3 étapes détaillées pour sécuriser facilement wordpress
[et_social_share]
Chaque jour, plus de 30 000 sites sont piratés et ce chiffre est en constante augmentation. Si vous ne prenez pas des mesures maintenant, ce n'est qu'une question de temps avant que votre site ne tombe entre de mauvaises mains...
Ah la sécurité, il y a encore quelques années c'était une notion qui me passait complètement par-dessus la tête. J'imaginais que les histoires de piratage cela n'arrivait qu'aux autres !
Seulement voilà...
Un jour mon hébergement a tout simplement fait pschiit ! J'ai reçu un mail de mon hébergeur qui me notifiait gentiment de la fermeture de mon hébergement suite à une activité suspecte... Pardon ? Mais monsieur l'hébergeur, ce n'est pas très gentil ça, j'avais 5 sites qui tournaient à plein régime sur cet hébergement et là il n'y a plus rien qui fonctionne !!!
Bon heureusement, j'avais déjà le bon réflexe de sauvegarder régulièrement mes sites et j'ai rapidement pu rétablir l'ordre... Mais imaginez-vous dans cette situation sans sauvegarde ? Des dizaines et des dizaines d'heures de travail qui disparaissent ? Parfois même des années de publications sur votre blog ! Tous vos efforts pour vous faire connaître et finalement essayer de gagner votre vie, plus rien... Cela peut vite se transformer en cauchemar !
Et surtout n'imaginez pas que cela n'arrive qu'aux sites importants... La plupart du temps les piratages sont réalisés de manière automatique avec pour but de pirater un maximum de sites pour ensuite lancer des attaques plus importantes ou même simplement pour du Spam... Si vous voulez éviter que cela ne vous arrive, lisez la suite, je vais vous prendre par la main et vous guider pas à pas pour transformer votre site wordpress en une véritable forteresse impénétrable ! (ok ce n'est pas Guantanamo non plus mais presque 🙂 )
Etape 1 : Sauvegardez votre site régulièrement
Vous avez probablement déjà dû le lire des dizaines de fois mais l’avez-vous fait ? Sauvegarder votre site, c’est la base de la base pour éviter la catastrophe. En aucun cas vous ne pouvez passer outre. Ne pas sauvegarder son site Internet, c’est exactement comme faire de la moto sans casque… Le jour où il vous arrive un accident, il n'y a pas de retour arrière possible…
Ok, je suis convaincu, je fais comment ?
Eh bien pour cela il existe plusieurs solutions :
- Faire une sauvegarde manuelle de votre site Internet. Cela nécessite quelques manipulations qui ne sont pas toujours simples pour un débutant et en plus c'est juste pénible à faire...
- Utiliser un plugin WordPress : c’est nettement plus simple, il suffit de configurer une fois le plugin et ensuite vous pouvez faire autant de sauvegardes que vous le souhaitez. La plupart des plugins dans ce domaine proposent une version gratuite qui est suffisante dans la plupart des cas.
- Et enfin, il existe des services externes qui proposent souvent des fonctionnalités supplémentaires mais ils sont payants
Je vous propose pour cet article de vous guider dans l’installation et la configuration d’un plugin gratuit : Backwpup
Installation du plugin Backwpup
Extensions → Ajouter
Recherchez « backwpup » et cliquez sur « Installer maintenant »
Une fois l’installation terminée, activez l’extension en cliquant tout simplement sur le lien « Activer l’extension » (oui je sais, heureusement que je suis là, vous ne l’auriez pas deviné tout seul !)
Vous avez maintenant un nouveau menu à gauche Backwpup.
Configuration du plugin
Vous allez voir, ce n’est pas bien compliqué, commencer par aller dans le menu « ajouter une nouvelle opération »
BackWPup → Ajouter une nouvelle opération
Dans l’onglet général
La plupart des options sont bonnes par défaut. Ajoutez un nom puis en bas de la page, choisissez l’endroit où vous souhaitez sauvegarder vos fichiers. Le choix vous appartient mais sachez que la sauvegarde envoyée par mail sera vite limitée par la taille maximale de celui-ci… Si vous ne savez pas trop quoi faire, vous pouvez sélectionner la première option « Sauvegarder dans le répertoire ». La sauvegarde sera simplement placée dans le répertoire wp-content de votre site. Ce n'est pas l'idéal mais c'est bien mieux qu'aucune sauvegarde. A terme, pensez à utiliser un service de stockage externe comme dropBox pour y mettre vos sauvegardes.
Cliquez sur « Sauvegarder les changements » .Pour chaque emplacement de sauvegarde sélectionnée vous aurez un nouvel onglet dédié en haut à droite qui permet de le configurer. Dans notre cas, rien de plus à faire.
