est bon. Si TAC vous dit qu’il est mauvais, il PEUT l’être, l’inverse aussi s’il vous dit qu’il est bon, il PEUT l’être, mais TAC n’est qu’un simple script PHP et ne remplacera pas un humain.
    Je vais faire un article sur TAC car je m’aperçoit que trop de monde faire confiance à des plugins pour sécuriser leur WordPress ce qui est totalement paradoxal.

  19. Patrice Albertus le

    Merci Valentin pour ce Tuto :)

    Pour rejoindre Aymeric, je souhaite attirer l’attention sur d’autres failles très sévères sous WP : les attaques via des plugins et thèmes type cheval de Troie. Cette méthode consiste à créer des thèmes, souvent gratuits, ou des plugins et les laisser vivre quelque temps, puis à un moment donné se servir de ces derniers pour soit créer un porte ouverte dans vos installs, soit faire du blackhat SEO… ou pire.

    Il est donc très important de vérifier les plugins/templates que vous installez et faire confiance à ceux reconnus par la communauté.

    Et enfin, faire de la veille sur les hack des framework utilisé dans les thèmes (récemment timthumb.php a permit de placer des malware sur des milliers d’installs WP : http://markmaunder.com/2011/08/02/technical-details-and-scripts-of-the-wordpress-timthumb-php-hack/)

  20. Aymeric le

    @BOITEAWEB Oui il peut remonter des faux-positifs, après libre à chaque utilisateur de vérifier la véracité des infos renvoyées par TAC. ça reste un bon indicateur je trouve, tu as eu beaucoup de faux-positifs avec ?
    Je te rejoins complètement comme @PATRICE ALBERTUS, des plugins aussi peuvent contenir tout un tas de choses mauvaises, rien ne vaut une vérification rapide du code (par un dev si vous ne l’êtes pas) pour voir si il n’y a pas des appels à des fichiers externes via Curl, fil_get_content par exemple…. Mais je ne mettrais pas TAC dans cette catégorie pour autant

  21. BoiteaWeb le

    J’ai vu 2 faux positifs oui, c’est pas beaucoup, en même temps … je ne l’utilise plus … « libre à chaque utilisateur de vérifier la véracité des infos renvoyées par TAC » non, quand tu utilises TAC c’est que tu n’as pas le profil ou la capacité de vérifier le code toi même, donc tu NE PEUX PAS vérifier la véracité des infos, autant vérifier de suite sans TAC pour faire ça alors.
    Une personne ayant un profil utilisateur/non dev qui souhaite savoir si le thème est correct ou non utilisera TAC et ça c’est le problème.
    Je suis en train de faire mon article, sera pret demain peut etre.

  22. Alex de WP Themes Pro le

    @Julio Tu devrais nous coder un super plugin pour détrôner TAC, tu ferais un carton ;)

  23. BoiteaWeb le

    un simple script PHP ne remplacera pas un humain

    Relis moi bien Alex ;)

  24. Alex de WP Themes Pro le

    Yes, mais il y a sûrement des améliorations à apporter. Ou alors faire un big tuto sur ce qu’il faut checker pour être sûr que son thème est sain (c’est peut-être le contenu de ton article à venir ^^)

  25. Aymeric le

    @BOITEAWEB à la fois je n’installe pas des thèmes tout le temps ;-) J’avais TAC à une époque sur une installation de WordPress. Si il me renvoyait une alerte, je vérifiais le code à la main. Après, vérifier ligne par ligne chaque thème ou plugin installé… Je n’ai pas le temps ! Donc je me fais pré-mâcher le travail:)

    J’attends ton article, il y a clairement des plugins qui font des choses pas claires du tout;-) Et je rajouterais, trop de plugins tuent WordPress.

  26. BoiteaWeb le

    @alex: Le big tuto serait une formation à mon métier ? Impossible que je fasse ça.
    @Aymeric: Et si il ne renvoie pas d’alerte mais que le thème est vulnérable ? :s

  27. Aymeric le

    @BOITEAWEB bah, comme un virus sur mon ordi… rien n’est infaillible :-/

  28. BoiteaWeb le

    Sauf que sur ton ordi tu n’installes pas un virus pour vérifier si tu as des virus.

  29. Alex de WP Themes Pro le

    @Julio Montre en un peu pour aider le plus de personnes possible et garde le reste pour ceux qui veulent aller plus loin. Non ?

  30. BoiteaWeb le

    Je l’ai fait dans mon slide lors du WordCamp 2011, l’article et le slide sont sur mon blog.

  31. jonathan le
  32. BoiteaWeb le

    Merci je ne voulais pas le faire de peur qu’on pense que je veuille utiliser ton article pour trmplin sur le mien ;)

  33. jonathan le

    @Julio : Non tkt, on est là pour partager nos connaissances ;)

  34. Aymeric le

    @BOITEAWEB non je n’installe pas des virus mais des logiciels, enfin bref. ça m’aidait à l’époque à gagner du temps, c’est toujours mieux que rien mais je comprends ton point de vue.

