Wordpress,
la plateforme de blog la plus répandue et exploitée par les blogueurs est aussi
la plateforme qui subit bon nombre d'attaques. Afin de réduire les chances aux
hackers de s'infiltrer sur votre blog, je vais vous donner quelques astuces qui
vous seront utiles.
Je
rajouterai de temps en temps des nouveautés relatives à la sécurité sous
Wordpress.
En
attendant cet article traite des points suivants :
Pour
les administrateurs :
Préfixe
de tables en base de données
Akismet
pour la protection contre le spam
Utiliser
un SALT
Limiter
le nombre de tentatives de connexion qui ont échoué
Restreindre
les mots de passe trop simples
Ne
pas utiliser l'utilisateur "admin" par défaut
Protéger
le fichier de configuration wp-config.php
Cacher
le numéro de version de Wordpress
Exploits
via les URLs
Protection
des répertoires
Pour
les développeurs :
Autorisations
et intentions d'accès
Gérer
les autorisations sous Wordpress
Gérer
les intentions sous Wordpress
Préfixe
de tables en base de données (admin)
Quand
vous installez Wordpress, vous avez la chance de créer votre propre base de
données avec un préfixe définit par vous-même pour les tables. Par défaut le
préfixe sous Wordpress est wp_.
Si
vous ne le changez pas, cela pourrait fortement aider les hackers à corrompre
votre base de données en cas de faille. Vous pouvez pour cela utiliser des
plugins (on verra juste après) pour le changer ou bien en modifiant le fichier
wp-config.php durant l'installation manuelle.
Ouvrez
le fichier wp-config.php avant de commencer l'installation de Wordpress et
remplacez :
1 $table_prefix
= 'wp_';
Par
:
1 $table_prefix
= 'votreprefixe_';
Connectez-vous
à votre base de données (le plus souvent via phpMyAdmin) et modifiez tous les
noms des tables de la base de données avec votre préfixe.
Une
fois fait, vous devez maintenant rechercher les lignes contenant wp_ dans les
tables options et usermeta. Pour cela nous allons exécuter la requête suivante
sur phpMyAdmin (onglet SQL) :
1 SELECT * FROM `myprefix_options` WHERE `option_name`
LIKE '%wp_%'
2 SELECT * FROM `myprefix_usermeta` WHERE `meta_key`
LIKE '%wp_%'
Une
fois la requête exécutée, celle-ci affichera les lignes. Vous n'aurez plus qu'à
remplacer wp_ par votre préfixe.
On
a vu pour la partie manuelle. Il faut savoir qu'il existe un plugin qui
effectue la même action que ci-dessus.
Pour
cela téléchargez WP Security Scan. Une fois le plugin en place, un menu devrait apparaître sur la gauche.
Cliquez
sur Database puis mettez votre préfixe dans le menu Change database prefix et
validez.
Aucun commentaire:
Enregistrer un commentaire