Protéger WordPress

Mesures de sécurité pour protéger WordPress contre les attaques courantes

Notions théoriques

Articles sur la sécurisation de WordPress

Voici une sélection d'articles sur la sécurisation de WordPress :

• Sécurité WordPress – 19 étapes pour protéger votre site
• All-In-One Security (AIOS) – Security and Firewall

---

Mesures de sécurité recommandées

Voici une liste de mesures de sécurité recommandées :

1. Utiliser un hébergement sécurisé : Choisissez un fournisseur d'hébergement Web réputé qui offre des mesures de sécurité robustes, telles que des pare-feu, une surveillance de sécurité, et des sauvegardes régulières.

2. Mises à jour régulières : Assurez-vous de toujours utiliser la dernière version de WordPress, ainsi que des thèmes et plugins à jour, car ils incluent souvent des correctifs de sécurité.

3. Sécurisation du fichier wp-config.php : Ce fichier contient des informations sensibles. Vous pouvez le déplacer d'un répertoire au-dessus de votre racine Web ou définir des permissions de fichiers strictes.

4. Utiliser des mots de passe forts : Créez des mots de passe complexes pour votre compte WordPress, votre base de données, et votre FTP. Utilisez un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux.

5. Restriction des tentatives de connexion : Installez des plugins qui limitent le nombre de tentatives de connexion échouées pour éviter les attaques par force brute.

6. Changement du préfixe de la base de données : Par défaut, WordPress utilise le préfixe "wp_". Le changer peut aider à prévenir les attaques par injection SQL.

7. Installation de plugins de sécurité : Utilisez des plugins de sécurité fiables pour surveiller et protéger votre site contre les menaces courantes.

8. Certificat SSL : Installez un certificat SSL pour chiffrer les données transmises entre le serveur et les navigateurs des visiteurs, et pour activer HTTPS sur votre site.

9. Sauvegardes régulières : Configurez des sauvegardes automatiques de votre site et de votre base de données pour pouvoir restaurer rapidement votre site en cas de problème.

10. Configuration des permissions de fichiers et de répertoires : Réglez les permissions de fichiers et de répertoires pour limiter l'accès en écriture uniquement là où c'est nécessaire.

11. Désactivation de l'édition de fichiers dans l'administration de WordPress : Cela empêche les modifications de fichiers directement via le tableau de bord, une méthode souvent utilisée par les pirates.

12. Protection contre les attaques par déni de service (DDoS) : Utilisez des services de mitigation DDoS et des configurations de serveur pour protéger votre site contre les surcharges de trafic malveillantes.

13. Sécuriser l'accès FTP : Utilisez SFTP ou FTPS au lieu de FTP pour sécuriser les transferts de fichiers entre votre ordinateur et le serveur.

14. Surveillance de la sécurité : Mettez en place une surveillance continue de la sécurité pour détecter toute activité suspecte rapidement.

---

Test de mémorisation

Quelle méthode n'est PAS une mesure de sécurisation du fichier wp-config.php ?

Le déplacer d'un répertoire au-dessus de la racine Web

Définir des permissions de fichiers strictes

Renommer le fichier wp-config.php

Utiliser des mots de passe forts pour la base de données

Qu'est-ce qu'une mesure efficace pour protéger WordPress contre les attaques par force brute ?

Changer le préfixe de la base de données

Installer un certificat SSL

Restriction des tentatives de connexion

Désactivation de l'édition de fichiers dans l'administration

Pourquoi est-il recommandé de changer le préfixe de la base de données WordPress par défaut ?

Pour accélérer le site

Pour améliorer le référencement

Pour prévenir les attaques par injection SQL

Pour empêcher l'accès FTP non sécurisé

Quelle est la fonction d'un certificat SSL dans la protection d'un site WordPress ?

Il limite le nombre de tentatives de connexion échouées

Il chiffre les données transmises entre le serveur et les navigateurs

Il surveille le site pour détecter les activités suspectes

Il change le préfixe de la base de données

Quelle méthode est recommandée pour la sauvegarde régulière d'un site WordPress ?

