Formation WordPress

7 Conseils pour sécuriser votre WordPress et éviter que ce soit un véritable gruyère

posté le par Alex de WP Themes Pro | 67 commentaires | 4761 vues | FavoriteLoadingAjouter à mes favoris

Saviez-vous que WordPress est le CMS open source le plus utilisé au monde ? Il est utilisé par environ 15% des sites internet dans le monde. Ce qui représente … euhh beaucoup de sites :)
Qui dit succès dit revers de la médaille, il est donc nécessaire de se protéger le mieux possible.

Voici quelques conseils que j’aurai aimé connaître lorsque j’ai débuté avec WordPress. Ils vous permettront d’éviter de passer des heures à essayer de récupérer ce qu’il reste de votre site ou blog suite à une attaque.

Dès l’installation : il faut se préparer au pire !

En installant WordPress vous devez renseigner l’identifiant de l’administrateur. Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre des bâtons dans les roues à ceux qui veulent vous nuire, laissez faire votre imagination ou un générateur de mot de passe (oui oui, je parle bien de l’identifiant :) ).

Pour votre mot de passe, j’espère que je ne vous apprend rien en vous disant qu’il faut des minuscules, des majuscules, des chiffres et des signes de ponctuation. J’utilise toujours un générateur comme celui dont j’ai parlé un peu plus haut.

C’est la même chose pour le préfixe de vos tables, oubliez le “wp” habituel pour quelque chose de plus exotique comme “n9z” ou “qb2”. Je vous déconseille de mettre vos initiales, c’est la première chose à laquelle vos assaillants vont penser.

Maintenez WordPress à jour

WordPress est régulièrement mis à jour, n’oubliez pas d’installer les mises à jour lorsqu’elles sont disponibles dans votre tableau de bord. En migrant vers la dernière version de WordPress vous éviterez que les failles de la version précédente soient exploitées.

Avec la mise à jour automatique, cela sera fait en moins de 2 minutes (n’oubliez pas de sauvegarder votre base avant).

Chouchoutez vos fichiers sensibles

Il y a 2 fichiers qui sont très importants dans votre installation de WordPress : “wp-config.php” et “.htaccess”, il faut prendre bien soin d’eux. Vous pourrez ajouter d’autres choses au fichier “functions.php” de votre thème.

Dans wp-config.php

Générez et insérez y les clés de sécurité en vous rendant sur la page suivante : https://api.wordpress.org/secret-key/1.1/salt/

Note : Vous aurez besoin de vous reconnecter après cette manipulation.

Dans .htaccess

Protégez votre fichier wp-config.php grâce à ce code :

<Files wp-config.php>
   order allow,deny
   deny from all
</Files>

Protégez votre fichier .htaccess (ce code peut être contenu dans le même .htaccess) :

<Files .htaccess>
   order allow,deny
   deny from all
</Files>

Dans functions.php

Ce conseil est déjà bien répandu mais je vous le rappelle tout de même. Il s’agit de cacher le numéro de version de WordPress. En effet, un eventuel hacker pourrait, grâce à ce numéro connaitre les failles de sécurité de votre site (si vous n’avez pas mis WordPress à jour).

Voici le code à insérer :

remove_action('wp_head', 'wp_generator');

Cachez vos répertoires

Il se peut que vous n’ayez pas désactivé l’exploration de vos répertoires, par exemple en entrant l’url suivante : votresite.com/wp-content/plugins n’importe qui puissent voir les plugins que vous utilisez et donc exploiter les failles éventuelles…

Retournez dans le fichier .htaccess et insérez y le code suivant :

Options All -Indexes

Restreignez l’accès à votre administration

Le plugin Login Lockdown permet de limiter le nombre de tentatives pour se connecter à l’administration de WordPress. C’est particulièrement utile si quelqu’un essaie de deviner votre mot de passe. Attention à ne pas vous tromper trop de fois sinon vous devrez attendre pour vous connecter :)

Télécharger Login Lockdown


Le plugin AskApache Password Protect devrait plaire aux plus soucieux. Il permet d’ajouter un niveau de sécurité supplémentaire en créant un identifiant et un mot de passe pour accéder à tout ce que contient le répertoire wp-admin.