  35. vallsymachinant le

    Très intéressant !! Je ne connaissais pas le plugin Security !! Merci pour la découverte

  36. Aymeric le

    Enfin ce que je voulais dire, bien au delà de Theme Authenticity Checker: il y a aussi des failles/brèches dans les thèmes et plugins WordPress, alors soyons prudent quand nous rajoutons des éléments à WordPress :-)

  37. BoiteaWeb le

    « être prudent » c’est justement ce qu’une personne non développeur ne peut pas vraiment faire pour s’assurer que le plugin/thème est correct ou non.
    En voiture, je suis prudent, je mets ma ceinture et ne dépasse pas la vitesse autorisée, néanmoins, je peux être percuté de plein fouet par quelqu’un qui ne respecte pas ça. Ma « prudence » a eu ses limites.
    Même chose pour les plugins, j’installe un plugin dit « de sécurité » (c’est ma ceinture de sécurité) mais rien n’empêche que ce plugin infecte mon site tout de même, même si ce n’est pas volontaire.
    ps : création d’article TAC dispo avant 17h ;)

  38. BoiteaWeb le
  39. Adrien le

    Super récap’ ! Il y a du boulot !! ;)

  40. Martine le

    Merci pour ce rappel primordial et qui m’évitera bien des soucis à l’avenir …. Je ne connais pas AskApache Password Protect, je vais tester…
    Amicalement.

  41. Eloka le

    Bonjour Alex et merci pour cet excellent article. WordPress est une solution clean et sécurisée à la base mais mieux vaut être méfiant s’il on ne veut pas d’un blog-passoire !

    Pour répondre à certains commentaires, ce n’est pas seulement nos installations qui sont le plus souvent la cible des pirates mais les serveurs où ils sont hébergés.

    Les protection via .htaccess et .htpasswd sont également très bien pour protéger le répertoire /wp-admin/
    Mais j’ai néanmoins vu une intrusion sur un de mes sites malgré cette protection.

    Il n’existe pas trente-six solutions :
    Tout d’abord, suivre à la lettre les indications d’Alex. Deuxièmement, conservez toutes vos données sensibles sur VOTRE ordi, pas celui du voisin. Ne vous connectez jamais depuis un PC inconnu. Troisième point : sécuriser votre boîte e-mail personnelle. Pourquoi ? Parce qu’une intrusion dans celle-ci peut entraîner de véritables catastrophes si vous l’utilisez dans votre compte administrateur. Enfin, je pense qu’une utilisation limitée des plugins est évidente. On ne sait jamais s’ils contiennent ou non des failles.

    Depuis que j’utilise WP Security Scan et DB Backup je ne rencontre plus de problème. Mais ça ne signifie pas qu’ils ne se passe rien, les tentatives de connexion infructueuses sont monnaie courante !

    J’utilise aussi Bad behavior sur certaines installations sensibles. Ce plugin restreint les injections SQL vers la base de données.

  42. Geoffrey le
  43. BoiteAWeb le

    @geoffrey: je pense que ton article est trop long et touche à trop de chose différentes, le niveau requis est parfois bas, parfois élevé.
    Pas beaucoup de retour ? Oui, beaucoup on ouvert l’article, commencé à lire et sont partis avant d’arriver en bas :s
    J’ai commenté ton article ;)

  44. Geoffrey le

    @boiteaweb : Merci pour ton retour.
    Je ne vois pas trop comment réorganiser l’article. À moins de le diviser et d’en faire deux ou trois.

    En tout cas merci pour tes retours.
    Cela m’a permis également de diversifier un peu plus mes sources.
    Bonne journée à tous !

  45. BoiteAWeb le

    À moins de le diviser et d’en faire deux ou trois.

    C’est ce que je dis ton le comm de ton article cher ami ;)

  46. Geoffrey le

    Oups, pardon, j’avais compris le terme « découpe » au sein même de l’article. Au temps pour moi.
    Merci encore pour tes retours.
    Laissons place aux commentaires sur l’article même de GeekPress, j’ai déjà un peu trop empiété l’espace de commentaires ! :p

  47. BoiteAWeb le

    haha, au contraire, qu’on continue, ça fait vivre le post ;)

  48. Geoffrey le
  49. BoiteAWeb le

    Essayer de cacher la version de WordPress est inutile, mais bon si ça peut vous rassurer ;)

  50. Geoffrey le

    Oui sur le fond ça ne corrige pas une éventuelle faille. Mais ça limite la diffusion d’information (que je pense inutile).

