Procédure
Qu'est-ce que Wp Manager ?
Sécuriser son site web est une priorité absolue pour tous les propriétaires de site. Chez LWS, nous proposons une solution simple mais puissante pour la gestion de la sécurité de votre site WordPress : le WP Manager. Dans cet article, nous passerons en revue les différentes options de sécurité que vous pouvez configurer avec WP Manager.
I. Accéder à la gestion de la sécurité de votre site WordPress avec le WP Manager ?
Dans un premier temps, vous devez accéder à la fonctionnalité WP Manager de l'hébergement où vous souhaitez gérer les instances WordPress installées.
[tips_info]La fonctionnalité WP Manager n'est pas disponible pour les formules suivantes : Formule domaine, LWS Perso, Basic et Debutant Linux. Si vous souhaitez bénéficier de cette fonctionnalité et que vous avez souscrit à l'une de ces formules, nous vous invitons à effectuer un changement de formule pour la formule supérieure de la même gamme d'hébergement.[/tips]
Dans le listing des instances de Wordpress présent sur votre hébergement, vous devez cliquer sur les 3 points présents à droite de l'instance souhaitée (1). Dans le menu qui apparait, cliquez sur "Gérer l'installation WordPress" :
[tips_info]Si aucune instance de WordPress n'est présente dans la liste du WP Manager, vous devez d'abord effectuer une détection des sites.[/tips]
Une fois dans la gestion de l'installation WordPress, Cliquez sur l'onglet "Sécurité et Paramètres généraux" afin de visualiser la liste des fonctionnalités de sécurité configurable sur votre instance WordPress :
Explications détaillées sur les règles de sécurité configurable
A. Paramètres généraux
Les paramètres généraux de sécurité dans WP Manager permettent d'optimiser le fonctionnement de votre site tout en améliorant sa sécurité. Voici les options que vous pouvez régler :
- Utiliser les Crons WordPress (wp-cron.php) : cette option vous permet d'automatiser certaines tâches sur votre site WordPress.
- Visibilité sur les moteurs de recherche : vous pouvez choisir de rendre votre site visible ou non sur les moteurs de recherche.
- Mode de débogage : en activant ce mode, vous pourrez plus facilement identifier et résoudre les erreurs sur votre site.
- Forcer le https : cette option vous permet de forcer votre site à utiliser le protocole https, garantissant une connexion sécurisée entre le serveur et le navigateur de l'utilisateur.
B. Règles htaccess et autres mesures de sécurité
Le WP Manager de LWS vous donne accès à une série de règles htaccess et à d'autres mesures de sécurité avancées pour assurer la protection optimale de votre site WordPress.
- Restreindre l'accès aux fichiers et dossiers : Cette fonction vous permet de limiter l'accès à certains fichiers et dossiers de votre site, rendant ces zones inaccessibles aux visiteurs non autorisés.
- Désactiver le listing des fichiers des dossiers sans index : Cette mesure empêche les utilisateurs de voir le contenu des répertoires qui ne contiennent pas de fichier index. Cela rend plus difficile pour un attaquant de trouver des fichiers sensibles.
- Bloquer l'accès non autorisé au fichier xmlrpc.php : Le fichier xmlrpc.php permet la communication entre votre site WordPress et d'autres sites ou services. En bloquant l'accès non autorisé à ce fichier, vous pouvez empêcher certaines formes d'attaques.
- Bloquer le téléchargement des fichiers .sql : Les fichiers .sql contiennent des informations sur votre base de données. En bloquant leur téléchargement, vous protégez ces informations sensibles.
- Bloquer l'accès aux fichiers readme et license : Ces fichiers peuvent fournir des informations sur votre site qui pourraient aider un attaquant. En bloquant l'accès à ces fichiers, vous ajoutez une autre couche de sécurité à votre site.
- Bloquer l'accès aux fichiers .htaccess et .htpasswd : Ces fichiers contiennent des informations de configuration importantes et peuvent être une cible pour les attaquants. En bloquant l'accès à ces fichiers, vous renforcez la sécurité de votre site.
- Désactiver les pingbacks : Les pingbacks permettent à d'autres sites de savoir que vous avez lié à eux. Cependant, ils peuvent également être utilisés pour des attaques DDoS. En désactivant cette fonction, vous pouvez augmenter la sécurité de votre site.
- Désactiver l'édition de fichiers dans le tableau de bord de WordPress : Cette mesure empêche les utilisateurs d'éditer les fichiers de votre site à partir du tableau de bord WordPress. Cela peut aider à prévenir les modifications non autorisées.