Téléchargez AskApache Password Protect

N’oubliez pas ce plugin essentiel

WordPress Security Scan est un plugin qui se chargera de vérifier si tout est en ordre afin que vous ayez le moins de chances possibles de vous faire attaquer. Il vérifie entre autres que :

  • votre WordPress est à jour
  • le préfixe de vos tables (et la possibilité de le changer)
  • les permissions de fichiers sont bonnes
  • vos fichiers et répertoires soient bien protégés
  • etc

Téléchargez WordPress Security Scan

Backup, Backup et … Backup

S’il n’y avait qu’une seule chose à faire pour sécuriser votre site sous WordPress, c’est de faire des sauvegardes régulièrement. Je me suis déjà fait avoir une fois, j’ai perdu absolument toute la base de données et quand il y a plusieurs dizaines d’articles c’est très triste :(

Il existe des dizaines de plugins pour sauvegarder vos fichiers (répertoire de vos extentions et thèmes WordPress ainsi que vos fichiers envoyés principalement) et votre base. Je ne les ai pas tous testés mais je vous recommande grandement WP-DB-Backup par Austin Matzko.
Ce plugin sauvegardera votre base à intervalle de temps régulier en vous l’envoyant par mail ou en la stockant sur votre serveur.

Il existe même des plugins qui utilisent Dropbox et Amazon S3 pour stocker vos sauvegardes. Ou alors faites le manuellement en utilisant votre client FTP favori.



Vous avez maintenant toutes les clés en main pour que votre WordPress deviennent une vrai forteresse. Avec ces conseils vous serez certain de figurer parmi ceux qui sécurisent le plus leurs sites/blogs.

Connaissez-vous d’autres astuces afin de pousser encore plus loin le niveau de sécurisation de WordPress ? Je serais curieux d’apprendre de nouvelles techniques :)

Passez une agréable journée,
Alex

Sources stats : w3techs.com – photo via Flickr

Auteur : Alex de WP Themes Pro
Alexandre est un entrepreneur/blogueur qui a lancé WP Themes Pro début 2011 dans le but d'aider les webmasters et les professionnels à trouver le thème idéal pour leurs projets. Il pense qu'avoir un site au design de qualité est primordial, vous n'aurez pas de seconde chance de faire une première bonne impression.
Avatar de alexandreb
Les commentaires 67 commentaires sur cet article
  1. illustrateur web le

    De bons conseils mais je me suis toujours demandé qui pourrait bien tenter de forcer mes installations…
    normalement avec un bon MDP c’est déjà quasiment impossible! de rentrer.

    Avatar de
  2. Video le

    Merci pour cette petite piqure de rappel qui fait du bien ! Il est vraiment important de protéger son WordPress

    Antoon

    Avatar de
  3. manu le

    merci pour ces infos. en effet
    AskApache Password Protect a l’air très complet.

    Et oui, nos malheureux blogs sont parfois la cible d’attaque ciblée sur des plugins, même si on a des mots de passes de la mort qui tuent!

    Avatar de
  4. Kattagami le

    Merci pour cet article instructif.

    Cependant je me permets de te signaler qu’il y a une erreur sur cette ligne de code dans ton texte :

    remove_action('wp_header', 'wp_generator');

    Le libellé du hook est « wp_head » et non « wp_header » qui n’existe pas.

    Avatar de
  5. Tom le

    Bon article.
    Dans la même optique il faut interdire l’accès à certaine partie du site au robot d’exploration (google bot, bing etc…). Google propose dans son interface « webmaster tools » un outil permettant de construire le fichier robot.txt

    Avatar de
  6. Alex de WP Themes Pro le

    @Kattagami Exact, je ne sais pas ce que j’avais en tête :S
    Merci à tout le monde pour vos retours !
    Alex

    Avatar de
  7. jonathan le

    @ Kattagami : merci pour le retour, ma relecture n’a pas été efficace non plus =D

    @Tom : pour le fichier robots.txt, j’ai rédigé un article concernant un fichier robots.txt optimisé pour WordPress : ici

    Avatar de
  8. rapetou le

    Bonjour,
    pour ma part en plus des astuces et conseils ci-dessus, j’utilise CrawlProtect (http://www.crawltrack.net/crawlprotect/fr) programme extérieur à WordPress mais très efficace.

