Sécurité global d’un site WordPress

  • WordPress :4.9.9
  • Statut : non résolu
7 sujets de 1 à 7 (sur un total de 7)
  • Auteur
    Messages
  • #2218867
    virtazp
    Participant
    Initié WordPress
    49 contributions

    Salut à tous,

    Je regarde depuis quelques jours comment sécuriser de manière optimal les sites WordPress et en cherchant sur google, il y a de tout et j’aimerai savoir les bonnes pratiques en 2018.

    Je suis développeur web en C#, et depuis peu, ma boite se tourne vers WordPress, la sécurité est un grand enjeux pour moi.

    De ce que j’ai retenu de mes recherches, c’est la possibilité de :

    • Déplacer le fichier wp-config.php un cran au dessus (à la racine du projet) pour le rendre non visible du web
    • Déplacer et renommer le dossier wp-content dans un dossier ‘wp-data’ qui lui sera à la racine de l’installation.
    • Déplacer les dossiers wp-admin et wp-includes dans un autre dossier ‘wp-cms’ par exemple, qui lui sera à la racine de l’installation.
    • Interdire certains accès via .htaccess ou web.config.

    Et bien entendu les sauvegardes. Par contre je ne suis pas convaincu de l’efficacité des anti-virus en plugin.

    Sinon que pensez-vous des points cités plus haut? Est-ce viable en terme de sécurité ?

    Bonne journée à tous : )

    #2218947
    Li-An
    Modérateur
    Maître WordPress
    20586 contributions

    Bonjour, la protection des fichiers sensibles et de certains dossiers par htaccess est un bon début. Il faut savoir que WP nu et à jour n’a aucune vulnérabilité et ne nécessite aucune protection hors attaque brute force sur la page login. Les failles peuvent venir d’un thème ou d’une extension pas mise à jour (voire un hébergeur défaillant ou votre ordi).

    Pour moi, les déplacements des fichiers dans tous les sens est un peu du pipeau. Ça ne peut pas faire de mal mais ça risque aussi de poser des problèmes de compatibilité avec les extensions utilisées. Une bonne extension de sécurité (pare feu)+ des sauvegardes régulières + un site toujours à jour suffit à votre protection.

    #2219187
    virtazp
    Participant
    Initié WordPress
    49 contributions

    Re, merci pour votre intervention !

    Je suis d’accord avec vous, cependant plusieurs points me turlupine, notamment pour les mises à jours.

    J’utilise que très peu de plugin, dès que je peux les coder, je préfère m’en charger. Mais le reste effectivement, les mises à jours sont récurrentes. Cependant, certaines mise à jour, ‘cassent’ la mise en forme ou autre, et d’autres non, je trouve cela trop aléatoire. Je ne suis pas partisan des mises à jours automatique, car je préfère bien lire les modifications apporté avant.

    Pour l’instant ma boite n’en est qu’à 2 sites wordpress, mais à 300, on le gère comment? Parce que certaines vente n’inclus pas cette partie là. Certains clients veulent le back-office de façon simplifié sans ce soucier de la partie MAJ.

    Je vais étudier de plus près tout ces aspects, et je partagerai mon point de vue : )

     

    #2219194
    Li-An
    Modérateur
    Maître WordPress
    20586 contributions

    Personnellement, je fais faire des mises à jour automatiques sur deux sites sans que j’aie rencontré de problèmes pour le moment. Les extensions qui gèrent ça permettent aussi de cibler ce qui sera mis à jour automatiquement. Il y a aussi des extensions qui préviennent que des mises à jour sont dispos https://www.echodesplugins.li-an.fr/plugins/mail-update/. À 300 sites, c’est un vrai travail à plein temps avec peut-être plusieurs personnes.

    #2224728
    Inu Media
    Participant
    Initié WordPress
    10 contributions

    Bonjour,

     

    Ton post date un petit peu mais je me permets de rajouter ma petite contribution.

    Tu peux regarder du côté des fonctionnalités de Sécupress, qui te propose déjà pas mal de choses dans sa version gratuite, ça peut t’indiquer les choses à faire; par exemple:

    Cacher sa version PHP et WP

    Déplacer le log

    Interdire l’accès aux dossiers

    Double authentification

    Des codes captcha

    Imposer la saisie d’un ancien MP pour le changer

    Interdire l’envoi de zip et l’installation de plugins/themes (faut passer par le ftp du coup)

    Anti brute force

    Eviter les préfix de ta bdd commençant par wp_ (donc les renommer)

     

    Dans le log j’enlève également le « mot de passe oublié » avec une petite fonction dans functions.php personnellement

     

    Et une des choses que beaucoup oublient c’est sécuriser vos headers; je t’invite à faire un tour ici: https://securityheaders.com/ et mettre les mains dans le code ou te tourner vers des plugins qui règleront les problèmes 🙂

     

    • Cette réponse a été modifiée le il y a 1 month par  Inu Media.
    #2230082
    insideus
    Participant
    Initié WordPress
    5 contributions

    Perso j’ai un gros problème,

    je n’arrive plus a entrer dans mon wordpress malgrès la double authentification que faire ?

    j’ai suivis le conseil de changer admin en autre chose et j’utilise mini orange Auth de Google,

    mais lorsque je tape le code je suis rediriger vers la page officielle WP. Je n’ai pas encore fait tout ce que vous dite ! ( sueur froide ! )

    Je pense ouvrir un sujet.

     

     

     

     

    #2230083
    Li-An
    Modérateur
    Maître WordPress
    20586 contributions

    @Insideus : veuillez en effet ouvrir votre sujet svp.

7 sujets de 1 à 7 (sur un total de 7)
  • Vous devez être connecté pour répondre à ce sujet.