Bonnes pratiques pour sécuriser votre WordPress

Bonnes pratiques pour sécuriser votre WordPress

Installation d’itheme security

Pour ma part bien qu’il existe une multitude de plugin de sécurité, je pense que itheme sécurity est le meilleur et de loin dans le domaine! Il vous permet d’effectuer un grand nombre d’action sur votre installation de wordpress dans le but de sécuriser celle-ci. Nous allons voir ici quelques point important vous permettant d’augmenter radicalement la sécurité de votre WordPress.

Installer itheme security et aller au menu Settings du plugin puis dans les différentes section effectuer les modifications suivantes :

Attention : certaines modifications impacterons l’ensemble du fonctionnement de votre CMS, veillez à effectuer une sauvegarde des fichiers et de la base de donnée AVANT la configuration du plugin!

Le tags suivant : [V] indique que je vous invite à cocher la case en question!

Global Settings

Permet de bloquer de façon « définitive » les utilisateur étant blacklister plus de 3 fois dans les 7 dernier jours, ainsi que de configurer le temps qu’un utilisateur ou un compte est blacklister.

L’attaque la plus courante sur un wordpress étant la force brut sur l’utilisateur admin, cela prend donc tout son sens!

  • [V] Allow iThemes Security to write to wp-config.php and .htaccess.
  • [V] Enable Blacklist Repeat Offender
  • Blacklist Threshold : 3 Lockouts
  • Blacklist Lookback Period : 7 Days
  • Lockout Period : 30 Minutes
  • [V] Enable Email Lockout Notifications
  • [V] Hide security menu in admin bar.

404 Détection

Très utile à condition que vous soyer un « bon » codeur et que vous n’ayez aucuns utilisateurs ayant les permissions de supprimer des images, articles,  pages, autres…

En effet, des robots sont spécialisés dans le scan des plugins et themes que vous installez, ils vont une fois après avoir repéré que votre site est un wordpress scanner le répertoire plugins et le répertoire themes en essayant d’accéder aux plugins connu pour leurs faille de sécurité et ainsi tenter d’en découvrir un sur votre site.

  • [V] Enable 404 detection

En activant la case Enable 404 detection vous pourrez de la même façon que précédemment bloquer pendant les adresses IP ayant plus de XX erreurs dans les X dernières minutes.

Le problème avec cette activation c’est que si vous avec un fichier css avec des relicats d’images qui n’existent plus, ou des utilisateur qui font le ménage dans la bibliothèque de média de votre site il se peut qu’un internaute totalement légitime se retrouve à dépasser ce quota et soit alors blacklister de votre site!

Cette option est donc à utiliser avec prudence!

Banned Users

Cette option très utile permet d’ajouter à votre fichier .htaccess une liste assé conséquente d’user agent connu pour ne pas avoir les main propres ^^

  • [V] Enable HackRepair.com’s blacklist feature

Brute Force Protection

Allons un peu plus loin dans la configuration du blacklistage par force brute, à travers les paramètres suivant vous avez la possibilité de bloquer pendant 30mn (voir paragraphe Global Settings) les IP des internaute ayant effectuer plus de 5 tentatives infructueuse de connexion, ou de bloquer le compte d’utilisateur ayant effectuer plus de 10 tentative infructueuse de connexion.

  • [V] Enable local brute force protection.
  • Max Login Attempts Per Host : 5 Attempts
  • Max Login Attempts Per User : 10 Attempts
  • Minutes to Remember Bad Login (check period) : 15 Minutes
  • [V] Immediately ban a host that attempts to login using the « admin » username.

Hide login Area

Cette option est probablement l’une des plus utile! Elle permet de cacher l’URL d’accès à l’administration de votre site  (wp-admin et wp-login.php). A noter qu’il est indispensable que après activation de ces options la ligne suivante soit ajouter à votre fichier .htaccess auquel cas vous n’aurez plus accès au back-office de votre site :

Je vous invite également à ajouter les lignes suivante au fichier .htaccess pour bloquer complètement la page login et signup de votre installation :

  • [V] Enable the hide backend feature.
  • Login Slug : accesproteger (à modifier selon votre envie)

 Strong password

Activer les options suivante si vous en avez marre des utilisateur qui choisissent 12345 ou azerty en mot de passe 😉

  • [V] Enable strong password enforcement.
  • [Abonné] Minimum role at which a user must choose a strong password.

Système Tweaks

Quelques options supplémentaires vous permettant d’empêcher via le fichier .htaccess votre serveur d’en dire trop sur son environnement et de laisser des accès ouvert à des endroit qui ne doivent pas l’être. A noter que je n’ai volontairement pas cocher toutes les cases tel que Filter Suspicious Query Strings in the URL qui peut causer des problèmes sur certaines url d’articles ou configuration de votre wordpress ou même de plugins installés.

J’ai cependant modifier les lignes généré par cette option dans le fichier .htaccess, pour que cela soit un peu moins restrictif :

  • [V] Protect System Files
  • [V] Disable Directory Browsing
  • [V] Filter Request Methods
  • [V] Filter Long URL Strings
  • [V] Remove File Writing Permissions
  • [V] Disable PHP in Uploads

WordPress Tweak

Ces options vous permette d’effectuer un grand nombre d’actions sur votre wordpress tel que cacher le tag Meta Generator indiquant à l’internaute votre version de wordpress, supprimer l’éditeur de code de votre installation (Grosse faille si cette option n’est pas bien protégé), réduire les spam des commentaires, afficher un numéro de version aléatoire dans les appels au scripts, désactiver la fonction XMLRPC pouvant être à l’origines de failles sur votre wordpress, masquer les message d’erreur du login, etc…

  • [V] Remove WordPress Generator Meta Tag
  • [V] Remove the Windows Live Writer header.
  • [V] Remove the RSD (Really Simple Discovery) header.
  • [V] Reduce Comment Spam
  • [V] Display Random Version
  • [V] Disable File Editor
  • [Completely Disable XMLRPC] : Disable XMLRPC
  • [V] Disable login error messages
  • [V] Force users to choose a unique nickname
  • [V] Disables a user’s author page if their post count is 0.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Partenaires

Cekome Graal Network Panoramaweb