Chaque jour, plus de 30 000 sites sont piratés et ce chiffre est en constante augmentation. Si vous ne prenez pas des mesures maintenant, ce n’est qu’une question de temps avant que votre site ne tombe entre de mauvaises mains…
Ah la sécurité, il y a encore quelques années c’était une notion qui me passait complètement par-dessus la tête. J’imaginais que les histoires de piratage cela n’arrivait qu’aux autres !
Seulement voilà…
Un jour mon hébergement a tout simplement fait pschiit ! J’ai reçu un mail de mon hébergeur qui me notifiait gentiment de la fermeture de mon hébergement suite à une activité suspecte… Pardon ? Mais monsieur l’hébergeur, ce n’est pas très gentil ça, j’avais 5 sites qui tournaient à plein régime sur cet hébergement et là il n’y a plus rien qui fonctionne !!!
Bon heureusement, j’avais déjà le bon réflexe de sauvegarder régulièrement mes sites et j’ai rapidement pu rétablir l’ordre… Mais imaginez-vous dans cette situation sans sauvegarde ? Des dizaines et des dizaines d’heures de travail qui disparaissent ? Parfois même des années de publications sur votre blog ! Tous vos efforts pour vous faire connaître et finalement essayer de gagner votre vie, plus rien… Cela peut vite se transformer en cauchemar !
Et surtout n’imaginez pas que cela n’arrive qu’aux sites importants… La plupart du temps les piratages sont réalisés de manière automatique avec pour but de pirater un maximum de sites pour ensuite lancer des attaques plus importantes ou même simplement pour du Spam… Si vous voulez éviter que cela ne vous arrive, lisez la suite, je vais vous prendre par la main et vous guider pas à pas pour transformer votre site wordpress en une véritable forteresse impénétrable ! (ok ce n’est pas Guantanamo non plus mais presque 🙂 )
Sommaire
Etape 1 : Sauvegardez votre site régulièrement
Vous avez probablement déjà dû le lire des dizaines de fois mais l’avez-vous fait ? Sauvegarder votre site, c’est la base de la base pour éviter la catastrophe. En aucun cas vous ne pouvez passer outre. Ne pas sauvegarder son site Internet, c’est exactement comme faire de la moto sans casque… Le jour où il vous arrive un accident, il n’y a pas de retour arrière possible…
Ok, je suis convaincu, je fais comment ?
Eh bien pour cela il existe plusieurs solutions :
- Faire une sauvegarde manuelle de votre site Internet. Cela nécessite quelques manipulations qui ne sont pas toujours simples pour un débutant et en plus c’est juste pénible à faire…
- Utiliser un plugin WordPress : c’est nettement plus simple, il suffit de configurer une fois le plugin et ensuite vous pouvez faire autant de sauvegardes que vous le souhaitez. La plupart des plugins dans ce domaine proposent une version gratuite qui est suffisante dans la plupart des cas.
- Et enfin, il existe des services externes qui proposent souvent des fonctionnalités supplémentaires mais ils sont payants.
Je vous propose pour cet article de vous guider dans l’installation et la configuration d’un plugin gratuit : Backwpup
Installation du plugin Backwpup
Extensions → Ajouter
Recherchez « backwpup » et cliquez sur « Installer maintenant »
Une fois l’installation terminée, activez l’extension en cliquant tout simplement sur le lien « Activer l’extension » (oui je sais, heureusement que je suis là, vous ne l’auriez pas deviné tout seul !)
Vous avez maintenant un nouveau menu à gauche Backwpup.
Configuration du plugin
Vous allez voir, ce n’est pas bien compliqué, commencer par aller dans le menu « ajouter une nouvelle opération »
BackWPup → Ajouter une nouvelle opération
Dans l’onglet général
La plupart des options sont bonnes par défaut. Ajoutez un nom puis en bas de la page, choisissez l’endroit où vous souhaitez sauvegarder vos fichiers. Le choix vous appartient mais sachez que la sauvegarde envoyée par mail sera vite limitée par la taille maximale de celui-ci… Si vous ne savez pas trop quoi faire, vous pouvez sélectionner la première option « Sauvegarder dans le répertoire ». La sauvegarde sera simplement placée dans le répertoire wp-content de votre site. Ce n’est pas l’idéal mais c’est bien mieux qu’aucune sauvegarde. À terme, pensez à utiliser un service de stockage externe comme dropBox pour y mettre vos sauvegardes.