- Masquer l'identifiant des auteurs : Cette option masque les identifiants des auteurs sur votre site, rendant plus difficile pour un attaquant de trouver des informations d'identification valides.
- Interdire l'exécution de scripts PHP dans le répertoire wp-includes : Cette option empêche l'exécution de scripts PHP dans le répertoire wp-includes, une mesure qui peut aider à bloquer certaines attaques.
- Interdire l'exécution de scripts PHP dans le répertoire wp-content/uploads : De même, cette option empêche l'exécution de scripts PHP dans le répertoire de téléchargement de contenu de WordPress.
- Désactiver la concaténation de scripts pour le panneau d'administration de WordPress : Cette mesure peut aider à prévenir certaines attaques basées sur JavaScript.
- Bloquer l'accès à la page de commentaire aux navigateurs sans UserAgent ou Referer : Cette mesure peut aider à prévenir le spam de commentaires et d'autres formes de comportement abusif.
- Bloquer l'accès aux fichiers sensibles : Cette option permet de bloquer l'accès aux fichiers sensibles, renforçant ainsi la sécurité de votre site.
- Activer la protection contre les robots : Cette option vous permet d'activer une protection anti-robot pour empêcher le trafic automatisé nuisible.
- Changer les clés de sécurité SALT du fichier de configuration WordPress : Cette option vous permet de renforcer la sécurité de votre site en régénérant régulièrement les clés utilisées pour l'authentification.
- Changer le nom d'utilisateur de l'administrateur par défaut : Le changement du nom d'utilisateur administrateur par défaut rend plus difficile pour un attaquant de deviner vos informations de connexion.
Comment activer ou désactiver un paramètre de sécurité ?
Une fois que vous accédez à la liste des fonctionnalités de sécurité, cliquez sur le curseur à la ligne de la fonctionnalité que vous souhaitez activer ou désactiver.
Si le curseur est gris, alors la fonctionnalité est inactive. À l'inverse, si le curseur est vert, alors la fonctionnalité est actuellement active.
Vérifier l'intégrité du cœur de WordPress
Un scan d'intégrité WordPress est un processus qui vérifie l'intégrité des fichiers de votre installation WordPress. Il s'agit essentiellement d'une vérification de la structure et de l'intégrité des fichiers principaux de WordPress, tels que les fichiers du cœur de WordPress, les thèmes et les plugins installés.
L'objectif principal d'un scan d'intégrité WordPress est de détecter les modifications indésirables ou les fichiers corrompus qui pourraient compromettre la sécurité ou le bon fonctionnement de votre site web. Cela peut inclure des fichiers malveillants ajoutés par des pirates informatiques, des modifications non autorisées apportées au code source de WordPress ou des altérations accidentelles qui pourraient survenir lors de mises à jour ou d'installations de plugins.
Le scan d'intégrité WordPress compare les fichiers de votre installation avec une référence de fichiers d'origine. Si une différence est détectée, cela peut indiquer une altération ou une modification non autorisée. Dans ce cas, vous pouvez prendre des mesures pour résoudre le problème, telles que la suppression des fichiers malveillants ou la restauration des fichiers d'origine à partir d'une sauvegarde.
En résumé, un scan d'intégrité WordPress est un processus de vérification qui permet de s'assurer que les fichiers de votre installation WordPress n'ont pas été altérés de manière indésirable, garantissant ainsi la sécurité et l'intégrité de votre site web.
Changer les salts du fichier de configuration WordPress
Le bouton Changer les salts du fichier de configuration WordPress permet de mettre à jour les 4 clés uniques d'authentification qui cryptent les mots de passe sur le fichier wp-config.php se trouvant sûr à la racine de votre site, sur votre espace FTP.
Mais qu'est-ce que les 4 clés uniques d'authentification ?
Les clés sont générées automatiquement lors de l’installation de WordPress et sont enregistrées à la fois dans la base de données et dans le fichier de configuration wp-config.php.
En terme plus simple, une clé secrète est un mot de passe avec des éléments qui le rend plus compliqué pour traverser les barrières de sécurités. Par conséquent, un mot de passe par exemple "mot de passe" ou encore "essai" est beaucoup trop simple et trop facile à trouver. Une combinaison telle que "88A7DA62429BA6AD3CB3C76A" est très difficile pour le cracker.
Conclusion
Vous êtes en mesure de savoir gérer la sécurité de votre site WordPress par le biais de WP Manager, de comprendre les différentes règles modifiables sur le fichier htaccess, de savoir comment vérifier l'intégrité du cœur de WordPress et enfin, changer les salts du fichier de configuration WordPress.
Si vous avez des questions ou des commentaires, n'hésitez pas à nous en faire part ci-dessous.
