Foire aux questions

Wordpress

Wordpress est connu pour ses failles, les équipes Wordpress sont à pied d'oeuvre pour maintenir leurs scripts à jour au niveau sécurité, d'où les mises à jour de version qu'il faut effectuer réguliérement ainsi que celles des plugins, souvent correctrices de failles. Toutefois Wordpress reste un script libre, gratuit, et donc pas forcément garantie à 100%.
Les hackers sont aussi tout le temps à la recherche de solutions pour percer les sécurités de ce type de script.
 
Pour la plupart des utilisateurs de Wordpress, un fichier de shell est déposé directement sur votre hébergement parmis vos fichiers Wordpress, par un upload (téléchargement) en utilisant une faille de script dans wordpress, souvent un plugin ou un fichier du template par défaut.
Puis ce script est déposé dans un dossier ouvert en écriture pour les besoin du cms, là aussi comme vous le voyez dans le dossier des thémes ou parfois le dossier images. ce shell simplement executé par l'url avec votre domaine et le chemin vers lequel il a été déposé permet alors en utilisant le fichier de config de wordpress de se connecter é la base de données, de changer alors l'adresse email de l'admin, le mot de passe et de pénétrer dans l'admin de WP, puis par conséquent, changer le contenu de la page d'accueil. Suivant le shell déposé, il n'est pas toujours utile de se connecter à l'administration pour modifier la page index ou le contenu des pages de votre Wordpress.
 
Pour limiter les possibilité de hack nous vous conseillons de :
- maintenir les versions de WP à jour,
- maintenir les plugin à jour,
- vérifier si les chmods appliqués sont bien ceux recommandés par WP
- utiliser un mot de passe admin d'au moins 16 caractéres, mélant des chiffres, des lettres en majuscules et minuscule, et au mieux des symboles (pour contrer les brute force)
# recommandé :
- mettre une protection supplémentaire par htaccess login et mot de passe sur le dossier admin de WP (configuration automatique depuis Cpanel)
- paramétrez la protection d'accès au dossier admin uniquement à votre ip
- changer le nom de la page de login de l'admin (connaissances requises en php/html)
 
Rien qu'en effectuant une recherche sur google avec les mots "wordpress hacking" on constate des possibilités de protection multiples : https://www.google.fr/search?q=wordpress+hacking&rlz=1C1SKPL_enFR433FR437&oq=wordp&aqs=chrome.4.0j57j65j59l2j65.2789j0&sourceid=chrome&ie=UTF-8

Sécurisé et proétger Wordpress avec HIDEMYWP : http://wpformation.com/securiser-wordpress-hidemywp/

WordPress, 13 erreurs à ne pas commettre

Les plugins indispensables :

https://wordpress.org/plugins/login-lockdown/installation/

https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/

https://wordpress.org/plugins/tac/

https://wordpress.org/plugins/autochmod/
 (paramétrage dans l'ordre 755 555 644 444)

http://wpformation.com/wordfence-antivirus-wordpress/ (utilisation limitée gratuite, sinon version pro payante)

https://wordpress.org/support/plugin/wp-security-scan

http://codex.wordpress.org/fr:Modifier_les_Permissions_sur_les_Fichiers

http://www.webtolosa.com/2013/10/12/wordpress-quels-chmod-securite/

http://wpformation.com/securiser-wordpress-hidemywp/
 

Autre conseils non négligables :
 
- Ne créez pas un user de base de données mysql identique au nom de la base de données
- Créez des mots de passe de base de données compliqués, en combinant des majuscules des minuscules des chiffres et des lettres
- Ne conservez pas le prefix wp_ proposé lors de l'installation de WP



Cette réponse était-elle pertinente ?

Ajouter aux favoris
Imprimer cet article


hébergement internet - streaming webradio - hébergeur mutualisé - hébergement web php mysql - hébergeur windows php asp asp.net mssql - serveur shoutcast - webradio autodj
hébergement PHP - hébergeur php - hébergement ASP - hébergeur ASP - hébergeur windows - hébergeur webradio - hébergeur shoutcast - hébergement mutualisé
hebergement internet - hébergeur internet - hébergeur web - hébergement web - hebergement allopass - hébergeur linux - hébergeur France
hebergeur mutualisé - hébergeur site - hébergeur sites internet - hébergement site internet - hebergement pas cher - auto installation scripts cms
location streaming - shoutcast - icecast - webradio - shoutcast webradio - webradio icecast - webradio autodj - playlist webradio - live dj webradio
compte exchange - e-mail professionnel - serveur web - serveur dédié - serveur vp - certificat ssl - certificat GeoTrust - RapidSSL