Cliquez sur « Sauvegarder les changements » .Pour chaque emplacement de sauvegarde sélectionnée vous aurez un nouvel onglet dédié en haut à droite qui permet de le configurer. Dans notre cas, rien de plus à faire.
Dans l’onglet programmation
Ici, vous pouvez choisir le type de lancement de votre sauvegarde, en gros, soit vous la lancez manuellement soit elle est exécutée automatiquement à intervalles réguliers.
Je vous propose d’utiliser la version automatique en activant l’option « avec le cron de WordPress ».
Vous pouvez maintenant régler la fréquence de sauvegarde. A vous de voir selon la fréquence de mise à jour de votre site mais essayez d’opter au moins pour une sauvegarde hebdomadaire.
Cliquez sur « Sauvegarder les changements »
A noter que même si vous avez choisi une heure spécifique pour faire la sauvegarde, il est probable qu’elle ne se fera pas exactement à cette heure précise. En effet, le « cron » (table de planification) de wordpress ne se déclenche que lorsqu’une personne visite votre Site. Concrètement, si vous avez réglé votre sauvegarde au mardi à 15h par exemple, la sauvegarde se lancera dès qu’un visiteur arrivera sur votre site après cet horaire.
Lancer une sauvegarde manuellement
N’attendez pas le lancement automatique pour votre première sauvegarde. Allez dans le menu « Opérations », puis cliquez sur « lancer l’opération »
BackWPup → Opérations
L’opération peut prendre quelques minutes selon la taille de votre site Internet.
Une fois terminée, re-cliquer sur le menu « opérations » et au bout de la ligne vous pouvez télécharger directement votre sauvegarde en cliquant sur « Télécharger ».
Et voilà ! Vous êtes sauvés ! Tous vos fichiers et votre base de données sont sauvegardés sur votre ordinateur.
Pour les sauvegardes automatiques, vous pourrez les trouver en passant par votre FTP dans le répertoire …/wp-content/uploads/ (c’est le répertoire par défaut). Si vous ne savez pas comment accéder à vos fichiers par FTP, je vous conseille d’utiliser Filezilla, il est simple à utiliser et gratuit.
Étape 2 : Sécurisez votre interface d’administration
Pour cette étape nous allons nous limiter à l’ensemble des points que l’on peut traiter sans aller toucher à un quelconque fichier.
Maintenez l’ensemble de votre système à jour
Un site qui n’est pas maintenu à jour est une véritable passoire et du pain bénit pour les hackers. Chaque mise à jour permet de corriger des failles de sécurité et de diminuer les risques que quiconque puisse s’introduire frauduleusement sur votre site. En plus cela ne vous prendra que quelques secondes…
Tableau de bord → Mise à jour
3 types de mises à jour sont disponibles :
- Mise à jour de wordpress
Un clic suffit à mettre à jour votre wordpress, appuyez sur le bouton « Mettre à jour ».
- Mise à jour des extensions
Dans la partie Extensions, appuyer sur la case à cocher « Tout sélectionner » puis « Mettre à jour les extensions ».
Mise à jour des thèmes
Avant de mettre à jour votre thème, un point important ! (sinon vous risquez de m’en vouloir 🙂 ). Si vous avez apporté une quelconque modification à votre thème et que vous ne les avez pas faites dans un thème « enfant » vous allez tout perdre en mettant à jour votre thème. Si vous ne savez pas ce qu’est un thème enfant ou que vous ne savez pas comment en créer un, suivez ce tuto sur le site de wpformationIci, même opération que pour les plugins, appuyer sur la case à cocher « Tout sélectionner » puis « Mettre à jour les thèmes ».
Supprimez les extensions non utilisées ou inutiles
La communauté autour de WordPress est tout simplement colossale et les plugins disponibles sont extrêmement nombreux. Je ne sais pas pour vous, mais moi j’aime bien tester régulièrement de nouveaux plugins à la recherche d’une pépite. Souvent ces plugins ne nous sont pas vraiment nécessaires ou ne correspondent pas à notre besoin mais on a parfois tendance à se dire « bon ce n’est pas grave, je le laisse, on verra si cela peut servir ».