    Avatar de
  9. Toff le

    Tout cela est bien utile pour un utilisateur débutant comme moi. Je me suis fait infecté mon blog par les logiciels malveillants en ne le mettant pas à jour de peur de faire de mauvaises manips. Du coup j’étais sur liste rouge sur les moteurs de recherche, j’ai galéré… Maintenant à la moindre MAJ, je fais l’évolution.
    Et j’utilise WP-Security, Better WP Security et Antivirus.

    Merci en tout cas pour toutes les infos et astuces et le boulot réalisé.

    Avatar de
  10. Guy Gaetan le

    Bonjour et Bonne Année,
    Article très instructif. Bien que n’étant pas informaticien, je ne comprends pas toujours tout mais ça ne fait rien, j’aime…
    Sur vos conseils, j’essayé de changer « admin » dans mon profil mais il semblerait que cela ne puisse se faire. Y aurait-il une manip particulière pour le modifier maintenant ?

    Avatar de
  11. FxB le

    Si tu te loggues en tant qu’admin tu ne peux pas changer son nom, le mieux est de créer un nouvel utilisateur (bien protégé) avec tous les droits d’administration. De te reconnecter avec ce nouvelle administrateur et de changer les droits de ton ancien « admin » en simple utilisateur.

    Avatar de
  12. Gaëtan le

    Bonjour Alex,

    Merci de nous faire partager ces bonnes infos et en même temps cela permet d’être à jour et au top avec son blog !

    Bien Amicalement

    Avatar de
  13. Sylvie le

    Merci pour ces bon tuyaux, même si en tant que blogueuse débutante +++, je ne comprends pas encore tout, notamment pour les lignes de codes à insérer.
    @FXB : super l’astuce pour changer l’admin, car, bien sur, j’ai fait cette erreur :-) )

    Avatar de
  14. BoiteaWeb le

    Bonjour
    Ma solution pour protéger le wp-config.php est encore plus simple avec 0 ligne de code :
    Remontez le fichier d’un cran dans votre arborescence. Oui oui, en dehors du /www/ habituel dans votre FTP chez votre hébergeur. WordPress saura le trouver, lui ;)

    Aussi, attention à l’installation de plugin, je vois dans « N’oubliez pas ce plugin essentiel » le plugin « WordPress Security Scan », je vous invite à lire le changelog version 3.0.9 … je dis ça je dis rien … ;)

    L’installation de plugin est le facteur n°1 des failles sur votre site, vous vous devez de vous assurer que ces plugins n’ouvrent pas des brèches, et ne donnez pas plus de crédits aux plugins dit « de sécurité », ça reste un plugin qui peut contenir des failles. La preuve !

    A bientôt !

    Avatar de
  15. Olivier@coaching d'entreprise le

    Oui, il faut prendre les devants avant que les grandes catastrophes n’arrivent !
    Rappel: si vous modifiez des fichiers faites bien une sauvegarde juste avant, au cas où vous en auriez besoin pour tout remettre à plat ensuite !

    Avatar de
  16. Urbinfos le

    Merci pour ce tutoriel.

    J’ai également suivi le tutoriel présenté ici, particulièrement la partie htaccess :

    Tutoriel securité

    A utiliser avec précaution (personnellement, j’ai du modifier pas mal de choses pour éviter les plantages)

    Avatar de
  17. Guy Gaetan le

    @FXB merci pour cette astuce que j’ai mis en pratique immédiatement…. et je suis beaucoup plus rassuré ainsi.

    Avatar de
  18. Aymeric le

    Merci pour ces infos. J’ajouterais une surcouche avec le plugin TAC de WordPress (Theme Authenticity Checker : http://wordpress.org/extend/plugins/tac/ ) qui permet de vérifier que les thèmes que vous installez ne contiennent pas des lignes de codes malicieuses…
    Les failles de sécurité peuvent venir avec les thèmes que vous installez!

