skip to Main Content

8 manipulations pour augmenter la sécurité de votre blog WordPress

Divi : le thème WordPress le plus facile à utiliser

Divi : Le meilleur thème WordPress de tous les temps !

Avec plus de 600.000 téléchargements, Divi est le thème WordPress le plus populaire au monde. Il est complet, facile à utiliser et livré avec plus de 62 templates gratuits. [ Recommandé ]

La sécurité est un problème qui préoccupe tous les blogueurs. Autant dans la vie réelle nous avons besoin de protéger nos biens, autant sur les blogs nous avons besoin de sécuriser notre source de revenus. WordPress par défaut dispose d’un système de sécurité acceptable. Mais ce système vient généralement être mis à mal avec la multitude de plugins et de thèmes installés.

Dans le but de vous aider à améliorer la sécurité de votre blog WordPress, je vous propose dans ce tutoriel 8 manipulations que vous pouvez appliquer sur votre blog, afin d’améliorer la sécurité de ce dernier.

1. Masquer les informations inutiles

Le soucis

Lorsque vous ne parvenez pas à vous connecter à un blog WordPress, le CMS affiche quelques informations pour vous dire ce qui a mal tourné. Ceci est utile si vous avez oublié votre mot de passe, mais c’est également une vulnérabilité. Alors, pourquoi ne pas éviter d’afficher des messages d’erreur pour indiquer qu’une connexion n’a pas marché ?

La solution

pour supprimer les messages d’erreur de connexion, il suffit d’ouvrir le fichier « functions.php » de votre thème et d’ajouter le code suivant :

add_filter ('login_errors', create_function ('',"  return null; "));

Enregistrez le fichier, et essayez de vous connecter à votre blog, simulez une erreur de connexion pour voir si l’erreur s’affiche.

2. Forcer l’utilisation du protocole SSL

Le problème

Si vous vous inquiétez de l’interception de vos données, alors vous devez envisager d’utiliser le SSL. Dans la mesure où vous ne savez pas de quoi il s’agit, je vous invite à lire ce tutoriel que nous avons rédigé sur l’intégration du protocole SSL.

Savez-vous qu’il est possible de forcer l’utilisation du protocole SSL sur WordPress ? Vous devez cependant vous assurer que votre hébergeur accepte le protocole SSL.

Créez Facilement votre site Web avec Elementor

Elementor vous permet de créer facilement n'importe quel design de site Web avec un look professionnel. Arrêtez de payer cher pour ce que vous pouvez faire vous-même. [ Gratuit ]

La solution

Une fois que vous avez vérifié que votre serveur est compatible, il suffit d’ouvrir votre fichier wp-config.php fichier (situé à la racine de votre installation de WordPress), et collez le texte suivant :

define( 'FORCE_SSL_ADMIN', true );

Enregistrez votre fichier et envoyez-le à nouveau sur votre serveur.

3. Utiliser votre fichier .htaccess pour protéger votre fichier wp-config.php

Le problème

En tant qu’utilisateur de WordPress, vous savez probablement à quel point le fichier wp-config.php est important. Ce fichier contient toutes les informations requises pour accéder à votre base de données : nom d’utilisateur, mot de passe, nom du serveur et ainsi de suite. Le fichier wp-config.php est sensible, alors nous devons tout faire pour protéger ce fichier.

Cherchez-vous les meilleurs thèmes et plugins WordPress ?

Téléchargez les meilleurs plugins et thèmes WordPress sur Envato et créez facilement votre site web. Déjà plus de 49.720.000 de téléchargements. [EXCLUSIF]

La solution

Le fichier .htaccess se trouve à la racine de votre installation de WordPress. Après la création d’une sauvegarde de ce fichier (sous un autre nom), ajoutez le texte suivant dans le fichier .htaccess.

<files wp-config.php> 
order allow,deny
deny from all
</files>

4. Comment blacklister les utilisateurs et les moteurs de recherche

Le problème

Cela est aussi vrai en ligne que dans la vraie vie : quelqu’un qui vous harcèle aujourd’hui va probablement vous harceler à nouveau demain. Avez-vous remarqué comment les robots collecteurs d’adresses emails reviennent sur ​​votre blog ? Parfois, ça peut atteindre 10 visites par jours. Cette visite peut souvent s’accompagner de commentaires indésirables.