Dans l’onglet programmation
Ici, vous pouvez choisir le type de lancement de votre sauvegarde, en gros, soit vous la lancez manuellement soit elle est exécutée automatiquement à intervalles réguliers.
Je vous propose d’utiliser la version automatique en activant l’option « avec le cron de WordPress ».
Vous pouvez maintenant régler la fréquence de sauvegarde. A vous de voir selon la fréquence de mise à jour de votre site mais essayez d’opter au moins pour une sauvegarde hebdomadaire.
Cliquez sur « Sauvegarder les changements »
Lancer une sauvegarde manuellement
N'attendez pas le lancement automatique pour votre première sauvegarde. Allez dans le menu « Opérations », puis cliquez sur « lancer l’opération »
BackWPup → Opérations
L’opération peut prendre quelques minutes selon la taille de votre site Internet.
Une fois terminée, re-cliquer sur le menu « opérations » et au bout de la ligne vous pouvez télécharger directement votre sauvegarde en cliquant sur « Télécharger »
Et voilà ! Vous êtes sauvés ! Tous vos fichiers et votre base de données sont sauvegardés sur votre ordinateur.
Pour les sauvegardes automatiques, vous pourrez les trouver en passant par votre FTP dans le répertoire …/wp-content/uploads/ (c'est le répertoire par défaut). Si vous ne savez pas comment accéder à vos fichiers par FTP, je vous conseil d'utiliser Filezilla, il est simple à utiliser et gratuit.
Etape 2 : Sécurisez votre interface d'administration
Pour cette étape nous allons nous limiter à l'ensemble des points que l'on peut traiter sans aller toucher à un quelconque fichier.
Maintenez l'ensemble de votre système à jour
Un site qui n'est pas maintenu à jour est une véritable passoire et du pain bénit pour les hackers. Chaque mise à jour permet de corriger des failles de sécurité et de diminuer les risques que quiconque puisse s'introduire frauduleusement sur votre site. En plus cela ne vous prendra que quelques secondes...
Tableau de bord → Mise à jour
3 types de mises à jour sont disponibles :
- Mise à jour de wordpress
Un clic suffit à mettre à jour votre wordpress, appuyez sur le bouton "Mettre à jour"
- Mise à jour des extensions
Dans la partie Extensions, appuyer sur la case à cocher "Tout sélectionner" puis "Mettre à jour les extensions"
- Mise à jour des thèmes
Supprimez les extensions non utilisées ou inutiles
La communauté autour de WordPress est tout simplement colossale et les plugins disponibles sont extrêmement nombreux. Je ne sais pas pour vous, mais moi j'aime bien tester régulièrement de nouveaux plugins à la recherche d'une pépite. Souvent ces plugins ne nous sont pas vraiment nécessaires ou ne correspondent pas à notre besoin mais on a parfois tendance à se dire "bon ce n'est pas grave, je le laisse, on verra si cela peut servir".
Le problème c'est qu'en laissant le plugin sur votre site, non seulement vous ralentissez wordpress pour rien mais en plus vous vous exposez potentiellement à des failles de sécurité et c'est encore pire si vous ne maintenez pas le plugin à jour. Si vous vous dite qu'il suffit de désactiver le plugin et bien malheureusement cela ne change rien en termes de sécurité, le code du plugin est toujours présent et donc les failles aussi.
Bref vous l'aurez compris, il est temps de faire du ménage !
Extensions → Extensions installées
Regardez attentivement l'ensemble des plugins et posez vous la question "Est-ce que ce plugin me sert vraiment ?", dites-vous que chaque plugin que vous enlèverai vous fera gagner en performances et en sécurité.
C'est bon ? Vous avez trouver quelques plugins à supprimer ? Alors commencez par les désactiver et ensuite supprimez les. (ne soyez pas triste, si jamais il vous manque de trop vous pourrez toujours les réinstaller 🙂 )
Bannissez l'utilisateur Admin et optez pour un vrai mot de passe
Par défaut dans wordpress, vous avez un compte administrateur avec le login Admin. C'est bien sûr une très mauvaise idée de le garder puisque tout le monde connait ce login... Allons faire un tour dans la partie "Utilisateurs" !
Commencez par créer nouvel utilisateur
Utilisateurs → Tous les utilisateurs
Remplissez bien l'ensemble du profil et cliquez sur "Afficher le mot de passe". Le mot de passe généré est peut être impossible à retenir mais au moins il a le mérite d'être sécurisé. Je vous conseil de le garder et de vous le copier quelque part. Si vous voulez en mettre un plus facile à retenir assurez vous d'avoir au moins 10 caractères et si possible avec un mélange de chiffres, de lettres et de symboles.