    Avatar de
  19. BoiteaWeb le

    Attention à TAC qui donne des faux positifs ! Je ne conseille pas de se baser sur son info pour savoir si le thème est bon. Si TAC vous dit qu’il est mauvais, il PEUT l’être, l’inverse aussi s’il vous dit qu’il est bon, il PEUT l’être, mais TAC n’est qu’un simple script PHP et ne remplacera pas un humain.
    Je vais faire un article sur TAC car je m’aperçoit que trop de monde faire confiance à des plugins pour sécuriser leur WordPress ce qui est totalement paradoxal.

    Avatar de
  20. Patrice Albertus le

    Merci Valentin pour ce Tuto :)

    Pour rejoindre Aymeric, je souhaite attirer l’attention sur d’autres failles très sévères sous WP : les attaques via des plugins et thèmes type cheval de Troie. Cette méthode consiste à créer des thèmes, souvent gratuits, ou des plugins et les laisser vivre quelque temps, puis à un moment donné se servir de ces derniers pour soit créer un porte ouverte dans vos installs, soit faire du blackhat SEO… ou pire.

    Il est donc très important de vérifier les plugins/templates que vous installez et faire confiance à ceux reconnus par la communauté.

    Et enfin, faire de la veille sur les hack des framework utilisé dans les thèmes (récemment timthumb.php a permit de placer des malware sur des milliers d’installs WP : http://markmaunder.com/2011/08/02/technical-details-and-scripts-of-the-wordpress-timthumb-php-hack/)

    Avatar de
  21. Aymeric le

    @BOITEAWEB Oui il peut remonter des faux-positifs, après libre à chaque utilisateur de vérifier la véracité des infos renvoyées par TAC. ça reste un bon indicateur je trouve, tu as eu beaucoup de faux-positifs avec ?
    Je te rejoins complètement comme @PATRICE ALBERTUS, des plugins aussi peuvent contenir tout un tas de choses mauvaises, rien ne vaut une vérification rapide du code (par un dev si vous ne l’êtes pas) pour voir si il n’y a pas des appels à des fichiers externes via Curl, fil_get_content par exemple…. Mais je ne mettrais pas TAC dans cette catégorie pour autant

    Avatar de
  22. BoiteaWeb le

    J’ai vu 2 faux positifs oui, c’est pas beaucoup, en même temps … je ne l’utilise plus … « libre à chaque utilisateur de vérifier la véracité des infos renvoyées par TAC » non, quand tu utilises TAC c’est que tu n’as pas le profil ou la capacité de vérifier le code toi même, donc tu NE PEUX PAS vérifier la véracité des infos, autant vérifier de suite sans TAC pour faire ça alors.
    Une personne ayant un profil utilisateur/non dev qui souhaite savoir si le thème est correct ou non utilisera TAC et ça c’est le problème.
    Je suis en train de faire mon article, sera pret demain peut etre.

    Avatar de
  23. Alex de WP Themes Pro le

    @Julio Tu devrais nous coder un super plugin pour détrôner TAC, tu ferais un carton ;)

    Avatar de
  24. BoiteaWeb le

    un simple script PHP ne remplacera pas un humain

    Relis moi bien Alex ;)

    Avatar de
  25. Alex de WP Themes Pro le

    Yes, mais il y a sûrement des améliorations à apporter. Ou alors faire un big tuto sur ce qu’il faut checker pour être sûr que son thème est sain (c’est peut-être le contenu de ton article à venir ^^)

    Avatar de
  26. Aymeric le

    @BOITEAWEB à la fois je n’installe pas des thèmes tout le temps ;-) J’avais TAC à une époque sur une installation de WordPress. Si il me renvoyait une alerte, je vérifiais le code à la main. Après, vérifier ligne par ligne chaque thème ou plugin installé… Je n’ai pas le temps ! Donc je me fais pré-mâcher le travail:)

    J’attends ton article, il y a clairement des plugins qui font des choses pas claires du tout;-) Et je rajouterais, trop de plugins tuent WordPress.

