Sécuriser WordPress

Afin de vérifier et sécuriser les installations WordPress :

1. Allez dans WordPress.
2. Choisissez l'une des options suivantes :
   • Pour vérifier la sécurité de toutes les installations WordPress, cliquez sur Vérifier la sécurité.
   • Pour sécuriser une seule installation WordPress, cliquez sur l'icône dans la colonne S à côté du nom de cette installation WordPress.
   • Pour sécuriser plusieurs installations WordPress, cochez la case pour les installations WordPress correspondantes, cliquez sur Vérifier la sécurité.
3. Cochez les cases correspondantes pour les améliorations de sécurité que vous voulez appliquer, puis cliquez sur Sécuriser.

Attention : toutes les améliorations de sécurité ne peuvent pas être annulées. Nous vous recommandons de sauvegarder tous les abonnements avant de sécuriser les installations WordPress.

Liste complète des améliorations de sécurité WordPress

• Dossier wp-content. Le répertoire wp-content peut contenir des fichiers PHP potentiellement dangereux. Ces derniers peuvent être utilisés pour endommager votre site. Après l'installation de WordPress, les fichiers PHP peuvent être exécutés depuis le répertoire wp-content. La vérification de la sécurité doit s'assurer que l'exécution de fichiers PHP dans le répertoire wp-content est interdite. Remarque : les directives personnalisées dans les fichiers .htaccess ou web.config peuvent écraser cette configuration. Notez également que certains de vos plug-ins risquent de s'arrêter de fonctionner après la sécurisation du dossier wp-content.
• Dossier wp-includes. Le répertoire wp-includes peut contenir des fichiers PHP potentiellement dangereux. Ces derniers peuvent être utilisés pour endommager votre site. Après l'installation de WordPress, les fichiers PHP peuvent être exécutés depuis le répertoire wp-includes. La vérification de la sécurité doit s'assurer que l'exécution de fichiers PHP dans le répertoire wp-includes est interdite. Remarque : les directives personnalisées dans les fichiers .htaccess ou web.config peuvent écraser cette configuration. Notez également que certains de vos plug-ins risquent de s'arrêter de fonctionner après la sécurisation du dossier wp-includes.
• Fichier de configuration. Le fichier wp-config.php contient, entre autres, les identifiants d'accès à la base de données et d'autres informations confidentielles. Après l'installation de WordPress, le fichier wp-config.php peut être exécuté. Si, pour une raison indéterminée, le traitement des fichiers PHP par le serveur Web est désactivé, des hackers risquent d'accéder au contenu du fichier wp-config.php. La vérification de la sécurité doit s'assurer que tout accès non autorisé au fichier wp-config.php est bloqué. Remarque : les directives personnalisées dans les fichiers .htaccess ou web.config peuvent écraser cette configuration.
• Droits de navigation dans le répertoire. Si la navigation dans le répertoire est activée, des hackers pourraient accéder à des informations sur votre site (par exemple, les plug-ins que vous utilisez). Dans Plesk, la navigation dans le répertoire est désactivée par défaut. La vérification de la sécurité doit s'assurer que la navigation dans le répertoire de l'installation WordPress est désactivée.
• Préfixe de la base de données. Les tables de bases de données WordPress portent le même nom dans toutes les installations WordPress. Si le préfixe standard wp_ est utilisé dans le nom de la table de bases de données, alors la structure globale de la base de données WordPress n'est plus secrète et n'importe qui peut récupérer n'importe quelle donnée. La vérification de sécurité remplace le préfixe wp_ du nom de la table de base de données par un autre préfixe. Quand le mode de maintenance est activé, tous les plug-ins sont désactivés, le préfixe est modifié dans le fichier de configuration ainsi que dans la base de données. Ensuite, les plug-ins sont réactivés, la structure des liens permanents est actualisée. Enfin, le mode de maintenance est désactivé.
• Clés de sécurité. WordPress utilise les clés de sécurité (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY et NONCE_KEY) afin de garantir un meilleur chiffrement des informations stockées dans les cookies des utilisateurs. Une clé de sécurité efficace doit être longue (au moins 60 caractères), aléatoire et suffisamment complexe. Cette vérification de la sécurité doit s'assurer que les clés de sécurité sont configurées et qu'elles comportent des caractères alphanumériques.
• Droits pour les fichiers et les répertoires. Si les droits des fichiers et des répertoires ne sont pas conformes à la politique de sécurité, ces fichiers risquent d'être utilisés pour hacker votre site. Après l'installation de WordPress, les fichiers et les répertoires ont des droits divers. La vérification de sécurité doit s'assurer que les droits des fichiers wp-config.php sont définis sur 600, ceux des autres fichiers doivent être définis sur 644 et ceux des répertoires sur 755.
• Nom d'utilisateur de l'administrateur. Lorsqu'une copie de WordPress est installée, il y a par défaut un utilisateur avec des droits d'administrateur. Son nom d'utilisateur est : admin. Étant donné qu'un nom d'utilisateur ne peut pas être modifié dans WordPress, il suffit à un utilisateur malveillant de deviner le mot de passe afin d'accéder au système en tant qu'administrateur. La vérification de sécurité doit s'assurer qu'il n'y a aucun utilisateur doté des droits d'administrateur et portant le nom d'utilisateur admin.
• Informations sur la version. Il y a des vulnérabilités de sécurité connues pour chaque version de WordPress. C'est pourquoi, afficher le numéro de version de votre installation WordPress facilite les attaques des hackers. Les versions des installations WordPress non protégées sont visibles dans les métadonnées de la page et dans les fichiers readme.html. La vérification de sécurité doit s'assurer que les fichiers readme.html sont vides et que chaque thème est doté d'un fichier functions.php comportant la ligne : remove_action(\'wp_head\', \'wp_generator\');.