Sélectionnez ensuite le rôle "Administrateur" puis cliquez sur "Ajouter un utilisateur"
Supprimez l'utilisateur Admin
Ok, vous devez maintenant avoir 2 comptes administrateurs. Seulement pour supprimer le premier, il faut bien sûr que vous ne soyez pas connecté avec celui-ci. (Combien d'entre vous ont cherché le bouton "Supprimer" sur l'utilisateur admin avant d'avoir changé d'utilisateur? hein, avouez ? 🙂 ).
Déconnectez-vous du compte admin et connectez-vous avec votre nouvel utilisateur. Allez dans le menu Utilisateur et sur la ligne de l'utilisateur admin cliquer sur "supprimer"
WordPress va vous demander de confirmer la suppression et surtout il va vous demander à qui attribuer tous les articles actuellement associés au compte admin. Sélectionnez bien votre nouvel utilisateur dans la liste et cliquez sur "confirmer la suppression"
Créez un utilisateur avec le rôle "éditeur" pour vos articles
En règle générale, lorsque vous écrivez un article, le login de l'utilisateur est accessible. C'est une bonne chose pour vos lecteurs mais ça l'est moins pour la sécurité de votre site... Le plus simple dans ce cas est de créer un utilisateur avec le rôle "éditeur" en plus de votre compte admin. Comme cela, si quelqu'un accède à votre interface d'administration avec cet utilisateur, ses actions seront très limitées ! Et pour vous, au quotidien cela ne change pas grand-chose, si vous avez besoin des droits "administrateur" vous n'avez qu'à changer d'utilisateur.
Commencez par créer un nouvel utilisateur
Utilisateurs → Ajouter
Même process que pour la création du compte admin à l'exception du rôle que vous devez régler sur "Editeur".
Attribuez les anciens articles au nouvel utilisateur
Il est probable que vous ayez déjà de nombreux articles publiés avec l'utilisateur ayant les droits "administrateur". Vous pourriez les réattribuer un par un mais cela pourrait vite s'avérer long et fastidieux. Pour le faire en masse vous pouvez aller dans la section "tous les articles"
Articles → Tous les articles
- Sélectionnez l'ensemble de vos articles en appuyant sur la case à cocher à gauche de l'entête
- Choisissez "modifier" dans la liste déroulante "Actions groupées" et cliquez sur "Appliquer"
- Dans la liste déroulante "Auteur" sélectionnez votre nouvel utilisateur avec les droits "Editeur" puis appuyez sur "Mettre à jour"
Limitez le nombre de tentatives de connexion à votre Interface d'administration
L'une des techniques classiques pour s'introduire sur votre site consiste à trouver votre login et votre mot de passe en essayant un très grand nombre de combinaisons sur votre page de connexion. Pour se protéger de ce type d'attaque, le plus simple est de restreindre le nombre de tentatives possible. Il existe un plugin gratuit qui fait très bien le boulot : WP Cerber
Installation du plugin WP Cerber
Extensions → Ajouter
Rechercher « Cerber Limit Login Attempts » et cliquer sur « Installer maintenant »
Activez l'extension
Configuration du plugin WP Cerber
Réglages → WP Cerber
Par défaut, la plupart des paramètres sont très bien, je vous conseille juste de décocher la case "Utilisateurs inexistants". Cette option bloque l'accès au premier essai raté avec un mauvais login. C'est un peu dur d'attendre 60 minutes simplement par ce que l'on s'est raté sur son login 🙂
Si vous le souhaitez, vous pouvez changer le nombre de tentatives avant le blocage et la durée du blocage. Pour le reste, ce plugin propose énormément d'options pour sécuriser l'accès à votre site mais pour le moment je vous conseille de laisser toutes les options par défaut. (ce plugin mérite un tuto dédié)
Nous voilà à la fin de la 2ème étape. A ce stade, votre site est déjà plus sécurisé que la très grande majorité des sites Internet qui tournent avec wordpress. Bravo !
La prochaine étape va permettre d'aller encore plus loin mais cela va nécessiter de toucher un peu aux fichiers de WordPress. N'ayez pas peur, je vais essayer d'être le plus clair possible et de vous simplifier au maximum le boulot.
Etape 3 : Sécurisez vos fichiers et vos dossiers
Par défaut, votre installation de wordpress permet d'accéder à de nombreuses informations qui peuvent être détournées, pour y remédier nous allons faire des modifications dans 2 fichiers, le fichier .htaccess et le fichier functions.php. Vous ne comprenez pas de quoi je parle ? Ce n'est rien je vous explique tout juste après !
