Source : https://wpformation.com/11-rappels-securite-wordpress/

La sécurité de WordPress est un sujet crucial et essentiel pour tout administrateur système soucieux de préserver son site. Quand on réalise le temps de travail, d’écrits, et de réflexions que représente la création d’un site, il est dangereux d’être approximatif en ce qui concerne sa protection.

Le compte Admin

Quelque soit la méthode d’installation choisie, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé. Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine.

Le mot de passe

Il faut toujours utiliser des mots de passe complexes associant lettres, symboles et chiffres. Il vous faut employer de préférence un générateur de chaîne aléatoire de plus de 8 caractères. Vous aurez ainsi un login bien plus sûr.

Restreindre le nombre d’essais d’identification

Plusieurs plugins permettent de vous protéger des attaques par “force brute”, c’est-à-dire les tentatives pour deviner votre mot de passe par une recherche de toutes les combinaisons possibles.

Installez une extension qui bloque les tentatives répétées d’une même adresse IP. (Login Lock Down par exemple). Si un robot tente d’entrer sur votre site, cela bloque l’accès pendant un certains temps. Une fois l’extension installée, vous pouvez paramétrer le nombre d’essais que vous voulez avant blocage et le temps de connexion après le blocage.

Masquer la version de WP

Elle donne des informations aux hackers pour trouver d’éventuelles failles de sécurité. Dans le fichier function.php de votre thème, ajoutez ce bout de code :

remove_action("wp_head", "wp_generator");

Le numéro de version WP se trouve également dans le fichier readme.html situé à la racine de votre WordPress (fichier à supprimer également)

Faire des sauvegardes

Les backups du système sont à effectuer au moins toutes les semaines pour prévenir un piratage ou un crash disque.  Il vaut mieux prévenir que guérir!

Sous WordPress les solutions pour la sauvegarde ne manquent pas. Voir les services de sauvegarde ou sauvegarder WordPress.

Prudent lorsque vous télécharger des templates

Ils peuvent révéler de nombreux virus.

Pour vous protéger, installez un plugin de type TAC, comme par exemple : Theme Authenticity Checker, celui-ci scanne et analyse les thèmes à la recherche d’un éventuel virus.

Faire des MAJ régulières

Cela permet d’avoir les tous derniers correctifs des failles de sécurité.

Encore une fois avant toute mise à jour, pensez à sauvegarder votre WP.

Ajouter les clés de sécurité secrètes

Les clés d’authentification SALT créent un cookie d’identification qui protège votre installation.

Si ces codes ne sont pas présents dans votre fichier wp-config.php, vous pouvez les générer et les ajouter en vous rendant sur https://api.wordpress.org/secret-key/1.1/salt/

Protéger ses fichiers

Bloquez la navigation dans vos dossiers WordPress. Par défaut, n’importe qui peut accéder au contenu de vos dossiers WordPress (wp-content) via un simple navigateur.

Pour protéger le fichier wp-config via votre htaccess, ajoutez:

<Files wp-config.php>
 order allow,deny
 deny from all
</Files>

Pour cacher les répertoires sensibles toujours via le htaccess:

Options All -Indexes

Enfin pour protéger le fichier htaccess lui-même:

<Files .htaccess>
 order allow,deny 
 deny from all 
</Files>

Changer le préfixe « wp_ »

Par défaut des tables de la base MYSQL. Ce préfixe est connu de tous et peut être vulnérable en cas d’injection.

Retrouvez un tuto complet pour le changement de ce préfixe chez Sql.sh

Masquer les erreurs de connexion

WordPress renvoie un message bien trop explicite en cas de problème de connexion, ajouter la ligne suivante à votre functions.php du thème permet d’afficher un message d’erreur banalisé:

add_filter('login_errors',create_function('$a', "return null;"));

Désactiver l’éditeur de fichiers

Empêchez l’édition de vos fichiers directement depuis WordPress, ajouter simplement la ligne suivante à votre functions.php:

define('DISALLOW_FILE_EDIT',true);

Déplacer votre PhpMyAdmin

Cette application Web permet de gérer vos bases de données, située généralement à l’adresse suivante: /monsite.com/phpmyadmin, il est fortement recommandé de la déplacer (voir avec votre hébergeur ou infogérance).

Déplacer votre page de login

A l’aide d’un simple plugin tel que WPS Hide Login vous pouvez changer votre URL de connexion WordPress et limiter ainsi les attaques par “Brut Force” des hackers.

Choisir un hébergement spécialisé WordPress

Laissez votre hébergeur se préoccuper de la sécurité. Avec un hébergeur WordPress, votre site est entre de bonnes mains, certes plus cher que le mutualisé, ce type d’hébergement maintient, protège, répare et optimise votre site.

Aller plus loin pour sécuriser WordPress

Sur un site WordPress, deux notions essentielles sont à penser le filtrage et la désinfection. Un utilisateur peut s’infiltrer par des moyens multiples et le codage sert à détecter le piratage (chaines de caractères suspects, emails incorrects). Un bon codage sert à bloquer ces tentatives d’intrusions. La désinfection se fait à l’aide un antivirus efficace qui scanne les failles de sécurité de votre site.

Pensez à vous informer régulièrement sur les nouvelles failles de sécurité. Elles sont nombreuses et en étant vigilant, vous pouvez les devancer et être toujours bien protégé. Pensez à être constant dans vos vérifications de sécurité, car elles ne peuvent jamais être sûres à 100%.

Voici quelques sites pour suivre les alertes et failles détectées: Vigilance.fr ou bien encore Blog.secupress.fr

En bonus, retrouvez ci après 3 solutions pour renforcer la sécurité de WordPress:

• Passer votre WordPress en HTTPS, c’est la meilleure façon de protéger les données de vos utilisateurs et de vous défendre contre l’usurpation d’identité. Les sites sécurisés via SSL bénéficient en outre, d’un avantage pour leur référencement dans les pages de résultats de recherche.
• Un moyen détourné pour se protéger est de camoufler son WordPress, pour se faire il existe le plugin HideMyWp. Ce dernier déplace certains répertoires et masque le fait que vous utilisiez un WP. Attention toutefois sa configuration peut être périlleuse…
• Enfin, l’antivirus que je préfère : WordFence. C’est un plugin freemium, c’est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium. Très efficace et performant, je vous invite à lire le tutoriel complet de cet antivirus pour WordPress.

Enfin et pour conclure : Protégez votre travail par de vrais mots de passe sécurisés, faites des sauvegardes régulières, installez un antivirus qui scanne régulièrement votre site et vos fichiers. Ce sont là des actes de préventions importants.

La création d’un site WordPress demande du temps, il mérite d’être à l’abri !