Sécuriser Wordpress - Attention au fichier wp-config.php. Sécuriser Wordpress - Verrouiller l'éditeur de code. Ce travail sur WordPress a été rendu possible grâce au soutien d'Ikoula. La grande saga de l’automne / hiver et plus si affinité sur la sécurité WordPress continue avec cette fois un petit conseil concernant l’édition de fichiers à l’intérieur même de WordPress. Si vous vous rendez dans Apparence -> Editeur, vous verrez que par défaut, il est possible de modifier le code des fichiers de thèmes.
Même chose en allant dans Extensions -> Editeur sauf que cette fois, ce sont le code des plugins que vous pouvez éditer. Vous l’aurez compris, laisser active cette possibilité est une mauvaise idée, car si un attaquant arrive à se logger sur votre WordPress, il pourra alors injecter du code sur votre serveur via cet éditeur. Oui, je sais, c’est bien pratique d’éditer son code directement depuis l’interface de WordPress… Mais pour le coup, je trouve ça quand même assez risqué aussi bien au niveau des erreurs de manip qu’au niveau de la sécurité. Define(‘DISALLOW_FILE_EDIT’,true); Les Plugins WordPress pour la sécurité de votre site. Après la formation SEO & WordPress d’octobre dernier, tenue par Daniel Roch, consultant SEO et expert WordPress, vous avez été nombreux à me demander quels sont les 7 plugins mystérieux cités par Maxime dans son compte rendu de la formation.
Par respect pour Daniel, je n’ai rien dit jusqu’à aujourd’hui. Avec l’accord de Daniel (bien évidemment ) je vous dévoile aujourd’hui cette petite liste tant demandée de 7 plugins nécessaires pour la sécurité de votre worpdress. Alors, heureux ? Faites-en bon usage ! Les plugins WordPress, famille Sécurité BBQ : Block Bad Queries Utilisez BBQ pour bloquer certaines requêtes et scripts malicieux. Ce plugin (Block Bad Queries, appelé BBQ) vous protège en contrôlant les tentatives d’intrusion et bloquant les requêtes spammy ainsi que les scripts considérés comme un danger pour votre site. BBQ scanne 3 parties de la requête : La ‘Request URI’ – request_uri_items : permet d’ajouter ou supprimer des éléments concernant le lien vers votre site, avant le “?”
Akismet. Sécuriser Wordpress - Masquer les erreurs de login. Sécuriser WordPress – Les thèmes. Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Pour faire écho à mes recommandations de la dernière fois sur les plugins, abordons aujourd'hui le sujet des thèmes et de la sécurité. Vous le savez, les pirates ne manquent pas d'imagination pour prendre le contrôle de votre serveur. Et pour cela, ils ont trouvé un moyen assez simple d'infecter votre site : Les thèmes gratuits.
Bien que ce ne soit pas le cas de tous les thèmes gratuits, il arrive assez fréquemment que certains thèmes WordPress distribués gratuitement via des sites à petite réputation, contiennent dans leur code des passages codés (en base64, en rot13 ou autre...). Indéchiffrable à l'oeil nu, ces parties encodées contiennent le plus souvent des liens de spam ou du code malicieux. Si vous ne me croyez pas, je vous invite à lire cet article qui passe en revue des sites proposant des thèmes gratuits. Grep -inHR base64_decode * | cut -d':' -f1,2 Dans la série, Sécuriser WordPress: Sécuriser Wordpress - Les plugins. Sécuriser Wordpress - Les mises à jour.
Sécuriser Wordpress - Les utilisateurs. Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Maintenant que votre blog WordPress est en place au un minimum sécurisé, voici une autre petite astuce concernant les utilisateurs. Sur les anciennes versions de WordPress, il était possible pour n'importe qui de se créer un compte. Même si ces comptes sont limités en droits, ils peuvent toutefois servir à exploiter une faille qui donnera alors plus de droits à l'attaquant.
Heureusement, ce n'est plus le cas depuis quelques versions, mais si vous avez un gros passif avec WordPress, il vaut mieux vérifier que vous seul êtes maitre sur la création de comptes. Le mieux c'est donc d'interdire à quiconque de se créer un compte sur votre site sauf bien évidemment si vous souhaitez créer un espace réservé à des membres. Pour cela, rendez-vous dans le menu Réglages -> Général et décochez la case qui dit "Tout le monde peut s'enregistrer". Comment ? Pour modifier ce nom public et protéger votre login, rien de plus simple.
Sécuriser Wordpress - L'installation. Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Si vous êtes blogueur ou webmaster, vous connaissez surement ce sentiment de crainte lorsque vous voyez le site d'un ami se faire pirater. Vous vous dites "A quand mon tour ? " D'ailleurs, peut être que cela vous est déjà arrivé et c'est pour cela cette série d'articles vous intéresse.