Modification du fichier .htaccess
Chaque installation de wordpress possède un fichier .htaccess à la racine de votre installation. Ce fichier est franchement génial et vous permet d'agir sur votre site internet de bien des manières mais il est utilisé en priorité pour les points suivants:
- Améliorer la vitesse de chargement
- Mettre en place des redirections
- Et bien sûr la sécurité (ba oui quand même...)
Je passe sur le fonctionnement de ce fichier, si vous voulez en savoir plus aller voir l'excellent article rédigé sur Wpmarmite dont je me suis inspiré pour cette partie.
Quelques précautions avant de manipuler le fichier .htaccess
Avant de faire une quelconque modification de votre fichier .htaccess il est extrêmement important d'en faire une sauvegarde. Si vous faites une fausse manipulation avec ce fichier, votre site peut tout simplement devenir inaccessible (avouez que ca serait dommage après tous ces efforts 🙂 )
Pour commencer connectez-vous à votre hébergement par FTP (avec filezilla par exemple). Je pars du principe que vous savez vous y connecter. Si ce n'est pas le cas lisez ce tuto https://codex.wordpress.org/fr:Utiliser_FileZilla
Une fois connecté, vous trouverez le fichier .htaccess à la racine de votre installation wordpress, cela vari d'un hebergeur à un autre mais cela devrait être un chemin du type "/www/monsite/".
Une fois que vous avez trouvé le fichier, faites en une sauvegarde sur votre ordinateur en le faisant simplement glisser vers le répertoire voulu.
Ok, vous êtes prêts pour les modifications
Vous pouvez maintenant ouvrir votre fichier .htaccess, nous allons commencer à opérer. (clic droit sur le fichier dans filezilla "Afficher / Editer")
Voila à quoi il devrait ressembler si vous n'avez rien touché (vous pouvez avoir quelques différences mineures):
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
Si votre fichier est très différent, je vous conseil de vous arrêter là pour éviter de faire une fausse manipulation. C'est parfois le cas lorsque vous utilisez un plugin de cache qui modifie les fichiers .htaccess
Voilà la version que je vous propose (en rouge les ajouts)
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# 4/Enlève l'accès direct aux utilisateurs par leur identifiant
#Attention cette partie doit bien se trouver entre les balises <IfModule mod_rewrite.c> et </IfModule>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* - [F]
</IfModule>
# END WordPress
# 1/Désactive l'affichage du contenu des répertoires
Options All -Indexes
# 2/Protège le fichier wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
# 3/Protège les fichiers .htaccess et .htpasswds
<Files ~ "^.*\.([Hh][Tt][AaPp])">
order allow,deny
deny from all
satisfy all
</Files>
Les modifications apportées vont permettent de protéger les 4 points suivants:
- Par défaut, n'importe qui peut accéder aux contenus de vos répertoires en tapant l'adresse. Par exemple essayez avec en tapant l'adresse suivante sur votre site : monsite.xx/wp-content/uploads/ (remplacez "monsite.xx" par l'adresse de votre site). Comme vous pouvez le voir, le résultat est plutôt gênant... Tout votre contenu est visible !
- Votre fichier wp-config.php présent à la racine de votre site contient tous les éléments nécessaires pour se connecter à votre base de données. Autant dire qu'il ne faut pas quiconque puissent y accéder.
- Le fichier .htaccess permet de protéger les autre fichiers importants mais qui le protège lui ? Cela peut paraître bête mais il est important d'ajouter cette protection !
- Saviez vous que l'on pouvait trouver très facilement votre login ? non ? Et bien essayez vous même : monsite.xx/?author=1 (remplacez "monsite.xx" par l'adresse de votre site). Vous devriez être redirigé sur la page de l'utilisateur ayant l'identifiant 1 avec son login bien visible dans l'URL...
Il ne vous reste plus qu'à ajouter ces modifications à votre fichier .htaccess et à l'enregistrer pour profiter de ces améliorations.
Si après ces modifications vous ne pouvez plus accéder à votre site et que vous vous retrouvez avec une erreur de ce type :
Don't panic ! Soit vous avez fait une mauvaise manipulation dans votre fichier .htacces soit l'un des points ajoutés est incompatible avec votre hébergeur mais dans tous les cas, il vous suffit de remettre votre fichier .htaccess d'origine que vous avez mis de côté au début de cette étape (vous voyez que cela peut servir les sauvegardes !!! 🙂 ). Si vous rencontrez des difficultés à cette étape, n'hésitez pas à poser vos questions en commentaire.
Modification du fichier functions.php
Placez-vous dans le répertoire de votre thème enfant et vérifiez si vous avez un fichier functions.php, si vous en avez un, ouvrez-le sinon créez-le.
