Easy-Micro

LOGICIEL WordPress
Sécurité WordPress

Gestion de la sécurité dans WordPress

Les hackers sont toujours à la recherche de nouvelles failles. Voici quelques solutions de sécurité WordPress.

wordPress Sécurité de base

  • Créez toujours un nouveau compte administrateur avec un login et mot de passe complexe
  • Créer aussi un nouveau compte administrateur pour ne pas utiliser ADMIN comme ID de connexion : veillez également à changer votre pseudo depuis le menu Utilisateurs afin que le nom de l'auteur d'un article ne soit pas le même que celui de l'identifiant de connexion.
  • Pensez à restreindre le nombre d'essais d’identification avec un plugins comme Login Lock Down
  • Masquer la version de votre WordPress : Dans le fichier function.php de votre thème, ajoutez ce bout de code : remove_action("wp_head", "wp_generator"); Supprimez ensuite le fichier readme.html situé à la racine de votre WordPress qui contient aussi le numéro de version
  • Faites des sauvegardes et des mises à jour régulières
  • Protégez vos fichiers et bloquez la navigation dans vos dossiers WordPress. Pour protéger le fichier wp-config via votre htaccess, ajoutez:

    <Files wp-config.php>
    order allow,deny
    deny from all
    </Files>

    Pour cacher les répertoires sensibles toujours via le htaccess:
    Options All -Indexes
  • Changez le préfixe "wp_" par défaut des tables de la base MYSQL

    Pour cela, modifier le préfixe des tables WordPress dans le fichier wp-config.php
    1. // Remplacez cette ligne
      $table_prefix = 'wp_';

      // Par - par exemple - celle-ci
      $table_prefix = 'yo1234_';
    2. Allez ensuite, dans votre base de donnée (phpMyAdmin) faire une requête SQL comme celle-ci : RENAME TABLE `wp_comments` TO `yo1234_comments`; (ou manuellement) pour modifier les préfixes de toute les tables de WordPress
  • Masquez les erreurs de connexion. Ajouter la ligne suivante à votre fichier functions.php du thème, permet d'afficher un message d'erreur banalisé:
    add_filter('login_errors',create_function('$a', "return null;"));
  • Désactiver l'éditeur de fichiers. Ajouter la ligne suivante à votre fichier functions.php:
    define('DISALLOW_FILE_EDIT',true);
  • Déplacer votre PhpMyAdmin de son adresse classique : /monsite.com/phpmyadmin
  • Déplacer votre page de login, à l'aide d'un plugin tel que WPS Hide Login
Source : 15 rappels de Sécurité essentiels pour WordPress
Haut de page

wordPress Pour aller plus loin...


< Page précédente WORDPRESS Page suivante >