What the f… duck !

Attention, cet article date de 4 ans, les informations peuvent ne plus être à jour...

Avant tout, pourquoi prendre des précautions ?

Parce que même si tu ne te rends pas compte des dangers de te faire pirater, ils sont bien réels. On peut se servir de ton site pour accéder à des mails que les gens auront laissés dans les commentaires, utiliser ton site pour héberger des trucs pas légal (et dans ce cas, c’est toi qui prends), ou simplement bloquer l’accès à ton site, et quand t’as plus de 1000 articles et commentaires, je t’assure que ça fout les boules.

On prend des précautions pour soi mais aussi pour les autres, comme un vaccin.

 

 

Ce à quoi il faut penser

Alors, à part le lien sur la base de données que je t’avais donné
(au cas où : http://korben.info/securiser-wordpress-installation.html), quelques principes de bases veulent que l’identifiant administrateur soit différent de ton pseudo que tu vas utiliser sur ton site.

Par exemple, mon pseudo est « Lokoyote » mais pour me connecter à ma partie admin de mon site ce n’est pas le même pseudo. Il ne doit pas être non plus « admin » ou « administrateur » car beaucoup trop simple à trouver et facile à craquer.
Il faut qu’il soit complètement différent et de préférence qu’on ne puisse pas trouver avec un minimum de recherche (oui, faut être un peu parano).

Donc évidemment, faut aussi un mot de passe FORT, c’est-à-dire minimum 12 caractères, un truc avec des majuscules, minuscules, caractères spéciaux, etc. ou simplement une phrase moyennement longue et assez facile à retenir pour toi (ce n’est pas parce que c’est une phrase simple que ce n’est pas un mot de passe fort, au contraire, car il y a beaucoup de caractères ! Et que c’est facile à retenir pour toi, mais pas facile à trouver pour un robot qui cherche tous les caractères un à un…).

Je te file ces liens qui sont bien fait :

Tu feras bien attention à ce que le “Nom à afficher publiquement” ne soit pas ton pseudo de connexion :D

 

Il faut aussi penser à faire au moins une fois par semaine des sauvegardes de tes bases de données et de temps en temps une sauvegarde complète de ton site (ce qui inclut les mails et les images). Une base de donnée pense que c’est comme un dossier d’un disque dur (où ton disque dur serait ton hébergeur), tout ce qu’il y a sur ton site (identifiant, articles, commentaires, etc) y sont inscrits, donc si jamais il y a un pépin du côté de ton hébergeur, tu perds absolument (presque) tout.
Reste les images et autres fichiers qui ne sont pas inscrits dans les tables et donc doivent se copier par FTP.

Je ne sais pas comment est gérée la partie serveur avec l’hébergement chez « WordPress.com » et je ne sais pas si t’es familière au FTP, si c’est pas le cas n’hésites pas !

 

 

Les extensions

La règle d’or : toujours avoir son WordPress à jour, comme son PC. TOUJOURS ! Donc se connecter au moins une fois par jour pour mettre à jour ses extensions quand une mise à jour est disponible. Plus tôt sera faite la mise à jour, et moins les petits malins essaieront de profiter de la faille corrigée.

Quelques extensions indispensables (au moins ces 3) à ajouter via la partie « extension » du côté administrateur (en faisant une recherche avec les noms suivants) :

Antispam Bee (évite les SPAMs sur ton site, c’est hallucinant la quantité que tu peux avoir si tu ne fais pas attention)

iThemes Security (celui-là est très très complet, voire un peu trop, il faut vraiment prendre le temps de regarder comment il fonctionne)

Avoir trop de plugins sur ton site peut avoir des conséquences de ralentissements ou de conflits, donc pas plus de 15, je trouve que c’est déjà pas mal. En général, il vaut mieux mettre ceux dont il y a déjà beaucoup d’utilisateurs et dont les mises à jour sont récentes, car, même si tu installes une extension et qu’elle est désactivée, elle représente une faille potentielle de sécurité et donc, plus t’en as, plus t’accumules les risques.

→ Donc éviter trop de plugins et enlever complètement ceux qui ne servent pas.

Je te mets des captures de comment je les ai configuré (c’est assez conséquent, j’ai essayé de te détailler quelques parties importantes).

Pour accéder aux réglages des extensions c’est soit dans le menu “Réglages” soit via le menu “Extensions” avec le “Réglages” sur les extensions.

 

Antispam Bee

Simple, t’as juste ça à faire :

Antispam

J’ai pas coché la “Banque de données” parce qu’il arrive que des IPs soient bloquées alors qu’elles ne devraient pas, ça m’est déjà arrivé.

De même, j’ai coché le mail parce que je me sers beaucoup de mes mails, mais tu peux le désactiver, de toute façon les SPAMs sont indiqués, faut juste vérifier que ce sont des vrais.