Le problème c’est qu’en laissant le plugin sur votre site, non seulement vous ralentissez wordpress pour rien mais en plus vous vous exposez potentiellement à des failles de sécurité et c’est encore pire si vous ne maintenez pas le plugin à jour. Si vous vous dite qu’il suffit de désactiver le plugin et bien malheureusement cela ne change rien en termes de sécurité, le code du plugin est toujours présent et donc les failles aussi.
Bref vous l’aurez compris, il est temps de faire du ménage !
Extensions → Extensions installées
Regardez attentivement l’ensemble des plugins et posez-vous la question « Est-ce que ce plugin me sert vraiment ? », dites-vous que chaque plugin que vous enlèverez vous fera gagner en performances et en sécurité.
C’est bon ? Vous avez trouvé quelques plugins à supprimer ? Alors commencez par les désactiver et ensuite supprimez-les. (Ne soyez pas triste, si jamais il vous manque de trop vous pourrez toujours les réinstaller 🙂 )
Bannissez l’utilisateur Admin et optez pour un vrai mot de passe
Par défaut dans wordpress, vous avez un compte administrateur avec le login Admin. C’est bien sûr une très mauvaise idée de le garder puisque tout le monde connaît ce login… Allons faire un tour dans la partie « Utilisateurs » !
Commencez par créer nouvel utilisateur
Utilisateurs → Tous les utilisateurs
Remplissez bien l’ensemble du profil et cliquez sur « Afficher le mot de passe ». Le mot de passe généré est peut-être impossible à retenir mais au moins il a le mérite d’être sécurisé. Je vous conseille de le garder et de vous le copier quelque part. Si vous voulez en mettre un plus facile à retenir assurez-vous d’avoir au moins 10 caractères et si possible avec un mélange de chiffres, de lettres et de symboles.
Sélectionnez ensuite le rôle « Administrateur » puis cliquez sur « Ajouter un utilisateur »
Supprimez l’utilisateur Admin
Ok, vous devez maintenant avoir 2 comptes administrateurs. Seulement pour supprimer le premier, il faut bien sûr que vous ne soyez pas connecté avec celui-ci. (Combien d’entre vous ont cherché le bouton « Supprimer » sur l’utilisateur admin avant d’avoir changé d’utilisateur? Hein, avouez ? 🙂 ).
Déconnectez-vous du compte admin et connectez-vous avec votre nouvel utilisateur. Allez dans le menu Utilisateur et sur la ligne de l’utilisateur admin cliquer sur « supprimer ».
WordPress va vous demander de confirmer la suppression et surtout il va vous demander à qui attribuer tous les articles actuellement associés au compte admin. Sélectionnez bien votre nouvel utilisateur dans la liste et cliquez sur « confirmer la suppression »
Créez un utilisateur avec le rôle « éditeur » pour vos articles
En règle générale, lorsque vous écrivez un article, le login de l’utilisateur est accessible. C’est une bonne chose pour vos lecteurs mais ça l’est moins pour la sécurité de votre site… Le plus simple dans ce cas est de créer un utilisateur avec le rôle « éditeur » en plus de votre compte admin. Comme cela, si quelqu’un accède à votre interface d’administration avec cet utilisateur, ses actions seront très limitées ! Et pour vous, au quotidien cela ne change pas grand-chose, si vous avez besoin des droits « administrateur » vous n’avez qu’à changer d’utilisateur.
Commencez par créer un nouvel utilisateur
Utilisateurs → Ajouter
Même process que pour la création du compte admin à l’exception du rôle que vous devez régler sur « Editeur ».