Si vous aviez déjà un fichier functions.php, faites en une sauvegarde avant de le modifier (ça va finir pas rentrer 🙂 )
Éditez le fichier et insérez-y le code suivant et enregistrez-le:
<?php
// 1) masque la version de votre WordPress
remove_action("wp_head", "wp_generator");
// 2) empêche l'édition de vos fichiers directement depuis wordpress
define('DISALLOW_FILE_EDIT',true);
// 3) Masque les erreurs de connexion
add_filter('login_errors',create_function('$a', "return 'Erreur';"));
?>
- La version de votre wordpress est par défaut affichée dans le code source de votre page, il ne reste plus qu’à un gentil hacker à utiliser une faille de sécurité correspondant à votre version… Regardez le code source de votre page en appuyant sur "ctrl+u" et cherchez une ligne du type
<meta name="generator" content="WordPress 4.5.3">. Avec cette modification dans votre fichier "functions.php", la version est retirée du code source. - Si quelqu’un accède à votre interface d’administration, il peut très simplement modifier vos fichiers en passant par l’éditeur de fichier sans même avoir besoin d’accéder à votre hébergement. Mieux vaut désactiver cette fonctionnalité.
- Lorsque vous essayez de vous connecter à votre interface d’administration, WordPress à la fâcheuse manie de vous dire si c’est votre login ou votre mot de passe qui n’est pas bon. Non mais franchement, autant afficher publiquement votre login, le résultat serait le même… Bref, maintenant vous n’aurez plus qu’un message d’erreur basique sans informations complémentaires.
Quelques précautions par rapport à votre fichier "functions.php". Si ce fichier n'était pas présent vous pouvez simplement le créer et copier/coller l'exemple ci-dessus. Par contre, si vous en aviez déjà un, attention à bien ajouter le code à la fin du fichier avant la balise de fin de fichier PHP "?>" et à ne pas remettre les balises "<?php" et "?>" qui sont déjà présentes dans le fichier. Un exemple :
Comme toutes les autres modifications, si vous rencontrez le moindre problème, remettez votre fichier d'origine ou supprimez-le si vous n'en aviez pas.
Suppression du fichier "readme.html"
Décidément WordPress aime vraiment laisser des traces, tapez l'adresse suivante : "votresite.xx/readme.html"
Oui, vous ne rêvez pas ! N'importe qui peut accéder à ce fichier qui affiche fièrement votre version de WordPress ! La solution est simple et radicale... Supprimez tout simplement ce fichier qui ne sert strictement à rien... (il se trouve à la racine de votre répertoire wordpress)
Bravo ! Votre WordPress est maintenant sécurisé !
Je vous invite à vérifier que les modifications que vous venez de faire sont effectives en utilisant cet outil en ligne gratuit qui analyse votre site. Vous avez maintenant peu de chances de faire partie des 30000 sites piratés tous les jours... Les puristes de la sécurité qui liront cet article viendront probablement dire que c'est incomplet... C'est vrai ! Mais j'ai fait le choix de m'attarder sur les points qui me paraissaient essentiels ET qui étaient abordables par le commun des mortels. Si vous voyez d'autres modifications simples et importantes à apporter n'hésitez pas à m'en faire part, je compléterai l'article. En bonus je vous propose un pdf avec l'ensemble des étapes résumées pour gagner du temps et garder un pense-bête sous les yeux à chaque fois que vous faites un site avec WordPress.
[et_social_share]
Référencement Local & Google My Business : Le guide complet
Vous avez une activité locale ? Vous cherchez désespérément une solution pour trouver de nouveaux clients ? Parfait, vous êtes au bon endroit. Avec plus de 57000 recherches par seconde et 46% de ces recherches qui sont locales, Google est devenu indispensable si vous...
8 Commandes Google pour booster votre SEO
Google ne se limite pas à des recherches basiques sur quelques mots-clés, en réalité, c’est un outil très puissant et je vais vous expliquer comment il peut donner un véritable coup de fouet à votre SEO.
Matthieu Guillotte
Passionné par WordPress et les méthodes d'acquisition de trafic, je partage avec vous des sujets qui me tiennent à cœur et qui vous permettront, je l'espère, d’améliorer votre quotidien dans le monde merveilleux du web !
Super Article ! J’avoue que j’ai souvent repoussé ce moment 🙂
Mais là, les étapes sont clairs ! J’ai modifié l’ensemble des points mentionnés (enfin j’espère ^^)
Heureux d’avoir pu vous aider !
Si vous avez un doute, vous pouvez m’envoyer l’adresse de votre site que je vérifie si tout semble bon !
Merci pour ce tuto très clair !
Je démarre dans WP et ai pu très simplement opérer ces modifs
Et… tout fonctionne
Parfait 🙂 content d’avoir pu vous aider !
