Les sites web, sont souvent victimes d’actions de piratage, causant des fois la perte totale des données qu’elles soient importantes ou non. C’est le cas aussi des blogs construits autour d’une plateforme telle que Wordpress, DotClear ou MovableType.
Bien sûr, une protection à 100% et sans failles n’existe pas, et personne n’est à l’abri contre des attaques de sécurité bien menées ! Cependant, il est possible par le biais de quelques techniques et de règles d’utilisation, d’en contourner un bon nombre ou d’en minimiser les dégâts.
Dans ce qui suit, j’essaie de dresser quelques astuces et conseils (trouvés sur Bloganything), pour assurer une sécurité minimale pour les gens qui ont un blog tournant sous Wordpress.
1- Mettre à jour sa version de Wordpress
Surtout quand il s’agit de la sortie d’une nouvelle version qui corrige un ensemble de bugs et de failles. La mise à jour d’un blog sous Wordpress est simple, et il suffit généralement de suivre les instructions fournies dans la documentation de leur site officiel.
2- Ne pas renseigner sur la version Wordpress du blog
La plupart des thèmes sur le Net, contiennent une instruction qui renseigne sur la version de Wordpress que vous utilisez. Pour la supprimer rien de plus simple :
- Dans l’interface d’administration de votre blog, allez dans “Presentation“, puis “Editeur de thèmes“.
- Choisissez le fichier “header.php” pour pouvoir l’éditer.
- Cherchez l’instruction bloginfo(’version’) et supprimez la. Sauvegardez le fichier.
Cacher la version de la plateforme que l’on utilise, va rendre la tâche des pirates un peu plus difficile.
Avancé : Pour un résultat plus poussé, vous pouvez aussi enlever le numéro de version de vos flux RSS ou Atom. Pour cela, il va falloir supprimer toute information de version contenue dans les fichiers qui s’occupent de la génération de vos flux (feed-rss2.php, feed-atom.php …) et qui sont placés dans le répertoire “wp-includes”.
3- Mettre un fichier “index.html” vide dans le répertoire des plugins
Cela a pour effet de masquer la liste des plugins que vous utilisez.
- Ouvrez votre éditeur de texte favori, et créez un nouveau fichier vide.
- Enregistrez-le sous le nom “index.html”.
- Chargez-le dans le dossier plugins de votre installation Wordpress.
N’oubliez pas également de mettre à jour un plugin quand une nouvelle version de celui-ci est disponible.
4- Placer une copie du fichier “.htaccess” dans le dossier “wp-admin”
On peut limiter l’accès au dossier “wp-admin” par adresse IP, pour éviter qu’une personne malintentionnée y accède.
- Ouvrez votre client FTP , et placez vous dans la racine de votre installation Wordpress.
- Téléchargez le fichier “.htaccess” sur votre bureau.
- Entrez dans le répertoire “wp-admin”.
- Chargez-y le fichier “.htaccess” que vos venez de télécharger.
5- Bloquer les robots d’accèder aux répertoires “wp-admin” et “wp-includes”
Il est possible de spécifier aux moteurs de recherche, de ne pas indexer les répertoires internes de votre blog. Pour cela, il faut éditer votre fichier “robots.txt” ou d’en créer un si vous ne l’avez pas encore fait.
- Ouvrez le fichier “robots.txt”, et ajoute-y les lignes de codes suivantes :
# On spécifie que la règle est à appliquer à tous les moteurs de recherche
User-agent: *# On bloque l’accès aux répertoires et les fichiers qui y sont inclus
Disallow: /wp-admin/
Disallow: /wp-includes/
- Enregistrez et placez-le (toujours via votre client FTP) dans la racine de votre blog Wordpress.
6- Faire des backups périodiquement
Comme il n’existe pas de sécurité parfaite, la meilleure façon de se protéger reste le backup périodique de votre base de données, et des fichiers de votre blog. Si vous ne souhaitez pas effectuer une sauvegarde manuelle de vos données, sachez qu’il existe pas mal de plugins sous Wordpress pour automatiser cette tâche; le plus connu étant Wordpress Database Backup.
