Sécurisez facilement votre site WordPress contre les pirates.

Récemment certains de nos sites ont été victimes d’attaques de pirates, une équipe du nom de UR0B0R0X. Comme par hasard, les sites fonctionnaient sous WordPress 3.4. Il a donc suffi d’un petit nettoyage et d’une mise à jour de la plateforme pour régler le problème.

Suite à cette aventure notre équipe a décidé de produire un guide explicatif pour sécuriser les installations de WordPress et de vous la partager. Nous avons basé notre travail sur ce guide de sécurité WordPress en anglais et avons gardé les conseils les plus simples à implanter.

Conseils classiques

Voici la liste des conseils que à rappeler pour avoir bonne conscience 😉 : tenez à jour votre plateforme et vos extensions, sauvegardez fréquemment, n’installez que les thèmes et extensions nécessaires et effacez ceux que vous n’utilisez pas.

Protection contre la brute force

Les attaques “brute force” sont une technique qui vise à essayer des combinaisons d’informations de connexion jusqu’à ce que l’attaquant puisse se connecter.

Renommez le compte Administrateur

Évidement le nom d’utilisateur ‘admin’ est celui que l’attaquant essaiera en premier. Voici un script SQL pour le modifier. Changez UTILISATEUR et MOT_DE_PASSE pour les informations de connexion désirées et voilà!

UPDATE `wp_secure`.`wp_users`
SET `user_login` = 'UTILISATEUR',
`user_pass` = MD5( 'MOT_DE_PASSE' ) ,
`user_nicename` = 'UTILISATEUR'
WHERE `wp_users`.`ID` =1;

Limitez les tentatives de connexion

Bien que certaines extensions ajoutent des vulnérabilités à votre installation celle-ci vous offrira une protection supplémentaire : Limit Login Attempts

L’extension bloque automatiquement les tentatives de connexion abusives et prend en note les événements liés à celles-ci.

Ajustements à la configuration

Voici quelques ajustements à la configuration de votre installation qui doivent être effectués.

Ajout des clés de sécurités

Le fichier wp-config.php comprend une section ou vous devez ajouter des clés de sécurité. Vous trouverez le code suivant :

define('AUTH_KEY', '');
define('SECURE_AUTH_KEY', '');
define('LOGGED_IN_KEY', '');
define('NONCE_KEY', '');
define('AUTH_SALT', '');
define('SECURE_AUTH_SALT', '');
define('LOGGED_IN_SALT', '');
define('NONCE_SALT', '');

Vous pouvez générer les clés avec l’outil officiel de WordPress.

Désactiver les inscriptions publiques

Par défaut WordPress permet à n’importe qui de créer un compte sur votre site et cela peut être utilisé pour compromettre votre site.

Dans le Tableau de bord -> Réglages -> Général il y une option “Inscription – Tout le monde peut s’enregistrer”. Décochez-la.

Effacez les comptes utilisateurs bidons

Si l’option précédente était active, il y a fort à parier que plusieurs comptes bidons ont été créés. Allez dans l’onglet “Utilisateurs” et effacez les comptes indésirables.

Protégez vos utilisateurs du spam

WordPress est présentement la plateforme web la plus utilisée donc vos commentaires seront inévitablement remplis de liens pointant vers des sites douteux qui peuvent contenir des malwares.

L’extension Askimet (http://akismet.com/) vient avec toutes les installations de WordPress. Par contre pour l’activer vous devez obtenir une clé. Il suffit de créer un compte et de faire un don de 0$.

Fichier robots.txt

Vous pouvez empêcher les moteurs de recherche de trouver vos pages privées en modifier le fichier robots.txt qui se trouve dans la racine de votre dossier FTP. Si le fichier n’y est pas vous pouvez le créer.

Ajouter y ce code :

User-agent: *

Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-

Supprimer les fichiers inutiles

Vous pouvez supprimer les fichiers suivant pour éviter que des attaquants n’obtiennent de l’information sur vos installations :
/license.txt
/readme.html
/wp-config-sample.php

Supprimez aussi tous les fichiers de type ‘readme’ dans vos extensions.