Sauvegardes manuelles hebdomadaires

Sauvegardes automatiques

Stockage des sauvegardes sur le même serveur

Utilisation de mots de passe simples pour les sauvegardes

Quel type de connexion FTP est recommandé pour sécuriser les transferts de fichiers ?

FTP

HTTP

SFTP ou FTPS

SSL

Quelle option n'est PAS une pratique de sécurisation des permissions de fichiers et de répertoires WordPress ?

Donner des permissions en écriture partout

Limiter l'accès en écriture là où c'est nécessaire

Réglage des permissions de fichiers

Configuration des permissions de répertoires

Quelle mesure aide à protéger un site WordPress contre les attaques DDoS ?

Installation de plugins de sécurité

Utilisation de services de mitigation DDoS

Restriction des tentatives de connexion

Sécurisation de l'accès FTP

Quelle action est conseillée pour renforcer la sécurité des mots de passe WordPress ?

Les réutiliser pour différents comptes

Les stocker en clair dans la base de données

Créer des mots de passe complexes

Les partager avec des membres de confiance de l'équipe

Pourquoi est-il recommandé de désactiver l'édition de fichiers dans l'administration de WordPress ?

Pour améliorer la vitesse du site

Pour empêcher les modifications de fichiers par les pirates

Pour éviter les mises à jour régulières de WordPress

Pour changer le préfixe de la base de données

---

TP pour réfléchir et résoudre des problèmes

Objectif de ce TP

Configurer "All in One WP Security & Firewall" pour atteindre un score de sécurité de 50 points sans affecter la fonctionnalité du site.

La sécurité d'un site WordPress est primordiale et ne doit jamais être négligée. L'extension "All in One WP Security & Firewall" est une solution complète qui renforce la sécurité de votre site WordPress en mettant en place une série de mesures de protection sans nécessiter de compétences techniques avancées.

Cette extension fonctionne en suivant trois axes principaux : la protection, la détection et la réaction. Elle protège votre site contre les attaques en renforçant les mots de passe, en limitant les tentatives de connexion, et en mettant en place un pare-feu. Elle détecte les vulnérabilités en scannant votre installation WordPress et réagit en vous notifiant des actions suspectes.

Fonctionnalités de l'extension

Voici la liste des fonctionnalités de cette extension :

• Sécurité de base : Renforce les paramètres de base de WordPress sans modifier les fichiers du cœur de WordPress.
• Sécurité de l'utilisateur : Permet de surveiller les comptes utilisateurs et de renforcer les mots de passe.
• Sécurité de la base de données : Change le préfixe des tables de la base de données et sauvegarde la base de données.
• Sécurité du fichier système : Protège les fichiers système critiques et empêche l'accès aux fichiers sensibles.
• Pare-feu : Bloque les attaques malveillantes grâce à des règles et des modèles de pare-feu.

Installer et configurer l'extension

Pour installer et configurer l'extension "All in One WP Security & Firewall", suivez ces étapes :

1. Connectez-vous à votre tableau de bord WordPress.
2. Allez dans "Extensions" > "Ajouter".
3. Cherchez "All in One WP Security & Firewall".
4. Installez et activez l'extension.
5. Une fois activée, vous verrez un nouveau menu "WP Security" dans votre tableau de bord.
6. Commencez par le menu "Tableau de bord" de l'extension pour voir les points de sécurité actuels.
7. Passez ensuite par chaque onglet de configuration (Sécurité de base, Sécurité de l'utilisateur, etc.) et activez les fonctionnalités recommandées.
8. Activez les fonctionnalités de sécurité de base qui n'impactent pas les visiteurs du site.
9. Configurez les options avancées du pare-feu tout en assurant que le site reste accessible.
10. Mettez en place une surveillance des comptes utilisateurs et renforcez les mots de passe.
11. Changez le préfixe des tables de la base de données et effectuez une sauvegarde.
12. Testez le site pour s'assurer que toutes les fonctionnalités fonctionnent correctement après la configuration.

Corrigé du TP

Une solution

Vous devez être connecté pour voir le contenu.

Email : Mot de passe :

attention

N'oubliez pas de vérifier régulièrement le tableau de bord de l'extension pour surveiller la sécurité et ajuster les configurations si nécessaire.