Attribuez les anciens articles au nouvel utilisateur
Il est probable que vous ayez déjà de nombreux articles publiés avec l’utilisateur ayant les droits « administrateur ». Vous pourriez les réattribuer un par un mais cela pourrait vite s’avérer long et fastidieux. Pour le faire en masse vous pouvez aller dans la section « tous les articles »
Articles → Tous les articles
- Sélectionnez l’ensemble de vos articles en appuyant sur la case à cocher à gauche de l’en-tête
- Choisissez « modifier » dans la liste déroulante « Actions groupées » et cliquez sur « Appliquer »
- Dans la liste déroulante « Auteur » sélectionnez votre nouvel utilisateur avec les droits « Editeur » puis appuyez sur « Mettre à jour »
Limitez le nombre de tentatives de connexion à votre Interface d’administration
L’une des techniques classiques pour s’introduire sur votre site consiste à trouver votre login et votre mot de passe en essayant un très grand nombre de combinaisons sur votre page de connexion. Pour se protéger de ce type d’attaque, le plus simple est de restreindre le nombre de tentatives possible. Il existe un plugin gratuit qui fait très bien le boulot : WP Cerber
Installation du plugin WP Cerber
Extensions → Ajouter
Rechercher « Cerber Limit Login Attempts » et cliquer sur « Installer maintenant »
Activez l’extension
Configuration du plugin WP Cerber
Réglages → WP Cerber
Par défaut, la plupart des paramètres sont très bien, je vous conseille juste de décocher la case « Utilisateurs inexistants ». Cette option bloque l’accès au premier essai raté avec un mauvais login. C’est un peu dur d’attendre 60 minutes simplement par ce que l’on s’est raté sur son login. 🙂
Si vous le souhaitez, vous pouvez changer le nombre de tentatives avant le blocage et la durée du blocage. Pour le reste, ce plugin propose énormément d’options pour sécuriser l’accès à votre site mais pour le moment je vous conseille de laisser toutes les options par défaut. (Ce plugin mérite un tuto dédié)
Nous voilà à la fin de la 2ème étape. À ce stade, votre site est déjà plus sécurisé que la très grande majorité des sites Internet qui tournent avec wordpress. Bravo !
La prochaine étape va permettre d’aller encore plus loin mais cela va nécessiter de toucher un peu aux fichiers de WordPress. N’ayez pas peur, je vais essayer d’être le plus clair possible et de vous simplifier au maximum le boulot.
Étape 3 : Sécurisez vos fichiers et vos dossiers
Par défaut, votre installation de wordpress permet d’accéder à de nombreuses informations qui peuvent être détournées, pour y remédier nous allons faire des modifications dans 2 fichiers, le fichier .htaccess et le fichier functions.php. Vous ne comprenez pas de quoi je parle ? Ce n’est rien je vous explique tout juste après !
Modification du fichier .htaccess
Chaque installation de wordpress possède un fichier .htaccess à la racine de votre installation. Ce fichier est franchement génial et vous permet d’agir sur votre site internet de bien des manières mais il est utilisé en priorité pour les points suivants:
- Améliorer la vitesse de chargement
- Mettre en place des redirections
- Et bien sûr la sécurité (ba oui quand même…)
Je passe sur le fonctionnement de ce fichier, si vous voulez en savoir plus aller voir l’excellent article rédigé sur Wpmarmite dont je me suis inspiré pour cette partie.
Quelques précautions avant de manipuler le fichier .htaccess
Avant de faire une quelconque modification de votre fichier .htaccess il est extrêmement important d’en faire une sauvegarde. Si vous faites une fausse manipulation avec ce fichier, votre site peut tout simplement devenir inaccessible (avouez que ca serait dommage après tous ces efforts 🙂 )
Pour commencer connectez-vous à votre hébergement par FTP (avec filezilla par exemple). Je pars du principe que vous savez vous y connecter. Si ce n’est pas le cas lisez ce tuto https://codex.wordpress.org/fr:Utiliser_FileZilla
Une fois connecté, vous trouverez le fichier .htaccess à la racine de votre installation wordpress, cela vari d’un hebergeur à un autre mais cela devrait être un chemin du type « /www/monsite/ ».
Une fois que vous avez trouvé le fichier, faites en une sauvegarde sur votre ordinateur en le faisant simplement glisser vers le répertoire voulu.