Si vous voulez vérifier vos modifications, j’ai développé un outil en ligne qui permet en quelques secondes de vérifier quelques points présents dans cette liste : https://naturedigitale.fr/verifier-securite-wordpress/
Matthieu, je viens de vérifier mes modifications avec votre application et le résultat est : Bon
Toutefois, il me signale que les répertoires sont visibles et que wp-config n’est pas protégé. Pourtant j’ai bien rentré les codes comme indiqué (copier/coller) ?
Par ailleurs, je constate une erreur 404 not found lorsque je veux aller non pas sur la page d’accueil mais dans un article depuis le site ?
Christian,
il doit y avoir un problème avec votre fichier htaccess, essayez de remettre le fichier d’origine et si tout rentre dans l’ordre, ajoutez les modifications proposées une par une pour voir ou se situe le problème.
Essayer aussi de changer les permaliens (menu Réglages => permalien) pour les mettre à « Nom de l’article ».
Merci Matthieu pour ton aide,
j’ai procédé à une restauration et tout est entré dans l’ordre
Bonsoir,
j’ai franchi le cap même si j’ai toujours mis à jour WordPress, je ne voyais pas en quoi afficher la version était dangereux, surtout que l’on peut voir la version au bout des lignes stylesheet.
Puis mon pseudo ne correspond pas à mon login, j’ai pensé à différencier les 2.
Un peu embêtant sur les sites avec plusieurs auteurs , si on ne peut pas utiliser monsite.xx/?author=1
Bonsoir,
Remarques intéressantes, je vais tâcher d’y répondre au mieux:
1) Garder la version affichée est surtout embêtante quand votre wordpress n’est pas à jour (ce qui peut être le cas juste après une nouvelle version de wordpress). Il vaut donc mieux ne pas la laisser affiché. Les attaques les plus courantes sont automatiques et se servent justement de la balise generator, ce qui permet de limiter les risques avec ce type d’attaque. Je vois effectivement que sur votre site, la version est présente à d’autres endroits et cela mériterait une mise à jour de l’article je pense. Sur mon site, je ne vois pas de trace de la version dans le code source et en fait cela vient d’un plugin que j’utilise pour les performances « WP Performance Score Booster » qui va supprimer par la même occasion toutes ces indications.
2) Même si vous différenciez votre pseudo et votre login, si vous laissez activer la commande sur ?author=1 c’est bien votre login qui est dans l’url.
Je ne pense pas que cela pose un problème sur les sites avec plusieurs auteurs puisque rien n’empêche de pouvoir accéder à un auteur par son url (monsite.xx/author/login) mais il est important d’utiliser un utilisateur avec le rôle « éditeur » pour publier vos articles, de cette manière, votre compte admin reste invisible puisque non trouvable avec le numéro et présent nul part sur le site.
J’espère avoir répondu à vos questions, n’hésitez pas si vous voulez des compléments !
Bonjour,
1) Je mets à jour mon site dés que je vois dans le tableau de bord, qu’une mise à jour est disponible, je l’ai toujours fait, depuis 5 ans. Mais j’ai votre code, pour cache la balise generator
Je connais le plugin WP Performance Score Booster, je ne l’ai pas trouvé si performant que ça, j’ai WP Fastest Cache, WP Deferred JavaScript et cela donne de bons résultats sur gtmetrix
https://gtmetrix.com/reports/dragoncine.fr/jiYQBDZZ
et votre site
https://gtmetrix.com/reports/naturedigitale.fr/nOvcZf6l
2) Justement non, j’ai testé ?author=1 , ce n’est pas mon login qui apparait mais mon pseudo, je lisais bien Wolfneo, ce n’est pas mon login, mais j’ai regardé le code source, je suis curieux et tout en bas, j’ai vu mon login là.
Donc j’ai appliqué votre recommandation.
A vrai dire, j’ai quasiment tout appliqué ce que vous recommandez.
Re Bonjour,
Je viens de trouver cet article et j’ai mis le code pour functions.php
http://christianelagace.com/wordpress/cacher-le-numero-de-version-de-wordpress-et-regler-le-probleme-de-cache-de-la-feuille-de-style/
Normalement, je crois que l’on ne vois plus la version, pourriez-vous me le confirmer? Merci
Vous avez pris de bonnes habitudes ! 🙂
Concernant les performances, je suis en plein test (je compte faire un article sur le sujet). J’essai de prendre aussi en compte l’aspect « compatibilité ». Je suis parfois tombé sur des plugins très performants mais qui étaient très sensibles aux autres plugins. WP Performance Score Booster n’est pas suffisant tout seul mais il apporte un plus et je n’ai eu aucun problème de compatibilité sur mes différents tests. J’ai justement fait un test avec WP Deferred Javascript qui me donne de bons résultats mais qui me pose des problèmes de compatibilité … Une fois celui-ci réactivé je retombe sur des scores plus proches (et même un chargement plus rapide 😉 ) => https://gtmetrix.com/reports/naturedigitale.fr/Z6h6yZOS . Je ne vais pas spoiler trop l’article en préparation alors je ne donne pas mon meilleur score tout de suite 😉
Votre version n’est plus visible au moment ou je poste ce message tout semble ok !
