Sécuriser WordPress
Afin de vérifier et sécuriser les installations WordPress :
- Allez dans WordPress.
- Choisissez l'une des options suivantes :
- Pour vérifier la sécurité de toutes les installations WordPress, cliquez sur Vérifier la sécurité.
- Pour sécuriser une seule installation WordPress, cliquez sur l'icône dans la colonne S à côté du nom de cette installation WordPress.
- Pour sécuriser plusieurs installations WordPress, cochez la case pour les installations WordPress correspondantes, cliquez sur Vérifier la sécurité.
- Cochez les cases correspondantes pour les améliorations de sécurité que vous voulez appliquer, puis cliquez sur Sécuriser.
Attention : toutes les améliorations de sécurité ne peuvent pas être annulées. Nous vous recommandons de sauvegarder tous les abonnements avant de sécuriser les installations WordPress.
Liste complète des améliorations de sécurité WordPress
-
Dossier wp-content. Le répertoire
wp-content
peut contenir des fichiers PHP potentiellement dangereux. Ces derniers peuvent être utilisés pour endommager votre site. Après l'installation de WordPress, les fichiers PHP peuvent être exécutés depuis le répertoirewp-content
. La vérification de la sécurité doit s'assurer que l'exécution de fichiers PHP dans le répertoirewp-content
est interdite. Remarque : les directives personnalisées dans les fichiers.htaccess
ouweb.config
peuvent écraser cette configuration. Notez également que certains de vos plug-ins risquent de s'arrêter de fonctionner après la sécurisation du dossier wp-content. -
Dossier wp-includes. Le répertoire
wp-includes
peut contenir des fichiers PHP potentiellement dangereux. Ces derniers peuvent être utilisés pour endommager votre site. Après l'installation de WordPress, les fichiers PHP peuvent être exécutés depuis le répertoirewp-includes
. La vérification de la sécurité doit s'assurer que l'exécution de fichiers PHP dans le répertoirewp-includes
est interdite. Remarque : les directives personnalisées dans les fichiers.htaccess
ouweb.config
peuvent écraser cette configuration. Notez également que certains de vos plug-ins risquent de s'arrêter de fonctionner après la sécurisation du dossier wp-includes. -
Fichier de configuration. Le fichier
wp-config.php
contient, entre autres, les identifiants d'accès à la base de données et d'autres informations confidentielles. Après l'installation de WordPress, le fichierwp-config.php
peut être exécuté. Si, pour une raison indéterminée, le traitement des fichiers PHP par le serveur Web est désactivé, des hackers risquent d'accéder au contenu du fichierwp-config.php
. La vérification de la sécurité doit s'assurer que tout accès non autorisé au fichierwp-config.php
est bloqué. Remarque : les directives personnalisées dans les fichiers.htaccess
ouweb.config
peuvent écraser cette configuration. - Droits de navigation dans le répertoire. Si la navigation dans le répertoire est activée, des hackers pourraient accéder à des informations sur votre site (par exemple, les plug-ins que vous utilisez). Dans Plesk, la navigation dans le répertoire est désactivée par défaut. La vérification de la sécurité doit s'assurer que la navigation dans le répertoire de l'installation WordPress est désactivée.
-
Préfixe de la base de données
. Les tables de bases de données WordPress portent le même nom dans toutes les installations WordPress. Si le préfixe standardwp_
est utilisé dans le nom de la table de bases de données, alors la structure globale de la base de données WordPress n'est plus secrète et n'importe qui peut récupérer n'importe quelle donnée. La vérification de sécurité remplace le préfixewp_
du nom de la table de base de données par un autre préfixe. Quand le mode de maintenance est activé, tous les plug-ins sont désactivés, le préfixe est modifié dans le fichier de configuration ainsi que dans la base de données. Ensuite, les plug-ins sont réactivés, la structure des liens permanents est actualisée. Enfin, le mode de maintenance est désactivé. -
Clés de sécurité
. WordPress utilise les clés de sécurité (AUTH_KEY
,SECURE_AUTH_KEY
,LOGGED_IN_KEY
etNONCE_KEY
) afin de garantir un meilleur chiffrement des informations stockées dans les cookies des utilisateurs. Une clé de sécurité efficace doit être longue (au moins 60 caractères), aléatoire et suffisamment complexe. Cette vérification de la sécurité doit s'assurer que les clés de sécurité sont configurées et qu'elles comportent des caractères alphanumériques. -
Droits pour les fichiers et les répertoires
. Si les droits des fichiers et des répertoires ne sont pas conformes à la politique de sécurité, ces fichiers risquent d'être utilisés pour hacker votre site. Après l'installation de WordPress, les fichiers et les répertoires ont des droits divers. La vérification de sécurité doit s'assurer que les droits des fichierswp-config.php
sont définis sur600
, ceux des autres fichiers doivent être définis sur644
et ceux des répertoires sur755
. -
Nom d'utilisateur de l'administrateur
. Lorsqu'une copie de WordPress est installée, il y a par défaut un utilisateur avec des droits d'administrateur. Son nom d'utilisateur est :admin
. Étant donné qu'un nom d'utilisateur ne peut pas être modifié dans WordPress, il suffit à un utilisateur malveillant de deviner le mot de passe afin d'accéder au système en tant qu'administrateur. La vérification de sécurité doit s'assurer qu'il n'y a aucun utilisateur doté des droits d'administrateur et portant le nom d'utilisateuradmin
. -
Informations sur la version
. Il y a des vulnérabilités de sécurité connues pour chaque version de WordPress. C'est pourquoi, afficher le numéro de version de votre installation WordPress facilite les attaques des hackers. Les versions des installations WordPress non protégées sont visibles dans les métadonnées de la page et dans les fichiersreadme.html
. La vérification de sécurité doit s'assurer que les fichiersreadme.html
sont vides et que chaque thème est doté d'un fichierfunctions.php
comportant la ligne :remove_action(\'wp_head\', \'wp_generator\');
.