    Afficher un numéro de version en public connue pour être vulnérable c’est un peu tendre le bâton pour se faire battre. :)
    M’enfin, celui qui ne met pas à jour WordPress ne prendra certainement pas le temps de cacher son numéro de version non plus… (#raccourciFacile)

  51. BoiteAWeb le

    Tu as raison sur le dernier point, pourquoi ne pas la cacher ? Car vous avez la dernière version, pourquoi le cacher vous êtes à jour !?
    Puis si vous ne pouvez pas pour X raisons (ça arrive maleureusement), il est toujours possible de deviner quelle est la version installée, à 0.0.x prêt ;)

  52. Loïc le

    Merci pour l’article et les retours pleins d’enseignement. Bonne continuation.

  53. img le

    Merci pour ce bon article et ces commentaires instructifs.
    Pensez également à masquer la signature de votre serveur en rajoutant « ServerSignature Off » dans votre htaccess.

  54. SamSoul le

    Même si l’on n’est pas forcément sur le registre de la sécurité, je pense qu’il faut fortement se méfier (bannir??) des thèmes (gratuits ou pas) contenant du code en Base64 (souvent dans le footer).
    Ce chiffrement peut contenir des liens indésirables et/ou du code malicieux.
    Et contrôler tous les liens et leurs styles CSS afin d’éviter les liens cachés (position fantaisistes ex: top: -800px; left:-650;)

  55. BoiteAWeb le

    Pas forcément que lre registre de la sécurité ? Mais tu es complètement dedans, je vais même te faire un peu plus peur :
    Le code en base64 peut contenir n’importe quel code php. Ce qui inclus la possibilité de prendre la main et sur le site (vol des login/pass, création de user admin invisibles) ou même prise en main du serveur qui l’héberge.
    Et oui, ce n’est pas juste pour controler du CSS ;)

  56. SamSoul le

    Tout à fait. Je me suis mal exprimé. Je distinguais 2 choses: d’une part les CSS plaçant des liens hors zone de site et d’autre part le fameux code en base64 qui peut être « inoffensif » certaines fois mais aussi contenir une bombe à retardement par le biais de codes malicieux aux conséquences désastreuses.
    Inutile de perdre du temps à décoder les éléments, mettre le thème dans la corbeille est la solution à adopter.
    Après, libre à chacun de faire ce qu’il veut mais bon, c’est jouer avec le feu…

  57. BoiteAWeb le

    « Inutile de perdre du temps à décoder les éléments »
    J’adore reverse leur code x)

  58. Patrick le

    Passionnant, mais comment on change, après installation les tables que l’on a laissées en wp.
    Merci.

  59. Alex de WP Themes Pro le

    Bonjour Patrick,
    TU peux utiliser le plugin WebsiteDefender WordPress Security pour modifier le préfixe des tables de WordPress.
    Bonne continuation.
    Alex

  60. Patrick le

    Merci pour cette réponse rapide.

  61. Masamune le

    Bonjour,

    Au niveau des astuces de sécurité, il ne faut pas oublier de générer des clés aléatoires dans wp-config.php (à la racine du site), via le générateur officiel : https://api.wordpress.org/secret-key/1.1/salt/ .

    Je vous recommande également cet article : http://codex.wordpress.org/fr:Donner_%C3%A0_WordPress_son_Propre_Dossier qui permet de changer le répertoire de base des ressources WordPress ; en conjugaison avec le masquage de l’arborescence des dossiers via htaccess, votre site sera vraiment bien sécurisé.

    Dernière astuce : pour ceux qui n’auraient pas changé le préfixe des tables de la base de données, on peut le remodifier après installation via le plugin que tu conseilles : WordPress Security Scan.

    Merci pour cet article en tout cas ;)

  62. carreco le

    Merci pour tous ces conseils. Carreco

  63. Alice le

    Supers conseils, merci !

  64. Dominique le

    Dis donc, quand on débute ça fait encore beaucoup d’éléments à mémoriser. Merci Alex, en tout cas, pour ces infos précieuses !

  65. Julio Potier (BoiteAWeb.fr) le
  66. Dominique le

    Better WP Security a l’air encore plus performant comme plugin. Quelqu’un peut en dire un mot ?

  67. David-Création le

    article intéressant mais certains point auraient pu être ajouté comme cacher sa version de wp, masquer les erreurs de connexion, la faille TimThumb, supprimer livewriter, etc…
    J’ai d’ailleurs écrit un article la dessus

  68. Jonathan Buttigieg le

    @David : Le point sur le fait de cacher la version a déjà été indiqué par l’auteur dans l’article ! De plus, cacher la version de WordPress ne sert strictement à rien. Il y a tellement de moyen de la trouver que ça devient inutile de la cacher.

  69. Julio Potier (BoiteAWeb.fr) le
  70. pericomo le

    Merci pour ces infos… mais on n’y comprend rien du tout si l’on n’est pas déjà très initié. Pensez aux débutants de chez débutants !
    Et puis, évitez svp les ellipses. Par exemple : vous conseillez de sauvegarder les données. Comment fait-on ça ?
    Cela dit sans aigreur aucune !

  71. Julio Potier (BoiteAWeb.fr) le
  72. Fred le

    Très bon article, merci !