La solution

Nous allons bloquer l’accès à votre blog en fournissant un code supplémentaire à ajouter au fichier .htaccess. Aussi, n’oubliez pas de changer l’adresse IP 123.456.789 par celle que vous souhaitez bloquer.

<limit GETPOSTPUT> 
order allow,deny
allow from all
deny from 123.456.789
</limit>

Vous pouvez identifier les robots en utilisant Google AnalyticsVous pouvez ajouter autant d’adresse IP ainsi qu’il suit :

<Limit GET POST PUT>
order allow,deny
allow from all
deny from 123.456.789
deny from 93.121.788
deny from 223.956.789
deny from 128.456.780
</LIMIT>

5. Comment protéger votre blog des injections de script

Le problème

Protéger votre blog est particulièrement important. La plupart des développeurs protègent toujours les requêtes GET et POST, mais parfois cela ne suffit pas. Nous devons également protéger notre blog contre les injections de scripts et toute tentative de modifier les valeurs PHP GLOBALS et _REQUEST des variables.

La solution

La solution pour bloquer l’injection des scripts et de toute tentative de modifier les variables GLOBALS, il vous suffit d’ajouter le code suivant, mais assurez-vous de toujours faire une sauvegarde votre fichier .htaccess.

Options + FollowSymLinks
RewriteEngine On
RewriteCond % { QUERY_STRING } ( < | % 3C ) . * script . * ( > | % 3E ) [ NC , OR ] 
RewriteCond % { QUERY_STRING } GLOBALS ( = | [ | % [ 0 - 9A - Z ] { 0 , 2 } ) [ OR ] 
RewriteCond % { QUERY_STRING } _REQUEST ( = | [ | % [ 0 - 9A - Z ] { 0 , 2 } ) 
RewriteRule ^ ( . * ) $ index. php [F, L]

7. Comment créer un plugin pour protéger votre blog de requêtes malveillantes

Le problème

Les hackers utilisent souvent des requêtes malveillantes pour effectuer une attaque sur un blog à ses points sensibles. WordPress a une bonne protection, mais l’améliorer n’est pas une mauvaise chose.

La solution

Vous allez devoir créer une plugin pour effectuer cette étape. Vous devez ensuite ajouter le code suivant dans le fichier principal de votre plugin. Une fois que c’est fait, installez votre plugin.

global $user_ID;

if($user_ID) {
  if(!current_user_can('level_10')) {
    if (strlen($_SERVER['REQUEST_URI']) > 255 ||
      strpos($_SERVER['REQUEST_URI'], "eval(") ||
      strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
      strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
      strpos($_SERVER['REQUEST_URI'], "base64")) {
        @header("HTTP/1.1 414 Request-URI Too Long");
  @header("Status: 414 Request-URI Too Long");
  @header("Connection: Close");
  @exit;
    }
  }
}

8. Comment masquer la version de votre installation WordPress

Le problème

Comme vous pouvez le savoir, WordPress affiche automatiquement la version en cours d’utilisation sur l’en-tête de votre blog. C’est inoffensif si votre blog est toujours mis à jour à temps (ce qui devrait normalement être votre attitude par défaut). Mais si pour une raison ou une autre ce dernier n’est pas à jour, la version en cours pourrait avoir une vulnérabilité et en découvrant la version de votre installation WordPress, les hackers pourraient pirater votre compte.

Créez Facilement votre Boutique en ligne

Téléchargez gratuitement WooCommerce, le meilleurs plugins e-commerce pour vendre vos produits physiques et numériques sur WordPress. [Recommandé]

La solution

Il vous suffit tout simplement d’ajouter le code suivant sur le fichier principal de votre plugin.

remove_action('wp_head', 'wp_generator');

Pour exécuter certaines actions, WordPress utilise un mécanisme appelé « Hooks », qui permet de rendre WordPress assez flexible. La fonction « wp_generator » affiche la version de WordPress et en retirant cette fonction la liste des fonctions enregistrées dans la file, elle ne s’exécutera plus.

C’est tout pour ce tutoriel. J’espère qu’il vous permettra de mieux sécuriser votre blog WordPress. N’hésitez pas à le partager avec vos amis sur vos réseaux sociaux préférés.

Cet article comporte 0 commentaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Back To Top
5 Partages
Partagez4
Tweetez1
Enregistrer