All In One WP Security & Firewall, le plugin qui vous assure la tranquillité
Il existe de nombreux plugins pour WordPress permettant de sécuriser son site internet. Je vous en propose un, que j’utilise depuis quelque temps et qui fait bien son boulot. Il s’agit de All In One WP Security & Firewall, installé sur des centaines de milliers de sites web et très bien noté par la communauté WordPress.
Une fois installé, via le menu Extensions > Ajouter, puis activé, vous verrez apparaitre un nouvel élément WP Sécurité, dans le menu de votre back-office, avec la sous-navigation suivante :
De nombreux paramétrages sont possibles. Il est déconseillé de tout vouloir sécuriser car cela pourrait vous poser des problèmes d’utilisation, s’il y a trop de restrictions.
Menu > WP Sécurité > Tableau de bord
Vous avez ici une évaluation de l’état actuel de sécurisation du site avec le graphique suivant :
L’objectif est d’augmenter ce score à travers divers paramétrages, que je mets en place généralement sur mes sites internet, et que je vais vous montrer.
Je ne vais vous montrer qu’une partie de ce qu’il est possible de faire avec cette extension, mais qui vous assurera déjà plus de tranquillité.
Menu > WP Sécurité > Comptes utilisateurs
Le nom de connexion du compte doit être modifié afin de ne pas montrer aux moteurs de spam que votre pseudo (qui peut s’afficher si vous avez un blog, dans les métas des articles) est également votre login de connexion. Cliquez sur Edit User :
Puis modifiez les champs Pseudonyme et Nom à afficher publiquement, afin qu’il soit différent de votre login de connexion :
Menu > WP Sécurité > Connexion
Dans l’onglet Verrouillage de connexion, vous devez sécuriser les tentatives de connexion à votre administration qui auront échoué. Ainsi, les moteurs qui échoueront après plusieurs essais seront bloqués.
Attention de ne pas être trop restrictif car vous risquez de vous bloquer vous-même si un jour vous ne vous souvenez plus de votre mot de passe après plusieurs tentatives.
Voici les les paramètres que je vous conseille de rentrer :
Menu > WP Sécurité > Sécurité des fichiers
Dans l’onglet Autorisation du fichier, afin de rendre difficile la modification des fichiers sensibles, vous devez modifier les autorisations, si cela vous est proposé (tout dépend de la configuration de votre hébergeur), en cliquant sur le bouton suivant :
Dans l’onglet Sécurité des fichiers, cochez le bouton Désactiver la capacité d’éditer des fichiers PHP. Il ne sera ainsi plus possible de modifier les fichiers via le back-office à travers le menu > Apparence > Éditeur. La seule façon de modifier les fichiers sources, si cela est nécessaire, est de le faire via le FTP.
Dans l’onglet Accès aux fichiers WP, cochez le bouton Empêcher l’accès aux fichiers d’installation par défaut WP. Il ne sera plus possible d’afficher des fichiers sensibles qui révèlent quelle version de WP vous utilisez. Faites le test, taper dans la barre d’url de votre site : www.votredomaine.com/readme.html. Si vous voyez un fichier avec la version de votre WP, c’est que les moteurs de spam peuvent aussi la voir. Ils savent ainsi quelle faille utiliser en fonction de la version utilisée.
Menu > WP Sécurité > Pare-feu
Dans l’onglet Règles de base du pare-feu, cochez toutes les cases (4) proposées.
Dans l’onglet Règles supplémentaires du pare-feu, cochez toutes les cases (5) proposées.
Menu > WP Sécurité > Brute Force
Dans l’onglet Renommer la page de connexion, cochez Autorisez le renommage de la page des réglages de Connexion, puis indiquez la nouvelle page de connexion à l’administration de votre site web. Trouvez quelque chose qu’il sera difficile de deviner.
Proscrivez les mots évident tels que : admin, administration, back-office…
N’utilisez que les minuscules, les chiffres et les lettres.
Dans l’onglet Utiliser Honeypot, cochez Activer Honeypot sur la page de connexion. Cela va créer un champ de formulaire, invisible pour les internautes, mais qui va servir d’appât aux moteurs de spam, qui eux le verront et le renseigneront. Le plugin saura alors qu’il s’agit d’une tentative de piratage et bloquera l’accès.
Menu > WP Sécurité > Prévention du spam
Je conseille ici de cochez les 2 champs proposés, dont le premier qui va imposer aux personnes souhaitant poster un commentaire sur votre blog de renseigner un champ Captcha. A vous de voir si vous souhaitez ou non mettre en place cette fonctionnalité :
Menu > WP Sécurité > Scanner
Vous avez ici la possibilité de faire un premier scan de vos fichiers, puis de programmer des scans dans un intervalle régulier, afin de vérifier que les fichiers de votre système n’ont pas été modifiés entre temps.
Menu > WP Sécurité > Tableau de bord
Après avoir sécurisé votre site WordPress avec tous ces paramétrages, vous pouvez de nouveau aller voir l’évaluation de l’état de sécurisation pour voir le progrès :