  73. Grégory de Bloguer facile le

    On en apprend tous les jours … En l’occurrence, je ne connaissais pas les clés de sécurité. Intéressant.

    Cela étant, j’ai un problème … Je les ai modifié comme indiqué. Et depuis, l’admin de mon blog est inaccessible. En fait, elle me renvoie une belle page blanche.

    Je me suis dit « ça va être temporaire ». Mais ça dure depuis 2h … Je me suis dit « faut purger les cookies ». Mais ça n’a rien changé …

    Que me proposez-vous ?…

  74. RefOnWeb le

    D’accord pour la mise à jour fréquente de WordPress et le backup quotidien (perso via un cron).
    Reste le problème des plugins pas toujours sûrs…

    NB: Dernière mise à jour de « AskApache Password Protect » 2010-10-28 et 15 votes avec la note la plus basse, il est toujours d’actualité ???

  75. Jonathan Buttigieg de Devéloppeur WordPress Freelance le

    D’ailleurs, en parlant de BackUp, j’ai oublié de mentionner que j’ai écris 2 scripts qui permettent de faire une sauvegarde des fichiers du site et de la base de données. Les scripts sont disponibles sur Github : https://github.com/GeekPress/WP-BackUp

    Dans le même genre, il y a WP Easy BackUp de Julio.

    Maintenant, vous n’avez plus d’excuses pour ne pas mettre en place un backup =)

  76. Julio Potier (BoiteAWeb.fr) le

    @refonweb: Ce plugin est très bon et très technique, ce qui fait que dès qu’une personne a un probleme, elle note 1/5 car le support est inexistant. Mais je te confirme qu’il est bon (mais je ne l’utilise pas)

    @jo: merci ;)

  77. Nectart le

    Petite question.
    Peut-on effectuer ces manipulations directement lors de la phase de développement en local ? ou faut-il le faire uniquement une fois en ligne ? Merci pour ce blog très intéressant.

    Autre petite question : je me suis inscris sur le site, cependant lorsque je clique sur le lien de connexion, rien ne se passe. A+.

  78. Sandrine le

    Merci beaucoup Alex pour ces info très utile. Rue que de sauvegarder sa base! Mais comment tu t’y prends? Tu sauvegardes les fichies qu’il y a dans Filezilla?
    Merci pour vos reponses

  79. Patrick de [CAP] Comment Apprendre la Photo le

    Il faut installer un pungin comme wp-db-backup : http://wordpress.org/extend/plugins/wp-db-backup/
    Le paramétrer pour qu’il envoie régulièrement et automatiquement, la sauvegarde par mail.
    Perso, j’ai créé une adresse gmail pour recevoir les sauvegardes de mes différents sites… et ça m’a déjà bien sauvé la mise un jour de grosse galère !
    Cordialement.

  80. Sandrine le

    Merci Patrick pour l’info. Je vais l’appliquer !

  81. Nectart le

    Faut être une nana pour avoir une réponse sur ce site ?

  82. Julio Potier (BoiteAWeb.fr) le

    @nectart: Non il faut que les gens qui lisent ton commentaire sachent y répondre. Puis il faut être patient puisque c’est bénévole. Ensuite il aurait fallu être courtois, mais là c’est raté, j’ai plus envie de te lire. /ignore

  83. Jonathan le

    @Nectart : Evite de troller sur ce site (j’ai modéré ton dernier commentaire…).

    Pardonne nous d’être bénévole et de ne pas pouvoir prendre le temps de voir et/ou répondre à toutes les questions.

    Pour te satisfaire, je vais répondre à tes questions au plus simple …

    1- local
    2- Merci, essaye sous Firefox, ça fonctionnera.

  84. David de Stratégies Commerçants le

    Tiens, un troll sur un blog, ca faisait bien longtemps que je n’en avais pas vu ^^

    Dommage que tu n’ai pas été courtois, si tu attendais une réponse rapide tu avais Google, comme dit juste au dessus ce sont des bénévoles qui postent sur ce blog, ils n’ont pas forcément vu ton commentaire directement !

    Encore merci pour ces précieuses informations

  85. Daniel Morand le

    Merci pour ces excellents commentaires de sécurité; je les ai mis en pratique dès la lecture. Bravo !

  86. Laintimes le

    J’utilise également Login Lockdown je le conseil vivement!

  87. Marjorie de Histoire à Vivre le

    Hello, bel article et très instructif. J’ai une question : comment ouvre-t-on les fichiers en question (php, config) pour insérer la ligne de code ? Avec Kompozer ? Je me sens un peu perdue tout soudain ;)

  88. Alex | WP Themes Pro le

    Bonjour Marjorie,
    Kompozer devrait faire l’affaire, ouvre le fichier wp-config.php et procède aux modifications :)

    Au plaisir
    Alex

  89. Marjorie le

    Merci Alex, c’est bien ce que je pensais ;D

  90. Vernet le

    Pour ma sauvegarde fichier et base de données, j’utilise le plugin X-Cloner qui fonctionne très bien et est très complet!

