Afin de vérifier et sécuriser les installations WordPress :
Attention : toutes les améliorations de sécurité ne peuvent pas être annulées. Nous vous recommandons de sauvegarder tous les abonnements avant de sécuriser les installations WordPress.
wp-content
peut contenir des fichiers PHP potentiellement dangereux. Ces derniers peuvent être utilisés pour endommager votre site. Après l'installation de WordPress, les fichiers PHP peuvent être exécutés depuis le répertoire wp-content
. La vérification de la sécurité doit s'assurer que l'exécution de fichiers PHP dans le répertoire wp-content
est interdite. Remarque : les directives personnalisées dans les fichiers .htaccess
ou web.config
peuvent écraser cette configuration. Notez également que certains de vos plug-ins risquent de s'arrêter de fonctionner après la sécurisation du dossier wp-content.wp-includes
peut contenir des fichiers PHP potentiellement dangereux. Ces derniers peuvent être utilisés pour endommager votre site. Après l'installation de WordPress, les fichiers PHP peuvent être exécutés depuis le répertoire wp-includes
. La vérification de la sécurité doit s'assurer que l'exécution de fichiers PHP dans le répertoire wp-includes
est interdite. Remarque : les directives personnalisées dans les fichiers .htaccess
ou web.config
peuvent écraser cette configuration. Notez également que certains de vos plug-ins risquent de s'arrêter de fonctionner après la sécurisation du dossier wp-includes.wp-config.php
contient, entre autres, les identifiants d'accès à la base de données et d'autres informations confidentielles. Après l'installation de WordPress, le fichier wp-config.php
peut être exécuté. Si, pour une raison indéterminée, le traitement des fichiers PHP par le serveur Web est désactivé, des hackers risquent d'accéder au contenu du fichier wp-config.php
. La vérification de la sécurité doit s'assurer que tout accès non autorisé au fichier wp-config.php
est bloqué. Remarque : les directives personnalisées dans les fichiers .htaccess
ou web.config
peuvent écraser cette configuration.Préfixe de la base de données
. Les tables de bases de données WordPress portent le même nom dans toutes les installations WordPress. Si le préfixe standard wp_
est utilisé dans le nom de la table de bases de données, alors la structure globale de la base de données WordPress n'est plus secrète et n'importe qui peut récupérer n'importe quelle donnée. La vérification de sécurité remplace le préfixe wp_
du nom de la table de base de données par un autre préfixe. Quand le mode de maintenance est activé, tous les plug-ins sont désactivés, le préfixe est modifié dans le fichier de configuration ainsi que dans la base de données. Ensuite, les plug-ins sont réactivés, la structure des liens permanents est actualisée. Enfin, le mode de maintenance est désactivé.Clés de sécurité
. WordPress utilise les clés de sécurité (AUTH_KEY
, SECURE_AUTH_KEY
, LOGGED_IN_KEY
et NONCE_KEY
) afin de garantir un meilleur chiffrement des informations stockées dans les cookies des utilisateurs. Une clé de sécurité efficace doit être longue (au moins 60 caractères), aléatoire et suffisamment complexe. Cette vérification de la sécurité doit s'assurer que les clés de sécurité sont configurées et qu'elles comportent des caractères alphanumériques. Droits pour les fichiers et les répertoires
. Si les droits des fichiers et des répertoires ne sont pas conformes à la politique de sécurité, ces fichiers risquent d'être utilisés pour hacker votre site. Après l'installation de WordPress, les fichiers et les répertoires ont des droits divers. La vérification de sécurité doit s'assurer que les droits des fichiers wp-config.php
sont définis sur 600
, ceux des autres fichiers doivent être définis sur 644
et ceux des répertoires sur 755
. Nom d'utilisateur de l'administrateur
. Lorsqu'une copie de WordPress est installée, il y a par défaut un utilisateur avec des droits d'administrateur. Son nom d'utilisateur est : admin
. Étant donné qu'un nom d'utilisateur ne peut pas être modifié dans WordPress, il suffit à un utilisateur malveillant de deviner le mot de passe afin d'accéder au système en tant qu'administrateur. La vérification de sécurité doit s'assurer qu'il n'y a aucun utilisateur doté des droits d'administrateur et portant le nom d'utilisateur admin
. Informations sur la version
. Il y a des vulnérabilités de sécurité connues pour chaque version de WordPress. C'est pourquoi, afficher le numéro de version de votre installation WordPress facilite les attaques des hackers. Les versions des installations WordPress non protégées sont visibles dans les métadonnées de la page et dans les fichiers readme.html
. La vérification de sécurité doit s'assurer que les fichiers readme.html
sont vides et que chaque thème est doté d'un fichier functions.php
comportant la ligne : remove_action(\'wp_head\', \'wp_generator\');
.