    Avatar de
  27. BoiteaWeb le

    @alex: Le big tuto serait une formation à mon métier ? Impossible que je fasse ça.
    @Aymeric: Et si il ne renvoie pas d’alerte mais que le thème est vulnérable ? :s

    Avatar de
  28. Aymeric le

    @BOITEAWEB bah, comme un virus sur mon ordi… rien n’est infaillible :-/

    Avatar de
  29. BoiteaWeb le

    Sauf que sur ton ordi tu n’installes pas un virus pour vérifier si tu as des virus.

    Avatar de
  30. Alex de WP Themes Pro le

    @Julio Montre en un peu pour aider le plus de personnes possible et garde le reste pour ceux qui veulent aller plus loin. Non ?

    Avatar de
  31. BoiteaWeb le

    Je l’ai fait dans mon slide lors du WordCamp 2011, l’article et le slide sont sur mon blog.

    Avatar de
  32. jonathan le

    Je partage l’article dont Julio parle : WordCamp Paris 2011

    Avatar de
  33. BoiteaWeb le

    Merci je ne voulais pas le faire de peur qu’on pense que je veuille utiliser ton article pour trmplin sur le mien ;)

    Avatar de
  34. jonathan le

    @Julio : Non tkt, on est là pour partager nos connaissances ;)

    Avatar de
  35. Aymeric le

    @BOITEAWEB non je n’installe pas des virus mais des logiciels, enfin bref. ça m’aidait à l’époque à gagner du temps, c’est toujours mieux que rien mais je comprends ton point de vue.

    Avatar de
  36. vallsymachinant le

    Très intéressant !! Je ne connaissais pas le plugin Security !! Merci pour la découverte

    Avatar de
  37. Aymeric le

    Enfin ce que je voulais dire, bien au delà de Theme Authenticity Checker: il y a aussi des failles/brèches dans les thèmes et plugins WordPress, alors soyons prudent quand nous rajoutons des éléments à WordPress :-)

    Avatar de
  38. BoiteaWeb le

    « être prudent » c’est justement ce qu’une personne non développeur ne peut pas vraiment faire pour s’assurer que le plugin/thème est correct ou non.
    En voiture, je suis prudent, je mets ma ceinture et ne dépasse pas la vitesse autorisée, néanmoins, je peux être percuté de plein fouet par quelqu’un qui ne respecte pas ça. Ma « prudence » a eu ses limites.
    Même chose pour les plugins, j’installe un plugin dit « de sécurité » (c’est ma ceinture de sécurité) mais rien n’empêche que ce plugin infecte mon site tout de même, même si ce n’est pas volontaire.
    ps : création d’article TAC dispo avant 17h ;)

    Avatar de
  39. BoiteaWeb le

    Je me permet de balancer le lien sur mon article tout frais de la minute sur TAC :
    http://www.boiteaweb.fr/security-plugin-review-tac-theme-authenticity-checker-3149.html
    Merci

    Avatar de
  40. Adrien le

    Super récap’ ! Il y a du boulot !! ;)

    Avatar de
  41. Martine le

    Merci pour ce rappel primordial et qui m’évitera bien des soucis à l’avenir …. Je ne connais pas AskApache Password Protect, je vais tester…
    Amicalement.

    Avatar de
  42. Eloka le

    Bonjour Alex et merci pour cet excellent article. WordPress est une solution clean et sécurisée à la base mais mieux vaut être méfiant s’il on ne veut pas d’un blog-passoire !

    Pour répondre à certains commentaires, ce n’est pas seulement nos installations qui sont le plus souvent la cible des pirates mais les serveurs où ils sont hébergés.

    Les protection via .htaccess et .htpasswd sont également très bien pour protéger le répertoire /wp-admin/
    Mais j’ai néanmoins vu une intrusion sur un de mes sites malgré cette protection.