    J’ai l’impression que la dernière version de wordpress a corrigé la faille qui affichait les plugins sans être connecté

  91. Marjorie de Histoire à Vivre le

    Re,
    Finalement, je le ferai plus tard, car d’une part je ne suis pas sûre de l’ouvrir correctement dans Kompozer, et d’autre part je ne vois pas où le mettre (le code est petit).
    Au risque de me tromper, je verrai donc ça plus tard avec un connaisseur.
    Merci de l’info malgré tout
    Marjorie

  92. Marjorie de Histoire à Vivre le

    P.S. Je veux dire un connaisseur à mes côtés lol

  93. Tanguy de Seminaire Savoie le

    Bonjour,

    Un énorme merci pour vos précieuses instructions car je me suis fais hacker un site sous WP et franchement c’est la « galère » l’hébergeur la suspendu et je cherche ce qu’il faut faire comme corrections. Si l’hébergeur le réactive et qu’il y a tjs un pb il le supprime carrément!!

    Donc je sécurise de suite mes autres sites avec vos instructions, encore merci.

  94. Julio Potier de Sécurité WordPress le

    @tanguy : Si vous vous êtes fait cambrioler, ne verrouillez pas la porte avec les cambrioleurs à l’intérieur ;)

  95. tlaugier9 le

    Bah ça peut être une solution en entendant la police !! ^^

  96. niada le

    Bonjour,
    Je suis novice dans la création de blog; j’ai mon blog installé chez OVH et je voudrais pouvoir modifier le fichier « wp-config.php » comme indiqué dans votre article. NB: j’ai fait une installation rapide (celle proposé par OVH).

  97. niada le

    Merci d’avance

  98. Benoît le

    @nidia,
    Je ne suis pas un expert non plus mais si ça peut t’aider, personnellement, j’ouvre ce genre de fichier avec le programme « Dreamweaver » d’Adobe.
    Bonne continuation ;-)

  99. Phil le

    Bonsoir j’apporte ma pierre a la sécurité car j’ai des sites avec un fort trafic est ras le bol des injections SQL et des attaques DDOS surement de mes concurrents!
    Donc merçi les US pour cette solution gratuit :

    https://fr.cloudflare.com/

    Ceux qui veulent essayer l’option gratuit est largement suffisant;)

    Bonne soirée

  100. marie de cours de zumba le

    Un GRAND merci pour cette article puisque j’ai reçu une attaque du Chili ce week-end sur mon blog wordpress. Je vais télécharger ces plugins afin de pouvoir blogguer plus sereinement! Concernant le backup, j’ai une erreur avec WP-DB-Backup, pour ma part, j’utilise le backup d’OVH qui est très efficace et m’a souvent sauvé…Merci encore.

    Marie

  101. sarah le

    Super article Alex, très complet sur la manière de sécuriser son blog wordpress. Personnelement, j’utilise AskApache Password Protect depuis ses débuts et c’est très pertinent comme outil. J’ai un blog sous blogger, disposes-tu de plugin similaire? Bonne continuation. Sarah

  102. Yann le

    Merci Alex pour tous ces conseils. La sécurité est un sujet très important. Depuis que mon site web a commencé à générer du trafic, il y a des hackers qui le chouchoutent. Pour tous ceux qui pensent qu’avec un simple mot de passe ils peuvent protéger leurs sites web, je leur dis repensez encore.

  103. Koweb le

    Merci pour tout .
    Juste une question quand j’insere les lignes suivantes dans mon fichier wp_config.php

    order allow,deny
    deny from all

    Mon site deviens injoignable .

  104. Jonathan Buttigieg le

    @Koweb : C’est normal, ces lignes ne doivent pas être insérées dans le fichier wp-config.php, mais dans le fichier .htaccess présent à la racine de votre ftp comme ceci :

    <Files wp-config.php>
       order allow,deny  
       deny from all  
    </Files>
    
  105. paulo le

    Très bon article Alex, je conseille AskApache Password Protect qui m’a très bien protégé depuis le début de mon blogging. Pour le backup, je préfère passer par mon hébergeur 1and1 ou OVH qui est sûre ! Paulo

  106. Anost le

    Bonjour,

    Pourriez vous m’expliquer comment agit la fonction « Options All -Indexes » par rapport à l’attribution de droits d’accès par « order deny, allow » ? Il me semble que l’on peut aussi bien passer par ce dernier, non ?

  107. Oli le

    Bonjour,
    Merci pour cet article très intéressant, une fois de plus.
    Je me pose quand même une question : le plugin WP Security Scan n’a plus été màj depuis le 19/12/2011!
    Est-il toujours prudent de l’installer ?
    N’y en à t’il pas un mieux suivi et tout aussi fiable ?
    Merci déjà :)

  108. Jonathan Buttigieg le

    @Oli : C’est le plugin qui est recommandé depuis pas mal d’année pour suivre la fiabilité de la sécurité d’un site.

