(Mise à jour le 25 août 2009 à 14:04)
J’ai toujours été sensible aux questions de sécurité informatique, tant sur le plan professionnel que personnel. Le fait qu’un fichier du Blog de Lise ait pu être modifié à mon insu accroît encore ma vigilance !
J’ai découvert un article très fouillé, et en français, Protéger votre WordPress du grand méchant loup, que je vous invite à lire.
Dans un premier temps, s’il vous semble un peu complexe, restez-en à ce que vous vous sentez capable de mettre en œuvre simplement. La sécurité, c’est surtout le plus « d’embûches » possibles à présenter à celui qui voudrait s’introduire chez vous… Le mieux étant l’ennemi du bien, il vaut mieux mettre en œuvre quelques mesures simples qu’aucune d’entre elles !
Voici une sélection des pages qui m’ont paru les plus simples ; les actions décrites peuvent être effectuées sans avoir à modifier une ligne de code :
- Renommer votre compte administrateur, déjà abordée sur ce blog ;
- Bien choisir votre mot de passe ; j’ai écrit une page sur ce sujet : Un bon mot de passe ?
- Vérifier les autorisations des répertoires CHMOD ; pour modifier les autorisations sur les fichiers et répertoires sur le serveur de votre hébergeur, avec votre client FTP, effectuez un clic droit sur ces derniers et vérifiez les autorisations ;
- Empêcher le listage des répertoires ; la première méthode n’est pas la plus efficace, mais très simple à mettre en oeuvre ;
- Effectuer des sauvegardes régulièrement.
Ecrit par Lise - Site
[…] Le blog de Lise […]
Très intéressant tout cela… merci
*
par contre comment on fait pour simplement fermé l’accès au blog à tout public, et uniquement y donner accès par log et mdp… ?
d’ailleurs pkoi wordpress ne propose cette option direct à l’install ? du genre : voulez vous un blog public ou privé.
Merci
Pour avoir un blog privé, le mieux est déjà de ne pas divulguer son adresse et de cocher dans Réglages > Vie privée l’option Je souhaite bloquer les moteurs de recherche, mais autoriser les visiteurs normaux.
Quelques plugins permettent d’autoriser certains utilisateurs à consulter le blog :
https://wordpress.org/extend/plugins/wpnamedusers/
https://wordpress.org/extend/plugins/tags/protect
Pourquoi par défaut ils ne génèrent pas un pseudo autre que admin ?
Même si un autre pseudo était généré, cela n’aurait pas résolu la dernière vulnérabilité, qui s’attaquait au premier compte créé, celui de l’administrateur du blog.
Je suis aussi informaticienne et je pense qu’il y a deux aspects :
* former les développeurs à utiliser du code sécurisé, et à rendre plus sûres les configurations, à quel que niveau que ce soit ;
* aider les non informaticiens à appréhender ces questions de sécurité.
Si on ne s’en préoccupe pas nous mêmes, on laisse notamment à des moteurs de recherche comme Google de décider de ce qui est sûr ou pas. C’est comme ça que mon blog s’est retrouvé étiqueté « malveillant » pendant plus de 15 jours !
En fait, lors de la rédaction d’un tuto il est important de bien cerner le public concerné et je pense que ma première erreur vient de là. Peut être est-ce parce que je suis développeur WordPress… aucune idée ! Quoiqu’il en soit je me suis imaginé que les personnes intéressées par la sécurité de WordPress avaient déjà pas mal de connaissances et plusieurs notions quant aux termes techniques et aux approches : apache, htaccess, php, etc… J’avais peur de donner au lecteur (expérimenté) cette impression d’être un « neuneu »… Je vais donc reprendre les bases nécessaires à la compréhension de mon tuto afin qu’il soit accessible au plus grand nombre. Quoiqu’il en soit je suis toujours partant pour une collaboration. En sachant que, même si ça n’a pas de rapport direct, il m’arrive de publier sur geekeries.fr.
Heureux de constater que mon petit article (sans prétention) intéresse quelques personnes. Merci pour les backlinks en tous cas ^^ Une version au format .pdf est prévue mais je compte d’abord compléter mon article en ajoutant et détaillant certains aspects, on verra si j’arrive à trouver un peu de temps!
Merci pour ce retour.
Je pense en effet que tu as encore du travail 😉 Ton article, plus que « sans prétention » 😉 est très intéressant mais sans doute compliqué pour beaucoup d’utilisateurs de WordPress.
Par exemple sur les fichiers .htaccess, il existe très peu de chose en français facile à comprendre pour les débutants dans le monde WP. J’avais essayé de simplifier au maximum dans l’article Protéger l’accès au répertoire « backup-db », mais je ne suis vraiment pas sûre d’y être arrivée.
Autre exemple, sur le https : le lien que tu donnes renvoie à un fichier txt. Il faut savoir qu’il est nécessaire de l’enregistrer en .php 😉
Si tu veux que nous collaborions pour rédiger de nouveaux tutoriels, je te propose mes services 😉 en fonction du temps dont nous disposons l’un et l’autre.
Il est nécessaire de faire connaître les mesures à mettre en œuvre pour sécuriser son blog WordPress. J’ai commencé une page sur le sujet
https://lisetauber.fr/wordpress/securiser-son-installation-wordpress
mais il est certain que cela demande beaucoup de travail !!!
(Avec d’autres utilisateurs de WP, nous avons fait des liens croisés sur nos blog respectifs : par exemple, sur le thème dKret [voir WordPress > Thème dKret] ; j’en ai fait autant pour les tutoriels rédigés par Maigret sur Simple:Press:Forum [voir dans le menu WordPress > Plugins].)