WordPress est un des CMS les plus utilisés au monde. Ce succès n’est pas sans risque et va vous obliger à prendre de bon réflexe dès le début de l’aventure.
Que vous soyez un développeur débutant ou aguerri, il y a peut-être des conseils qui vous serviront dans ceux qui vont suivre.

Cet article et le dossier qui suit sont une réécriture complétée d’un ancien article de ce blog, il est possible que certains passages vous soient familiers.

Dès l’installation

À l’installation de WordPress, un certains nombre de pièges sont à éviter.

Le pseudo d’administrateur

Il vous faut choisir un pseudo, une information qui ne sera connue que par vous et qui ne devra pas être publique. Dans l’idéal il ne faudrait pas qu’il s’agisse de votre pseudonyme public. (qui pourra être choisi plus tard)
Une suggestion d’Alex sur GeekPress était d’utiliser un générateur de mot de passe pour le pseudonyme. Pourquoi pas !

Que faire si vous avez choisi « Admin » en guise de pseudo, ou si votre pseudo est votre nom public ?

Vous pouvez en changer. Pour cela voici la marche à suivre :

  1. rendez-vous dans le menu de l’administration Utilisateurs > Ajouter ;
  2. ajoutez un utilisateur qui deviendra le super administrateur ;
  3. renseignez un identifiant personnel, puis vos nom et prénom (ou un pseudo public) ;
  4. choisissez en « Nom à afficher publiquement » un nom différent de votre identifiant (sera composé avec le nom et le prénom si renseignés) ;
  5. enregistrez le nouveau profil ;
  6. supprimez le compte « admin » en n’oubliant pas de vous attribuer les articles si vous en avez déjà écrit.

Un mot de passe costaud

Un mot de passe facile à trouver n’est vraiment pas recommandé (nom commun, prénom, date, etc.)
L’idéal est qu’il soit composé d’au moins 8 caractères comprenant au moins une lettre majuscule, une minuscule, un chiffre et un caractère autre qu’alphanumérique, et que des caractères identiques ne se répètent pas trois fois de suite.
En utilisant ce générateur de mot de passe, en cochant toutes les cases et en choisissant 10 caractères, vous obtiendrez un mot de passe convenable. Si vous possédez déjà votre propre mot de passe, vous pouvez le tester sur http://howsecureismypassword.net/

Changer le préfixe « wp_ » des tables SQL

WordPress possède un certain nombre de tables SQL qu’il installe sur votre base de données.
Par défaut ces tables sont préfixées d’un « wp_ ».

Il est donc facile de connaître le nom des tables si le préfixe n’est pas changé, ce qui facilite d’éventuelles injections SQL.
Pour changer ce préfixe, soit vous avez pris le temps de le faire lors de l’installation de WordPress en changeant la valeur de la variable $table_prefix = 'wp_'; du fichier wp-config.php, soit vous pouvez passer par le plugin WP Security Scan qui propose bien d’autres services à côté de celui-ci.

Le choix du préfixe est à votre convenance, cependant évitez les initiales de votre site (ex: « swp_ » pour SuperWordPress.net), c’est une pratique trop courante.

Clefs uniques d’authentification et salage

WordPress, depuis sa version 2.6.0 propose un système de salage que vous devez utiliser !
Tout se passe dans le fichier wp-config.php, il vous faut remplacer les lignes :

define('AUTH_KEY',         'put your unique phrase here'); 
define('SECURE_AUTH_KEY',  'put your unique phrase here'); 
define('LOGGED_IN_KEY',    'put your unique phrase here'); 
define('NONCE_KEY',        'put your unique phrase here'); 
define('AUTH_SALT',        'put your unique phrase here'); 
define('SECURE_AUTH_SALT', 'put your unique phrase here'); 
define('LOGGED_IN_SALT',   'put your unique phrase here'); 
define('NONCE_SALT',       'put your unique phrase here');

Par celles fournies sur cette page : Service de clefs de salage de WordPress.
Il vous est possible de changer ces clefs à tout moment pour invalider les cookies. Cela forcera tous les utilisateurs à se reconnecter.

Avec la mise en application de ces quelques conseils, vous devriez pouvoir commencer sur de bonnes bases.

Après l’installation

Quelques actions de votre part qui peuvent être bénéfiques pour la sécurité de votre site :

  • Changer régulièrement vos mots de passe
  • Mettez à jour WordPress, vos plugins et vos thèmes si possible
  • Transférez vos fichiers en SFTP lorsque c’est possible (Connect to your WordPress via secure FTP)
  • Faites une sauvegarde régulière de votre base de données et de vos fichiers (notamment ceux de wp-content/)
  • Suivez les prochaines articles de ce dossier