    Après, la date de publication importe peu. Si le code n’entre pas en conflit avec la nouvelle version de WP, on s’en fou un peu. Et puis si le plugin n’était plus fiable, la communauté aurait pris le soin de l’indiquer dans les commentaires du plugin :)

  109. oli le

    Merci Jonathan.
    Bon dans l’intervalle j’ai installé le plugin « Better WP Security »…
    Est-ce un mauvais choix ?
    Si je le désinstalle pour installer l’autre (sachant que mes tables sont renommées, etc.) cela ne risque t’il pas de flanquer mon site par terre ?
    Un grand merci pour ton aide et bonne journée :)

  110. Jonathan Buttigieg le

    @Oli : Le préfixe des tables est stocké dans une variable PHP présente dans le fichier wp-config.php. Elle n’est pas donc pas présente dans la base de données et ne risque pas d’être modifiée suite à l’activation/désactivation d’un plugin.

  111. Benoit de référencement wordpress le

    De bons conseils que beaucoup de gens oublient trop souvent.
    Pourtant quand on suit les fichiers log de nos serveurs on se rend compte du nombre d’attaques journalier.
    Pour ma part j’ai en plus ajouté un fichier .htaccess dans le répertoire wp-admin pour limiter les IP ayant accès à ce répertoire

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from mon ip
    
  112. Jonathan Buttigieg le

    @Benoit : En effet, il est judicieux de protéger son dossier wp-admin à l’aide d’une restriction dans un fichier .htaccess.

    Par contre, cela signifie que l’accès à l’administration n’est pas accessible aux membres, aux contributeurs, etc… A utiliser si on est seul à devoir accéder à l’admin.

  113. oli le

    Pour moi qui débute dans le domaine, dites-moi si j’ai bien compris :
    1- je crée un fichier .htaccess dans le rep wp-admin
    2- je copie juste les lignes ci-dessus dedans
    3- je sauvegarde et hop ça marche ?

    merci pour votre aide :)

  114. Jonathan Buttigieg le

    @Oli : Pour la protection du wp-admin, il faut mettre cela en place uniquement si vous êtes la seule personne à avoir un accès à l’admin. cela implique aussi que vous allez restreindre l’accès à l’admin à un poste de travail.

    Concernant le code, vous devez modifier « mon ip » par votre IP ;)

  115. oli le

    Misère quelle brute je fais!
    je n’ai pas mis cette adresse et me voilà bloqué pour accéder à mon propre site maintenant…
    je suis sur un pc dans un réseau protégé donc sans connaissance de mon adresse à l’extérieur…
    comment puis-je lever totalement cette restriction et revenir à la situation d’avant, svp ??

  116. Jonathan Buttigieg le

    En supprimant le fichier .htaccess que vous venez d’ajouter dans le dossier wp-admin ;)

  117. oli le

    Ha bien sur c’est ce que j’ai fait en premier mais je suis toujours bloqué… :-/

  118. Jonathan Buttigieg le

    vous avez forcément laisser un code parasite quelque part. Regardez du côté du fichier .htaccess qui se trouve à la racine de votre site.

    En général, c’est pour ce genre de situation que l’on conseille de faire un backup des fichiers avant une intervention risqué comme cella là. En cas de problème, il suffit de remettre les fichiers du dernier backup.

    Si votre site est http://www.giteetcouvert.net/, j’ai bien un accès à la page wp-login.php :)

  119. oli le

    En effet cela re-fonctionne à présent! :D
    Peut-être fallait-il un temps de synchronisation ?
    J’avais de toute façon un backup récent.
    Merci pour ton aide et désolé du dérangement ;)

  120. Bécane web le

    Merci pour ces infos.

    Le plugin Wordfence security est également très complet pour développer un environnement sécurisé de votre WordPress.

  121. beyeum le

    Salut

    merci ces informations sont très utiles
    j’ai été deux fois attaqués

    Ces sont conseils sont importants

  122. maguy le

    Bonjour,
    Pour ces deux plugins : Login LockDown et DB Backup quand on veut les télécharger :
    Ce plugin n’a pas été mis à jour plus de 2 ans. Il ne peut plus être maintenu ou pris en charge et peut avoir des problèmes de compatibilité lorsqu’il est utilisé avec des versions plus récentes de WordPress. ???

  123. Ars le

    Merci à Alex et à tous les intervenants qui permettent un débat constructif.
    En tant qu’amateur débutant WP, je ne peux qu’apprécier le débat

  124. Greg de Créer un blog Wordpress le

    Salut !

    Merci pour ce superbe article très complet. A l’installation, WordPress est un peu comme une passoire. Il ne faut pas oublier de boucher les trous :)

    Je vais rajouter sur mon blog la petite ligne de code pour cacher ses répertoires.

    Merci encore !