Content d’avoir pu vous apporter de l’aide !
Bonjour,
Oui avec WP Deferred Javascript c’est mieux, moi je n’ai jamais eu de souci avec, mais je l’ai jamais testé avec WP Performance Score Booster ou un autre plugin de ce type.
Je m’occupe bénévolement d’un site pour un club d’histoire, il m’arrive de faire un article, du coup, j’aurai aimé que les visiteurs puissent voir les articles par auteur mais avec le code que vous donnez, plus possible.
http://arnouvilleetsonpasse.fr
j’ai relu votr mot, vous dites avec monsite.xx/author/login cela n’empêche pas les sites avec plusieurs auteurs, c’est un code à ajouter ?
Merci
Bonjour Wolfneo,
sur mon site, si vous cliquez sur le nom de l’auteur en haut de l’article, vous êtes redirigés sur l’adresse : https://naturedigitale.fr/author/naturedigitale/ (c’est mon login « éditeur »).
Le code mis en place ne pose pas de problème pour accéder aux url direct des auteurs (en théorie :))
Qu’avez vous comme problème lorsque vous allez sur une page d’un auteur ? Quand vous retirez la ligne de code dédiée , le problème disparaît ?
Vous pouvez me donner une url qui pose problème si vous souhaitez que je regarde.
Bonjour,
C’est bon, ayant un thème enfant, avant j’avais mis une copie des fichiers qui géraient la date pour la mettre en français, l’auteur a changé les codes, je ne l’avais pas vu et je n’avais pas mis à jour mon thème enfant du coup.
Sinon le souci avant était que je voyais le nom de l’auteur mais en cliquant dessus ce n’était pas le lien vers author mais le lien de l’article même.
Et supprimant les fichiers, plus besoin, tout est rentré dans l’ordre.
Merci
Bonsoir,
Dans le pluign WP Cerber, si on ne coche pas cette ligne
« Désactiver la redirection automatique sur la page de login lorsque /wp-admin/ est demandé lors d’une requête non-autorisée »
On ne peut plus accéder au tableau de bord, par l’url /wp-admin/
Est-ce important de laisser cocher cette ligne ?
Merci
Bonsoir,
Ce n’est pas un point essentiel. Si cela vous gêne vous pouvez la décocher sans prendre trop de risque.
dernier message, pour le fichier readme.html, l’astuce de là, bien ou pas ?
http://jeyg.info/cacher-la-version-de-wordpress/
Merci pour l’astuce ! Même si supprimer le fichier est efficace, c’est pénible de devoir le supprimer à chaque mise à jour. Cette solution me semble donc meilleure ! Je l’ajouterai à l’article.
Bonne soirée !
Très intéressant article qui contient des informations que je n’avais jamais croisées auparavant – notamment les modifs au niveau de functions.php
J’aurais personnellement tendance à privilégier une extension de sécurité – j’utilise Ninja Firewall – qui va encore plus loin en bloquant l’upload de fichier, protégeant xmlrpc qui est source d’attaques, prévenant l’admin en cas de connexion réussie et d’autres choses bien utiles.
J’ai fait le test et l’outil n’a pas détecté que le nombre de tentatives de connexion est limité par Ninja Firewall. Quoiqu’il en soit, je vais rajouter le lien dans les références sur mon site echodesplugins.li-an.fr
J’avais envie de faire un billet sur le sujet mais tout est dit ici.
Merci ! c’est toujours un plaisir de pouvoir aider 🙂
Pour le nombre de tentatives de l’outil, cela dépend à combien vous avez réglé la limite, je ne fais que 6 tentatives successives pour éviter d’être trop agressif 🙂 si vous avez un réglage supérieur, l’outil ne va pas le détecter.
J’aimerais aussi écrire un article sur les plugins de sécurité pour compléter celui-ci mais je manque de temps ^^
Merci aussi pour le lien, j’apprécie le geste !
Bonjour,
Les lignes de code (RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* – [F]) à ajouter au .htaccess pour ne plus accéder aux pages des auteurs de manière directe ne fonctionne pas, comment faire ?
Merci.