Avant toute chose, sachez que rien n'est in-piratable. Le hacker arrivera toujours à ses fins s'il est motivé et qu'il en a les moyens. Le but de la manoeuvre est donc de le ralentir au maximum afin qu'il se décourage rapidement. Pour cela, il existe des paramétrages simples à mettre en oeuvre pour sécuriser au maximum votre installation WordPress sans avoir besoin de connaissances pointues en administration système. Si vous êtes négligent, vous pouvez perdre en un claquement de doigts le travail de plusieurs années à cause d'un piratage (et d'une politique de sauvegarde mal fichue). Environnement Les fichiers Les risques. 15 idées simples pour protéger votre site WordPress. Des millions de sites web et de blogs ont été créés avec WordPress.
Pour la simple raison que WordPress est à ce jour l'un des meilleurs systèmes de gestion de contenu (CMS) qui offre beaucoup de liberté aux webmasters. Mais, d'un autre côté, c'est l'une des plateformes qui souffre le plus des tentatives de piratage. Autant il existe des plugins contre les failles de sécurité WorddPress, autant on peut protéger et sécuriser son site Wordpress grâce à de simples précautions basiques. Le risque zéro n'existant pas dans le domaine de l'internet, des précautions d'usage permettraient d'assurer une meilleure sécurité du blog WordPress. Ce qui vous éviterait d'être facilement piraté par le premier venu.
Mais attention, pour mettre en place ces manipulations, quelques connaissances en code HTML ou PHP sont nécessaires. 1. Si votre hébergement web vous permet un accès à la racine de votre site par FTP, changez votre fichier de configuration wp-config.php de répertoire. 2. 3. 4. 5. 6. 7. 8. 9. Comment sécuriser son site / blog WordPress. Article invité rédigé par Aurélie, développeuse chez Atchik Services, depuis plus de 8 ans ! Hello à tous !! Comment allez vous ? Aujourd’hui je vous propose un article invité qui vous donnera quelques conseils pour sécuriser votre blog / site WordPress.
Pourquoi ce sujet ? Bref, pas très sérieux de ma part. Merci à Aurélie pour son temps et le partage de connaissances ! Comment sécuriser son WordPress ? Avant tout je tiens à remercier Miss SEO Girl de m’avoir invité à rédiger un petit article sur son Blog Depuis quelques mois il ne se passe pas un jour sans lire ou entendre qu’une personne autour de moi s’est fait pirater son ou ses sites. En mars dernier nous étions a plus de 40 000 attaques par minute. Si vous voulez être notifié des alertes de sécurité concernant WordPress et être averti de la vulnérabilité des plugins et de l’état de correction de ceux ci, je vous invite à vous inscrire à la newsletter de Wordfence.
Mais pourquoi ces sites en particulier se font-ils hackér ? 1. 2. Modifier le préfixe de votre base de données WordPress après installation. Laisser le préfixe de votre base de données MySQL sur sa valeur par défaut, à savoir wp_, constitue un risque de sécurité pour votre installation WordPress. Si vous ne l'avez jamais changé, suivez donc ce tutoriel simple et rapide. Peur de vous faire pirater ou de perdre tous vos contenus ? N'attendez plus : confiez-moi vos opérations de maintenance pour un site WordPress sécurisé et performant.
N.B : avant toute intervention dans votre base de données WordPress, faites une sauvegarde complète ! Étape n°1 – Édition du fichier wp-config.php Situé à la racine de votre serveur FTP, le fichier wp-config.php abrite les identifiants de connexion à la base de données. Ainsi, localisez la ligne suivante qui contient le préfixe des tables de la base : $table_prefix = 'wp_'; Il s’agit donc de modifier la valeur par défaut fixée sur wp_ Évidement, si celle-ci est déjà fixée sur une autre valeur, parcourez les autres tutoriels du site. N’oubliez pas de sauvegarder le fichier modifié. Félicitations ! Sécuriser WordPress en 15 points. En 2013 plus d’un site internet sur 5 est fait sous WordPress, ce qui fait de ce CMS une plateforme de choix pour les développeurs de plugin mais aussi cible de choix pour tout un tas de tentatives de piratage ou autre tentative d’intrusion automatisées.
Le pourquoi ? Est assez simple : poser de la publicité, créer des liens vers d’autres sites, télécharger votre contenu… bref gagner de l’argent avec votre site. Le comment ? Est moins évident, mais tout aussi varié : trouver vos codes identifiants, passer par un plugin, exploiter une faille non corrigée… Il faut bien comprendre que les attaques de masse ne vous visent pas vous mais appliquent la même méthode à des milliers de sites voire à des millions : même avec un faible taux de réussite, une organisation criminelle peut infecter des milliers de sites en quelques heures. Une organisation criminelle, rien que ça ? Revenons à nos moutons. Dès l’installation : oubliez vos habitudes 1. 2. 3. 4. 5. 6. 7. 8. Options All -Indexes 10. 11. 12.