    Greg

  125. PASCAL Philippe le

    Merci pour la piqure de rappel.
    J’avais presque oublié, avant de mettre mon site en ligne, la sécurité…une honte je vous dis :D

    Toutefois, il semblerai que WP Security Scan soit en forte chute de régime (regardez la note ;) ), certains s’étant retrouvés avec un site mort après mise à jour.

    Les deux plugins qui semblent le plus fiables (un minimum en matière de sécurité :D ), et complémentaires sur certains points, sont « Wordfence Security » et « Better WP Security ». Ils sont mis à jour régulièrement et n’ont (pas encore ;) ) d’incidents majeurs comme WP Secutity Scan.

    Quand à la fameuse profusion de thèmes « gratuits » qui sont en fait des faux, le mieux reste encore de s’en tenir à ceux qui sont sur WordPress.org et les gratuits distribués par les boites qui développent des thèmes payants.

    La quasi totalité des sites de téléchargement « gratuits » qui ressortent sur Google sont en fait des thèmes (souvent payants à la base) trafiqués pour servir de troyens, de vol de SEO, de support de malwares et bien plus encore.
    Et avec ce pognon…ils se paient du Google rank ;)

    Pour moi, il n’est même plus question de chercher ailleurs un thème gratuit que sur WordPress.org, car même les gratuits fournis par les vendeurs de thèmes n’ont aucun support la quasi totalité du temps…puisqu’il fait partie du payant.
    Et lorsque vous allez sur WP.org pour avoir du support, ils vous envoient paitre car le theme n’est pas indexé chez eux et « donc » considéré comme payant, même en version gratuite.
    Une chose que CyberChimps a bien compris en indexant tous ses thèmes gratuits sur WP.org et en profitant, en plus de la pub, du support gratuit des utilisateurs de WP.org ;)

    J’étais, par exemple, tenté par iTheme 2 gratuit. Mais aucun support chez le fournisseur. Et presque rien ailleurs…
    J’ai donc pris Custom Community en gratuit : un support au top, des réglages à foison. Je paierai sans problème dès que j’aurai rentré un peu de monnaie ;)

    PS : désolé pour le long post :D

  126. rap le

    Merci pour c’est conseils j’ajouterai le service incapsula pour les attacks DDos

  127. mario le

    fonctionne très bien et est très complet!

  128. exosell le

    Merci beaucoup pour ses astuces ils m’ont beaucoup aider pour améliorer la sécurité sur mon blog

  129. Tina le

    Pourquoi les développeurs de WordPress ne pensent pas à intégrer toutes ces manipulations lors des mises à jour de WordPress?

  130. Daedoovc le

    Merci bcp ca fonctionne très bien

  131. Emry le

    Bonjour,
    J’ai saisi l’url monsite.com/wp-content/plugins sur mes navigateurs, et j’ai à chaque fois obtenu une page blanche sans aucune inscription. J’aimerai savoir si cela veut dire que mes répertoires sont bel et bien sécurisés?

  132. Pitou31 le
  133. Jonathan Buttigieg le

    @Emry: Ce comportement est tout à fait normal et confirme que vos dossiers sont sécurisés :)

  134. Emry le

    Merci beaucoup, je suis rassuré; et marci aussi pour le tuto.Il ne m’a pas servi, mais il m’a permis de vérifier ce paramètre.

  135. eymata le

    Bonjour, après avoir suivi ces conseils (les lignes de code dans les fichiers), tout est devenu blanc, impossible d’accéder à mon site. Que dois-je faire?

  136. Vania le

    Question bête à propos de la ligne Options All -Indexes dans HTACESS.
    On peut le coller n’importe où et ça marche, ou bien cela doit être dans les balises WordPress ?

  137. Jonathan Buttigieg le

    @Vania: Les directives de WordPress doivent être les dernières dans votre fichier .htaccess

  138. eymata le

    Bonjour, pourriez-vous me dire à quel point du fichier exactement je dois introduire remove_action(‘wp_head’, ‘wp_generator’); dans fonctions.php, et Options All -Indexes dans .htaccess? Je n’ai pas dû l’introduire au bon endroit car ils me donnent plein de messages d’erreur. Merci

  139. Vania le

    Comme ça ?

    # BEGIN WordPress
    IfModule mod_rewrite.c
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ - [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    /IfModule 
    
    Options All -Indexes
    # END WordPress
    
  140. Jonathan Buttigieg le

    @Vania: Non, pas comme ça. Vous ne devez jamais touché à ce qui trouve entre # BEGIN WordPress et #END WordPress.

    Le bon code est le suivant :

    Options All -Indexes

    # BEGIN WordPress

    # END WordPress

    Comme je le disais dans mon précédent commentaire : Les directives de WordPress doivent être les dernières dans votre fichier .htaccess.

    @Eymata: Vous pouvez ajouté la ligne de code à n’importe quel endroit du fichier functions.php. Pour le Options All – Indexes, ma réponse est juste au dessus ;)

  141. Vania le

    OK, merci beaucoup. ;-)

  142. eymata le

    Merci. Et pour remove_action(‘wp_head’, ‘wp_generator’); ?
    Par ailleurs, pardon pour ma naïveté, mais j’ai téléchargé Login Lockdown, et je ne sais que faire avec les fichiers.