    Il n’existe pas trente-six solutions :
    Tout d’abord, suivre à la lettre les indications d’Alex. Deuxièmement, conservez toutes vos données sensibles sur VOTRE ordi, pas celui du voisin. Ne vous connectez jamais depuis un PC inconnu. Troisième point : sécuriser votre boîte e-mail personnelle. Pourquoi ? Parce qu’une intrusion dans celle-ci peut entraîner de véritables catastrophes si vous l’utilisez dans votre compte administrateur. Enfin, je pense qu’une utilisation limitée des plugins est évidente. On ne sait jamais s’ils contiennent ou non des failles.

    Depuis que j’utilise WP Security Scan et DB Backup je ne rencontre plus de problème. Mais ça ne signifie pas qu’ils ne se passe rien, les tentatives de connexion infructueuses sont monnaie courante !

    J’utilise aussi Bad behavior sur certaines installations sensibles. Ce plugin restreint les injections SQL vers la base de données.

    Avatar de
  43. Geoffrey le

    Hello,

    Merci pour cet article. Intéressant de comparer les techniques proposées, nos contenus se recoupent.

    J’ai publié un article à ce sujet, je n’ai pas eu grands retours sur son contenu malgré les visites, peut-être peut-il être un complément au tien (une manière différente d’aborder les choses en tout cas).

    Je me permets de mettre le lien : http://www.creativejuiz.fr/blog/tutoriels/wordpress-securisez-votre-site-grace-a-quelques-astuces

    Bonne continuation ;)

    Avatar de
  44. BoiteAWeb le

    @geoffrey: je pense que ton article est trop long et touche à trop de chose différentes, le niveau requis est parfois bas, parfois élevé.
    Pas beaucoup de retour ? Oui, beaucoup on ouvert l’article, commencé à lire et sont partis avant d’arriver en bas :s
    J’ai commenté ton article ;)

    Avatar de
  45. Geoffrey le

    @boiteaweb : Merci pour ton retour.
    Je ne vois pas trop comment réorganiser l’article. À moins de le diviser et d’en faire deux ou trois.

    En tout cas merci pour tes retours.
    Cela m’a permis également de diversifier un peu plus mes sources.
    Bonne journée à tous !

    Avatar de
  46. BoiteAWeb le

    À moins de le diviser et d’en faire deux ou trois.

    C’est ce que je dis ton le comm de ton article cher ami ;)

    Avatar de
  47. Geoffrey le

    Oups, pardon, j’avais compris le terme « découpe » au sein même de l’article. Au temps pour moi.
    Merci encore pour tes retours.
    Laissons place aux commentaires sur l’article même de GeekPress, j’ai déjà un peu trop empiété l’espace de commentaires ! :p

    Avatar de
  48. BoiteAWeb le

    haha, au contraire, qu’on continue, ça fait vivre le post ;)

    Avatar de
  49. Geoffrey le

    C’est vrai, c’est vrai. :)

    Au fait, ne serait-il pas utile de rappeler cette méthode à côté du code de retrait de la meta generator :
    http://www.geekpress.fr/wordpress/astuce/supprimer-variable-ver-fichiers-javascript-css-wordpress-173/

    C’est important aussi puisque l’affichage de la version de WP se fait également ici.

    Bon après-midi !

    Avatar de
  50. BoiteAWeb le

    Essayer de cacher la version de WordPress est inutile, mais bon si ça peut vous rassurer ;)

    Avatar de
  51. Geoffrey le

    Oui sur le fond ça ne corrige pas une éventuelle faille. Mais ça limite la diffusion d’information (que je pense inutile).

    Afficher un numéro de version en public connue pour être vulnérable c’est un peu tendre le bâton pour se faire battre. :)
    M’enfin, celui qui ne met pas à jour WordPress ne prendra certainement pas le temps de cacher son numéro de version non plus… (#raccourciFacile)

    Avatar de
  52. BoiteAWeb le

    Tu as raison sur le dernier point, pourquoi ne pas la cacher ? Car vous avez la dernière version, pourquoi le cacher vous êtes à jour !?
    Puis si vous ne pouvez pas pour X raisons (ça arrive maleureusement), il est toujours possible de deviner quelle est la version installée, à 0.0.x prêt ;)

    Avatar de
  53. Loïc le

    Merci pour l’article et les retours pleins d’enseignement. Bonne continuation.