Ok, vous êtes prêts pour les modifications
Vous pouvez maintenant ouvrir votre fichier .htaccess, nous allons commencer à opérer. (clic droit sur le fichier dans filezilla « Afficher / Editer »)
Voila à quoi il devrait ressembler si vous n’avez rien touché (vous pouvez avoir quelques différences mineures) :
# BEGIN WordPress<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
Si votre fichier est très différent, je vous conseille de vous arrêter là pour éviter de faire une fausse manipulation. C’est parfois le cas lorsque vous utilisez un plugin de cache qui modifie les fichiers .htaccess
Voilà la version que je vous propose (en rouge les ajouts)
# BEGIN WordPress<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]# 4/Enlève l’accès direct aux utilisateurs par leur identifiant
#Attention cette partie doit bien se trouver entre les balises <IfModule mod_rewrite.c> et </IfModule>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* – [F]
</IfModule>
# END WordPress
# 1/Désactive l’affichage du contenu des répertoires
Options All -Indexes# 2/Protège le fichier wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# 3/Protège les fichiers .htaccess et .htpasswds
<Files ~ « ^.*\.([Hh][Tt][AaPp]) »>
order allow,deny
deny from all
satisfy all
</Files>
Les modifications apportées vont permettent de protéger les 4 points suivants:
- Par défaut, n’importe qui peut accéder aux contenus de vos répertoires en tapant l’adresse. Par exemple essayez avec en tapant l’adresse suivante sur votre site : monsite.xx/wp-content/uploads/ (remplacez « monsite.xx » par l’adresse de votre site). Comme vous pouvez le voir, le résultat est plutôt gênant… Tout votre contenu est visible !
- Votre fichier wp-config.php présent à la racine de votre site contient tous les éléments nécessaires pour se connecter à votre base de données. Autant dire qu’il ne faut pas quiconque puissent y accéder.
- Le fichier .htaccess permet de protéger les autres fichiers importants mais qui le protège lui ? Cela peut paraître bête mais il est important d’ajouter cette protection !
- Saviez-vous que l’on pouvait trouver très facilement votre login ? non ? Et bien essayez vous-même : monsite.xx/?author=1 (remplacez « monsite.xx » par l’adresse de votre site). Vous devriez être redirigé sur la page de l’utilisateur ayant l’identifiant 1 avec son login bien visible dans l’URL…
Il ne vous reste plus qu’à ajouter ces modifications à votre fichier .htaccess et à l’enregistrer pour profiter de ces améliorations.
Si après ces modifications vous ne pouvez plus accéder à votre site et que vous vous retrouvez avec une erreur de ce type :
Don’t panic !
Soit vous avez fait une mauvaise manipulation dans votre fichier .htacces soit l’un des points ajoutés est incompatible avec votre hébergeur mais dans tous les cas, il vous suffit de remettre votre fichier .htaccess d’origine que vous avez mis de côté au début de cette étape (vous voyez que cela peut servir les sauvegardes !!! 🙂 ). Si vous rencontrez des difficultés à cette étape, n’hésitez pas à poser vos questions en commentaire.
Modification du fichier functions.php
Pré-requis: sachez que pour faire cette manipulation vous devez avoir un thème enfant. Pour vérifier que vous en avez un, allez dans le répertoire racinedevotresite/wp-content/themes/ et là vous devriez voir au moins 2 répertoires, un avec le nom de votre thème et un autre contenant le nom de votre thème avec en plus « -child » à la fin de son nom. Si vous n’en avez pas, commencez par en installer un en suivant les instructions présentes dans ce tutoRetournons à nos moutons avec le fichier functions.php. Ce fichier permet d’apporter des personnalisations à votre thème et en l’occurrence nous allons y apporter quelques modifications pour renforcer encore la sécurité de votre site web.
Placez-vous dans le répertoire de votre thème enfant et vérifiez si vous avez un fichier functions.php, si vous en avez un, ouvrez-le sinon créez-le.
Si vous aviez déjà un fichier functions.php, faites en une sauvegarde avant de le modifier (ça va finir pas rentrer 🙂 )
Éditez le fichier et insérez-y le code suivant et enregistrez-le :
<?php// 1) masque la version de votre WordPress
remove_action(« wp_head », « wp_generator »);
// 2) empêche l’édition de vos fichiers directement depuis wordpress
define(‘DISALLOW_FILE_EDIT’,true);
// 3) Masque les erreurs de connexion
add_filter('login_errors',create_function('$a', "return 'Erreur';"));
?>
- La version de votre wordpress est par défaut affichée dans le code source de votre page, il ne reste plus qu’à un gentil hacker à utiliser une faille de sécurité correspondant à votre version… Regardez le code source de votre page en appuyant sur « ctrl+u » et cherchez une ligne du type
<meta name="generator" content="WordPress 4.5.3">. Avec cette modification dans votre fichier « functions.php », la version est retirée du code source. - Si quelqu’un accède à votre interface d’administration, il peut très simplement modifier vos fichiers en passant par l’éditeur de fichier sans même avoir besoin d’accéder à votre hébergement. Mieux vaut désactiver cette fonctionnalité.