Il existe un document complet sur la sécurisation d’un blog, que je n’ai pas eu le temps de finir, et que vous pouvez télécharger sur cette adresse : WordPress Security Whitepaper
Voilà, cet article touche à sa fin. La liste d’astuces présentées n’est surement pas exhaustive donc, si vous en avez d’autres n’hésitez surtout pas à partager 
3:37 pm
05/11/07
De bonnes idées :). Merci !
9:25 pm
05/11/07
Merci pour ces informations, elle sont utiles et consructives.
Popod.
10:04 pm
05/11/07
Je vous en prie messieurs
9:41 am
06/11/07
Merci pour les infos, c’est un bon début !
6:47 pm
06/11/07
Bookmarké
Merci !
1:16 pm
12/11/07
[...] avoir exposé brièvement quelques manipulations basiques pour sécuriser son blog Wordpress, je passe maintenant à un autre point tout aussi [...]
2:06 pm
15/12/07
Excellent article, merci !
3:01 pm
06/02/08
Bonjour,
Je suis chez free. Il n’y a pas de fichier .htaccess a la raci!ne de mon blog…
je n’en voit pas
c’est grave docteur ?
cordialement,
4:13 pm
06/02/08
Si j’ai bien remarqué, ton blog réside dans un dossier wordpress. Si le fichier .htaccess n’y figure pas, tu peux toujours le créer
11:35 am
01/03/08
[...] Wordpress Security Tips and Hacks : La sécurité de son blog n’est pas à négliger. Je publierai prochainement un deuxième volet de comment sécuriser son blog. [...]
5:43 pm
03/03/08
[...] avoir publié une première partie de comment sécuriser son blog WordPress, voici quelques autres astuces et conseils trouvés sur noupe.com [...]
11:42 am
16/04/08
[...] Pour éliminer le numéro de version, il suffisait (comme mentionné sur l’article “Sécuriser son blog WordPress“) de virer l’instruction bloginfo(’version’) de votre fichier [...]
7:40 pm
01/05/08
Merci
ça va m’être utile pour mon blog 
[...]
Et aussi je voulais savoir, il m’arrive la même chose avec Wordpress 2.5 le genre de commentaires [...]blabla de l’article
se son des spam ou quoi??
11:31 pm
01/05/08
pas nécessairement, ce sont des backlinks
ça veut dire que quelqu’un a fait un lien vers ton article.
ça peut être une personne, comme ça peut être du spam
12:00 am
03/05/08
Ok et Merci d’avoir répandue
10:11 pm
05/05/08
J trouver la solution pour régler ce pti problème
No Self Pings : http://www.toutwordpress.fr/39-no-self-pings-eviter-les-trackbacks-internes.html
1:12 pm
16/06/08
Bjr, lorsque je fais la recherche google sur mon pc du site netlog et que je clique sur le lien, ma session est directement ouverte, ce que je ne souhaite pas, sans passer par un mot de passe et/ou un nom d’utilisateur. Puis-je modifier cela ?
Merci pour votre réponse
8:44 am
17/06/08
Bonjour caro, j’ai peur de ne pas avoir bien compris ta question …
Si tu souhaites annuler la connexion automatique sur une site, tu peux toujours supprimer les sessions d’authentification ..
Sur Firefox, tu vas sur Outils > Options … puis dans l’anglet Vie privée, il y a un bouton Nettoyer maintenant…
Sur la fenêtre qui sort, tu dois cocher Session d’identification, et puis tu valides !
J’espère avoir répondu
1:28 pm
18/06/08
Impec. ! Merci Ahmed.
3:55 am
31/08/08
[...] Wordpress : Sécuriser son blog (Chergaoui, 05/11/07) [...]