    Avatar de
  54. img le

    Merci pour ce bon article et ces commentaires instructifs.
    Pensez également à masquer la signature de votre serveur en rajoutant « ServerSignature Off » dans votre htaccess.

    Avatar de
  55. SamSoul le

    Même si l’on n’est pas forcément sur le registre de la sécurité, je pense qu’il faut fortement se méfier (bannir??) des thèmes (gratuits ou pas) contenant du code en Base64 (souvent dans le footer).
    Ce chiffrement peut contenir des liens indésirables et/ou du code malicieux.
    Et contrôler tous les liens et leurs styles CSS afin d’éviter les liens cachés (position fantaisistes ex: top: -800px; left:-650;)

    Avatar de
  56. BoiteAWeb le

    Pas forcément que lre registre de la sécurité ? Mais tu es complètement dedans, je vais même te faire un peu plus peur :
    Le code en base64 peut contenir n’importe quel code php. Ce qui inclus la possibilité de prendre la main et sur le site (vol des login/pass, création de user admin invisibles) ou même prise en main du serveur qui l’héberge.
    Et oui, ce n’est pas juste pour controler du CSS ;)

    Avatar de
  57. SamSoul le

    Tout à fait. Je me suis mal exprimé. Je distinguais 2 choses: d’une part les CSS plaçant des liens hors zone de site et d’autre part le fameux code en base64 qui peut être « inoffensif » certaines fois mais aussi contenir une bombe à retardement par le biais de codes malicieux aux conséquences désastreuses.
    Inutile de perdre du temps à décoder les éléments, mettre le thème dans la corbeille est la solution à adopter.
    Après, libre à chacun de faire ce qu’il veut mais bon, c’est jouer avec le feu…

    Avatar de
  58. BoiteAWeb le

    « Inutile de perdre du temps à décoder les éléments »
    J’adore reverse leur code x)

    Avatar de
  59. Patrick le

    Passionnant, mais comment on change, après installation les tables que l’on a laissées en wp.
    Merci.

    Avatar de
  60. Alex de WP Themes Pro le

    Bonjour Patrick,
    TU peux utiliser le plugin WebsiteDefender WordPress Security pour modifier le préfixe des tables de WordPress.
    Bonne continuation.
    Alex

    Avatar de
  61. Patrick le

    Merci pour cette réponse rapide.

    Avatar de
  62. Masamune le

    Bonjour,

    Au niveau des astuces de sécurité, il ne faut pas oublier de générer des clés aléatoires dans wp-config.php (à la racine du site), via le générateur officiel : https://api.wordpress.org/secret-key/1.1/salt/ .

    Je vous recommande également cet article : http://codex.wordpress.org/fr:Donner_%C3%A0_WordPress_son_Propre_Dossier qui permet de changer le répertoire de base des ressources WordPress ; en conjugaison avec le masquage de l’arborescence des dossiers via htaccess, votre site sera vraiment bien sécurisé.

    Dernière astuce : pour ceux qui n’auraient pas changé le préfixe des tables de la base de données, on peut le remodifier après installation via le plugin que tu conseilles : WordPress Security Scan.

    Merci pour cet article en tout cas ;)

    Avatar de
  63. carreco le

    Merci pour tous ces conseils. Carreco

    Avatar de
  64. Alice le

    Supers conseils, merci !

    Avatar de
  65. Dominique le

    Dis donc, quand on débute ça fait encore beaucoup d’éléments à mémoriser. Merci Alex, en tout cas, pour ces infos précieuses !

    Avatar de
  66. Julio Potier (BoiteAWeb.fr) le

    Suite à mon commentaire du 31/01, voici un article en rapport :
    http://www.boiteaweb.fr/cacher-sa-version-de-wordpress-inutile-3415.html
    et un site qui devine votre version http://www.whatismywordpressversion.com/

    Avatar de
  67. Dominique le

    Better WP Security a l’air encore plus performant comme plugin. Quelqu’un peut en dire un mot ?

    Avatar de
Laisser un commentaire
Balises autorisées dans les commentaires: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Suivre les commentaires de cet article par E-mail