- Lorsque vous essayez de vous connecter à votre interface d’administration, WordPress à la fâcheuse manie de vous dire si c’est votre login ou votre mot de passe qui n’est pas bon. Non mais franchement, autant afficher publiquement votre login, le résultat serait le même… Bref, maintenant vous n’aurez plus qu’un message d’erreur basique sans informations complémentaires.
Quelques précautions par rapport à votre fichier « functions.php ». Si ce fichier n’était pas présent vous pouvez simplement le créer et copier/coller l’exemple ci-dessus. Par contre, si vous en aviez déjà un, attention à bien ajouter le code à la fin du fichier avant la balise de fin de fichier PHP « ?> » et à ne pas remettre les balises « <?php » et « ?> » qui sont déjà présentes dans le fichier. Un exemple :
Comme toutes les autres modifications, si vous rencontrez le moindre problème, remettez votre fichier d’origine ou supprimez-le si vous n’en aviez pas.
Suppression du fichier « readme.html »
Décidément WordPress aime vraiment laisser des traces, tapez l’adresse suivante : « votresite.xx/readme.html »
Oui, vous ne rêvez pas ! N’importe qui peut accéder à ce fichier qui affiche fièrement votre version de WordPress ! La solution est simple et radicale… Supprimez tout simplement ce fichier qui ne sert strictement à rien… (il se trouve à la racine de votre répertoire wordpress)
Bravo ! Votre WordPress est maintenant sécurisé !
Je vous invite à vérifier que les modifications que vous venez de faire sont effectives en utilisant cet outil en ligne gratuit qui analyse votre site. Vous avez maintenant peu de chances de faire partie des 30000 sites piratés tous les jours… Les puristes de la sécurité qui liront cet article viendront probablement dire que c’est incomplet… C’est vrai ! Mais j’ai fait le choix de m’attarder sur les points qui me paraissaient essentiels ET qui étaient abordables par le commun des mortels. Si vous voyez d’autres modifications simples et importantes à apporter n’hésitez pas à m’en faire part, je compléterai l’article.
Super Article ! J’avoue que j’ai souvent repoussé ce moment 🙂
Mais là, les étapes sont clairs ! J’ai modifié l’ensemble des points mentionnés (enfin j’espère ^^)
Heureux d’avoir pu vous aider !
Si vous avez un doute, vous pouvez m’envoyer l’adresse de votre site que je vérifie si tout semble bon !
Merci pour ce tuto très clair !
Je démarre dans WP et ai pu très simplement opérer ces modifs
Et… tout fonctionne
Parfait 🙂 content d’avoir pu vous aider !
Si vous voulez vérifier vos modifications, j’ai développé un outil en ligne qui permet en quelques secondes de vérifier quelques points présents dans cette liste : https://naturedigitale.fr/verifier-securite-wordpress/
Matthieu, je viens de vérifier mes modifications avec votre application et le résultat est : Bon
Toutefois, il me signale que les répertoires sont visibles et que wp-config n’est pas protégé. Pourtant j’ai bien rentré les codes comme indiqué (copier/coller) ?
Par ailleurs, je constate une erreur 404 not found lorsque je veux aller non pas sur la page d’accueil mais dans un article depuis le site ?
Christian,
il doit y avoir un problème avec votre fichier htaccess, essayez de remettre le fichier d’origine et si tout rentre dans l’ordre, ajoutez les modifications proposées une par une pour voir ou se situe le problème.
Essayer aussi de changer les permaliens (menu Réglages => permalien) pour les mettre à « Nom de l’article ».