  143. angelino_ti le

    Un grand Merci :)

  144. Nath' le

    Bonsoir,

    Beaucoup d’infos très intéressantes pour moi qui ne suis pas une pro de la technique sur WP.
    Mon blog a 2 ans maintenant et je regrette de ne jamais avoir fait la mise à jour WP : on m’avait déconseillé de le faire en me disant que cela risquait de provoquer plein de soucis au sein de mon contenu.
    Que me conseillez-vous ? Y a t il vraiment un risque à ne pas faire la mise à jour ? Inversement à quoi dois-je m’attendre comme bug en faisant la mise à jour (sachant que ma version WP est ancienne) ?

    Bonne soirée

  145. stephane le

    Merci pour ce super article complet et bien écrit.
    Pour securiser le site wordpress d un client j ai utilisé l extension Better WP Security,cette extension est tout simplement géniale ,elle permet de masquer et de protéger la page login et de protéger efficacement votre site web.

  146. Manima le

    Bonjour,
    Votre article est on ne peut plus intéressant pour moi et surtout aujourd’hui car je viens de m’apercevoir que je ne peux plus accéder à mon blog !
    En effet j’ai un message de Google me disant : « Le site Web que vous allez ouvrir contient un logiciel malveillant ».
    Je n’ai pas de connaissances informatiques me permettant de solutionner ce problème.
    A la lecture de vos articles, vous semblez être un « pro », non seulement de WordPress mais aussi de tous ces problèmes de piratage et autres virus.
    Je suis hyper angoissée face à mon incompétence.
    Que me conseillez-vous ? Que pouvez-vous me proposer ?
    Par avance merci pour votre prochaine réponse.
    Bien cordialement
    Manima

  147. Nomadindesign le

    Merci pour ce super article que je mets dans mes favoris direct!

  148. Toaster le

    Bonsoir,
    j’ai mis ces codes en place, y a t’il un moyen de tester leur efficacité.
    au cas où il ne serait pas mis au bonne endroit…
    merci

  149. Toaster le

    Ça pourrai être intéressant de voir à quoi ressemble un fichier .htaccess propre et protégé…
    moi j’ai l’impression que dans le mien il y au moins 20 fois les mêmes lignes de codes :(

  150. Fred le

    J’utilise Infinite Wp pour gérer, mettre à jour et backuper mes sites et je l’adore https://infinitewp.com/

  151. zorinho le

    Le problème de la sécurité, c’est qu’il n’y a pas de niveau maximum ceci dit, j’avais vu il y a un moment un plugin payant ‘Hide my WP’ (http://codecanyon.net/item/hide-my-wp-no-one-can-know-you-use-wordpress/4177158?WT.ac=solid_search_item&WT.seg_1=solid_search_item&WT.z_author=wpWave).

    C’est assez bluffant car j’utilise l’extension wappalyzer qui me donne, entre autres choses, l’indication du CMS employé sur le site que je visite mais avec ce plugin, wordpress passe totalement inaperçu, pareil en testant avec http://www.whatismywordpressversion.com/ qui m’indique que le site de demo n’est pas détecté comme un wordpress.

    Perso je ne l’ai pas installé mais je constate quand même qu’il y a plus de 550 votes et que le plugin avoisine les 4,5/5 de moyenne, c’est quand même pas mal !

  152. stephane le

    Merci pour ce superbe article
    j utilise régulièrement Wp better sécurity pour sécuriser les sites Worpress de mes clients …je vous recommande cette extension.

  153. Stéphane le

    Merci pour cet article,

    Je viens de créer un blog sur le marketing de réseau avec wordpress, et vos conseils me sont bien utile.

    Bravo pour le contenu de votre site.

    Bonne continuation

    Stéphane

  154. Coliine le

    Merci pour ces conseils, quelqu’un vient d’essayer de se connecter à mon site, je n’avais jamais eu ce genre de problème avant! Je vais de ce pas tester vos solutions.

  155. Aurore le

    Bonjour et merci pour ces explications !

    Mon fichier .htaccess ne semble pas supporter l’ajout de Options All -Indexes. En le supprimant, le site refonctionne bien. Savez-vous pourquoi et que dois-je faire si je ne peux inclure cette ligne ?

Poster un commentaire

Les champs obligatoires sont indiqués avec *

Ici, on utilise KeywordLuv. Entrez YourName@YourKeywords dans le formulaire "Pseudo" pour bénéficier des avantages SEO d'un mot-clef ciblé. Attention, tous les commentaires non-constructifs ne bénéficieront pas d'une ancre optimisée.

Prévenez moi de tous les nouveaux commentaires par email.

Ne plus afficher|Fermer
Suivez-nous sur Facebook !