 

iThemes Security, le gros morceau

Celui-là il est conséquent ! Dès qu’il y a une bande bleu à gauche c’est que c’est activé.

J’ai mis la vue en liste comme ça ce sera plus simple, on va faire dans l’ordre. Normalement les parties dont je ne parle pas, je n’y ai pas touché.

Réglages principaux

Pour cette partie, tu peux faire de même, en ne mettant pas le même mail :P
Pour le chemin des journaux, pas besoin d’y toucher.
Par contre, comme t’as une box internet perso chez toi et a priori une IP fixe, tu peux ajouter ton IP dans la liste en cliquant sur le bouton “Add my current IP to he Whitelist”, ça t’évitera de te bloquer si un jour t’as des soucis.

 

Détection 404

Idem, sauf peut-être le seuil d’erreurs, je l’ai baissé de mon côté mais je trouve que 10 c’est un peu juste, ça peut arriver de tomber plusieurs fois sur des liens cassés… Peut-être mettre à 15.

 

Mode absent

C’est pas une obligation mais ça limite la casse. Ça veut dire que de minuit à 6h du matin, personne (ni moi) ne peut se connecter en administrateur dans ces heures.

 

Ban

Tu peux copier les hôtes bannis, ils m’ont bien fait chi*r ! C’est des serveurs de Russie et d’Ukraine.

 

 

Brute force

 

Sauvegarde

Tous les 3 jours je reçois un mail avec une copie de mes bases de donnée, pratique. Mais ça ne sauvegarde pas les mails ni les fichiers comme les images ou les documents…

 

Network Brute Force Protection  à activer.

 

Puis tu cliques sur “Advanced” et là tu choisis :

Cacher admin

Celui-là est très très important, c’est tellement con que ça protège 99% de tes intrusions. En gros, plutôt que d’accéder à ta partie administrateur de ton site par l’URL “http://monsite.fr/wp-admin” ça va changer la partie “wp-admin” par un truc que tu auras choisi, donc ne le perds pas sinon c’est compliqué d’y accéder… Tu comprendras pourquoi j’ai flouté dans ce cas :)
Pas besoin de toucher la redirection.

Certains mettent un captcha de sécurité, un truc pour savoir si t’es un robot, via une extension sur la partie “wp-admin”. Perso j’ai pas confiance. Ça c’est clean et je connais personne qui a été emmerdé avec cette méthode.

C’est possible que tu aies “Utilisateur Admin” / “Changer le répertoire de contenu” / “Change Database Table Prefix” qui soient en bleu avec un message d’avertissement sur la database (base de données), ne t’en occupes pas.

 

 

WP Super Cache

Permet de générer un cache de ton site, c’est-à-dire une version allégée dans un format allégé et éviter de devoir faire à chaque fois faire calculer le visiteur les données pour les afficher. Ça permet aussi d’alléger la charge de travail sur le serveur qui héberge ton site.

En gros, c’est plus rapide et bien plus agréable pour naviguer.

2 liens pour comprendre :

Normalement il ne devrait pas te poser de souci.

Dans le doute :

Avancé
Tu peux aussi décocher dans Divers > “Don’t cache pages with GET parameters”. Je l’avais coché pour un truc en particulier mais normalement il n’y en a pas besoin.

Il faut aussi cocher “Ne pas mettre en cache les pages pour les utilisateurs connus. (Recommandé)“, je l’ai fait après coup… Ça t’évitera de devoir effacer ton cache à chaque fois que tu fais une modif au niveau des extensions ou des paramètres et de te demander pourquoi ça ne s’affiche pas… (Oui, ça sent le vécu !)

 

Préchargement

 

 

Et les 2 petits derniers totalement optionnel :

WP Hide Post

Il permet de cacher les posts privés en ajoutant une partie “Post Visibility” sur le côté lors de la création d’article ;)
Faut tout cocher pour qu’il soit caché.

–> Buggé, à éviter en fin de compte…

TinyMCE Advanced

Permet d’ajouter une barre d’outils plus complète pour écrire les articles, c’est du confort (sauf pour ceux qui aime la partie code) !

 

 

— — —

Voilà, a priori t’es parée, une fois que ça c’est fait, il ne te reste plus qu’à écrire et à tester des trucs !
Et si t’as des questions auxquelles je peux répondre… Tu connais la suite !

Et juste un “conseil” de blogger : ne cherche pas à faire des articles pour les gens, fais des articles que t’as envie d’écrire et de partager. Les gens viennent d’eux-même quand ton style leur plaît ! :)

 

Et si ça t’intéresse : https://lokoyote.eu/flux-rss-ou-newsletter/

Perso, je ne sais pas comment je faisais sans avant.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Possibilité d'ajouter une balise de SPOILER via la syntaxe suivante :
[spoiler] Texte à cacher [/spoiler]