Merci Matthieu pour ton aide,
j’ai procédé à une restauration et tout est entré dans l’ordre
Bonsoir,
j’ai franchi le cap même si j’ai toujours mis à jour WordPress, je ne voyais pas en quoi afficher la version était dangereux, surtout que l’on peut voir la version au bout des lignes stylesheet.
Puis mon pseudo ne correspond pas à mon login, j’ai pensé à différencier les 2.
Un peu embêtant sur les sites avec plusieurs auteurs , si on ne peut pas utiliser monsite.xx/?author=1
Bonsoir,
Remarques intéressantes, je vais tâcher d’y répondre au mieux:
1) Garder la version affichée est surtout embêtante quand votre wordpress n’est pas à jour (ce qui peut être le cas juste après une nouvelle version de wordpress). Il vaut donc mieux ne pas la laisser affiché. Les attaques les plus courantes sont automatiques et se servent justement de la balise generator, ce qui permet de limiter les risques avec ce type d’attaque. Je vois effectivement que sur votre site, la version est présente à d’autres endroits et cela mériterait une mise à jour de l’article je pense. Sur mon site, je ne vois pas de trace de la version dans le code source et en fait cela vient d’un plugin que j’utilise pour les performances « WP Performance Score Booster » qui va supprimer par la même occasion toutes ces indications.
2) Même si vous différenciez votre pseudo et votre login, si vous laissez activer la commande sur ?author=1 c’est bien votre login qui est dans l’url.
Je ne pense pas que cela pose un problème sur les sites avec plusieurs auteurs puisque rien n’empêche de pouvoir accéder à un auteur par son url (monsite.xx/author/login) mais il est important d’utiliser un utilisateur avec le rôle « éditeur » pour publier vos articles, de cette manière, votre compte admin reste invisible puisque non trouvable avec le numéro et présent nul part sur le site.
J’espère avoir répondu à vos questions, n’hésitez pas si vous voulez des compléments !
Bonjour,
1) Je mets à jour mon site dés que je vois dans le tableau de bord, qu’une mise à jour est disponible, je l’ai toujours fait, depuis 5 ans. Mais j’ai votre code, pour cache la balise generator
Je connais le plugin WP Performance Score Booster, je ne l’ai pas trouvé si performant que ça, j’ai WP Fastest Cache, WP Deferred JavaScript et cela donne de bons résultats sur gtmetrix
https://gtmetrix.com/reports/dragoncine.fr/jiYQBDZZ
et votre site
https://gtmetrix.com/reports/naturedigitale.fr/nOvcZf6l
2) Justement non, j’ai testé ?author=1 , ce n’est pas mon login qui apparait mais mon pseudo, je lisais bien Wolfneo, ce n’est pas mon login, mais j’ai regardé le code source, je suis curieux et tout en bas, j’ai vu mon login là.
Donc j’ai appliqué votre recommandation.
A vrai dire, j’ai quasiment tout appliqué ce que vous recommandez.
dernier message, pour le fichier readme.html, l’astuce de là, bien ou pas ?
http://jeyg.info/cacher-la-version-de-wordpress/
Très intéressant article qui contient des informations que je n’avais jamais croisées auparavant – notamment les modifs au niveau de functions.php
J’aurais personnellement tendance à privilégier une extension de sécurité – j’utilise Ninja Firewall – qui va encore plus loin en bloquant l’upload de fichier, protégeant xmlrpc qui est source d’attaques, prévenant l’admin en cas de connexion réussie et d’autres choses bien utiles.
J’ai fait le test et l’outil n’a pas détecté que le nombre de tentatives de connexion est limité par Ninja Firewall. Quoiqu’il en soit, je vais rajouter le lien dans les références sur mon site echodesplugins.li-an.fr
J’avais envie de faire un billet sur le sujet mais tout est dit ici.
Bonjour,
Oui avec WP Deferred Javascript c’est mieux, moi je n’ai jamais eu de souci avec, mais je l’ai jamais testé avec WP Performance Score Booster ou un autre plugin de ce type.
Je m’occupe bénévolement d’un site pour un club d’histoire, il m’arrive de faire un article, du coup, j’aurai aimé que les visiteurs puissent voir les articles par auteur mais avec le code que vous donnez, plus possible.
http://arnouvilleetsonpasse.fr
j’ai relu votr mot, vous dites avec monsite.xx/author/login cela n’empêche pas les sites avec plusieurs auteurs, c’est un code à ajouter ?