Bonjour Jenny,
Avez-vous bien ajouté ces lignes de code à l’intérieur du bloc
"IfModule mod_rewrite.c" et "IfModule"? Avez-vous une erreur qui s’affiche ?Si vous voulez, vous pouvez m’envoyer votre fichier htaccess par mail et je regarderai.
Bonjour et bonne année !
Merci beaucoup pour cet article très instructif.
Je pense avoir bien sécurisé mon site grâce à vous.
Une petite question concernant le plugin WP CErber : Y a-t-il une configuration spécifique à effectuer lorsque l’on possède une URL dynamique ? En effet, lorsque je me déconnecte de l’administration (après un petit coup de CCleaner) je ne peux plus accéder à l’interface. Je dois passer par le FTP, désinstaller Cerber et le réinstaller selon la méthode indiquée dans la FAQ de Cerber.
Encore merci pour vos précieux conseils et je vais en bénéficier d’autres puisque je viens de m’abonner à votre newsletter.
Bonne journée !
Bonjour Nathalie,
Bonne année également ! Content d’avoir pu vous aider !
Pouvez-vous me préciser ce que vous appelez une URL dynamique dans votre cas ?
Bonne journée
Merci pour votre réponse Matthieu !
Oups, ce n’est pas l’URL, pardon, mais mon adresse IP…
Désolée
Bonsoir Matthieu
Pour le Plugin Cerber, je viens de trouver, c’était une erreur de ma part…. Je continuais à me connecter avec l’adresse « https://monsite.com/wp-admin », je n’avais pas compris qu’il fallait utiliser désormais « https://monsite.com/wp-login.php », en laissant la case « Désactiver la redirection automatique sur la page de login lorsque /wp-admin/ est demandé lors d’une requête non-autorisée » cochée.
Je viens de tester, ça fonctionne !
Encore merci pour votre aide Matthieu et bonne semaine 🙂
Ok, merci de partager votre solution, vous n’êtes probablement pas la seule à qui c’est arrivé 🙂
Bonsoir,
j’ai viré le plugin le Plugin Cerber, il m’avait bloqué, alors que j’étais connecté, je ne pouvais plus accéder à mon site.
Du coup j’ai mis Login LockDown à la place, par de chance ace style de plugin, déjà eu un problème avec le plugin Limit Login Attempts, j’avais vu + 1 millions d’installation mais le plugin a cinq ans, là j’avoue, je n’ai pas été prudent de l’installer.
Bonjour,
Je n’ai jamais rencontré de problèmes avec WP Cerber mais vous pouvez utiliser wordfence à la place si vous voulez. Je l’utilise sur de nombreux sites et il marche très bien en version gratuite. Cela apporte une protection globale intéressante et facile à mettre en place.
Bonjour,
wordfence, je passe, j’ai lu trop de commentaire de personnes qui ont planté leurs sites avec.
Je ne suis pas partant pour les plugins de sécurité, ils modifies des trucs, zu site, base de données, on n’est plus vraiment « maître » de son site, certains sites ne supportent pas ces changements.
Je préfère un plugin simple.
Bonsoir,
Je suis d’accords, Il y a toujours un risque avec des extensions spécialisées sur la sécurité. Cependant les risques sont faibles et cela permet d’accéder un niveau de sécurité correcte sans avoir de connaissances particulières. D’où l’importance de toujours avoir une sauvegarde de son site.
Bonjour,
merci pour ce tuto ! J’ai suivi les instructions, mais apparemment il y a toujours sur mon site la faille des auteurs visibles dans l’url.
J’ai installé IThemes security, et pourtant les lignes de code : order allow, deny, etc. sont bien présentes sur le fichier htaccess remanié par le plugin.
Que faire pour que ce problème de sécurité soit résolu ?
Si vous voulez, je peux vous envoyer mon fichier htaccess.
Merci.
Bonjour Helene,
Vous n’avez pas à vous inquiéter, avec toutes les modifications que vous avez faites et l’installation de Ithemes security, votre site est sécurisé contre la très grande majorité des attaques.
En voulant aller plus loin, vous risquez plutôt de faire une fausse manipulation ou d’engendrer des problèmes de compatibilité.
Bonjour, merci pour ce tuto, ça m’a bien aidé.
Tout a l’air de bien fonctionner ! Super !
J’ai tout de même voulu utiliser votre outil et il me met le message suivant :
« Erreur SSL
Votre site ne semble pas utiliser WordPress »
Pourtant j’utilise bien WP 🙂
Encore merci pour toutes ces infos accessibles au commun des mortels 😉
Bonjour,
Pareil que Yza, le message d’erreur, votre système ne fonctionne plus ?
https://naturedigitale.fr/verifier-securite-wordpress/