Merci
Bonjour,
C’est bon, ayant un thème enfant, avant j’avais mis une copie des fichiers qui géraient la date pour la mettre en français, l’auteur a changé les codes, je ne l’avais pas vu et je n’avais pas mis à jour mon thème enfant du coup.
Sinon le souci avant était que je voyais le nom de l’auteur mais en cliquant dessus ce n’était pas le lien vers author mais le lien de l’article même.
Et supprimant les fichiers, plus besoin, tout est rentré dans l’ordre.
Merci
Bonjour Wolfneo,
sur mon site, si vous cliquez sur le nom de l’auteur en haut de l’article, vous êtes redirigés sur l’adresse : https://naturedigitale.fr/author/naturedigitale/ (c’est mon login « éditeur »).
Le code mis en place ne pose pas de problème pour accéder aux url direct des auteurs (en théorie :))
Qu’avez vous comme problème lorsque vous allez sur une page d’un auteur ? Quand vous retirez la ligne de code dédiée , le problème disparaît ?
Vous pouvez me donner une url qui pose problème si vous souhaitez que je regarde.
Bonsoir,
Dans le pluign WP Cerber, si on ne coche pas cette ligne
« Désactiver la redirection automatique sur la page de login lorsque /wp-admin/ est demandé lors d’une requête non-autorisée »
On ne peut plus accéder au tableau de bord, par l’url /wp-admin/
Est-ce important de laisser cocher cette ligne ?
Merci
Bonjour,
Les lignes de code (RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* – [F]) à ajouter au .htaccess pour ne plus accéder aux pages des auteurs de manière directe ne fonctionne pas, comment faire ?
Merci.
Bonjour et bonne année !
Merci beaucoup pour cet article très instructif.
Je pense avoir bien sécurisé mon site grâce à vous.
Une petite question concernant le plugin WP CErber : Y a-t-il une configuration spécifique à effectuer lorsque l’on possède une URL dynamique ? En effet, lorsque je me déconnecte de l’administration (après un petit coup de CCleaner) je ne peux plus accéder à l’interface. Je dois passer par le FTP, désinstaller Cerber et le réinstaller selon la méthode indiquée dans la FAQ de Cerber.
Encore merci pour vos précieux conseils et je vais en bénéficier d’autres puisque je viens de m’abonner à votre newsletter.
Bonne journée !
Bonsoir,
j’ai viré le plugin le Plugin Cerber, il m’avait bloqué, alors que j’étais connecté, je ne pouvais plus accéder à mon site.
Du coup j’ai mis Login LockDown à la place, par de chance ace style de plugin, déjà eu un problème avec le plugin Limit Login Attempts, j’avais vu + 1 millions d’installation mais le plugin a cinq ans, là j’avoue, je n’ai pas été prudent de l’installer.
Bonjour,
merci pour ce tuto ! J’ai suivi les instructions, mais apparemment il y a toujours sur mon site la faille des auteurs visibles dans l’url.
J’ai installé IThemes security, et pourtant les lignes de code : order allow, deny, etc. sont bien présentes sur le fichier htaccess remanié par le plugin.
Que faire pour que ce problème de sécurité soit résolu ?
Si vous voulez, je peux vous envoyer mon fichier htaccess.
Merci.
Bonjour, merci pour ce tuto, ça m’a bien aidé.
Tout a l’air de bien fonctionner ! Super !
J’ai tout de même voulu utiliser votre outil et il me met le message suivant :
« Erreur SSL
Votre site ne semble pas utiliser WordPress »
Pourtant j’utilise bien WP 🙂
Encore merci pour toutes ces infos accessibles au commun des mortels 😉
Bonjour,
Pareil que Yza, le message d’erreur, votre système ne fonctionne plus ?
https://naturedigitale.fr/verifier-securite-wordpress/
Bonjour Matthieu, merci pour cet article complet et clairement expliqué qui résume quelques astuces de sécurité ! Je les ai toutes appliquées sur mon site. C’est effrayant de voir ce que l’on peut faire avec une connexion internet et un accès à un site non sécurisé …
A bientôt 🙂