{"id":1902,"date":"2012-02-16T02:23:00","date_gmt":"2012-02-16T01:23:00","guid":{"rendered":"https:\/\/www.creativejuiz.fr\/blog\/?p=1902"},"modified":"2015-08-15T17:13:40","modified_gmt":"2015-08-15T15:13:40","slug":"wordpress-conseils-securite-bien-debuter-entretenir-son-site","status":"publish","type":"post","link":"https:\/\/www.creativejuiz.fr\/blog\/wordpress\/wordpress-conseils-securite-bien-debuter-entretenir-son-site","title":{"rendered":"Dossier WordPress – Conseils de s\u00e9curit\u00e9 pour bien d\u00e9buter et entretenir son site."},"content":{"rendered":"

WordPress est un des CMS les plus utilis\u00e9s au monde. Ce succ\u00e8s n’est pas sans risque et va vous obliger \u00e0 prendre de bon r\u00e9flexe d\u00e8s le d\u00e9but de l’aventure.
\nQue vous soyez un d\u00e9veloppeur d\u00e9butant ou aguerri, il y a peut-\u00eatre des conseils qui vous serviront dans ceux qui vont suivre.<\/p>\n

Cet article et le dossier qui suit sont une r\u00e9\u00e9criture compl\u00e9t\u00e9e d’un ancien article de ce blog, il est possible que certains passages vous soient familiers.<\/p>\n

D\u00e8s l’installation<\/h2>\n

\u00c0 l’installation de WordPress, un certains nombre de pi\u00e8ges sont \u00e0 \u00e9viter.<\/p>\n

Le pseudo d’administrateur<\/h3>\n

Il vous faut choisir un pseudo, une information qui ne sera connue que par vous et qui ne devra pas \u00eatre publique. Dans l’id\u00e9al il ne faudrait pas qu’il s’agisse de votre pseudonyme public. (qui pourra \u00eatre choisi plus tard)
\nUne suggestion d’Alex sur GeekPress<\/a> \u00e9tait d’utiliser un g\u00e9n\u00e9rateur de mot de passe<\/a> pour le pseudonyme. Pourquoi pas !<\/p>\n

Que faire si vous avez choisi \u00ab\u00a0Admin\u00a0\u00bb en guise de pseudo, ou si votre pseudo est votre nom public ?<\/strong><\/p>\n

Vous pouvez en changer. Pour cela voici la marche \u00e0 suivre :<\/p>\n

    \n
  1. rendez-vous dans le menu de l’administration Utilisateurs > Ajouter<\/kbd> ;<\/li>\n
  2. ajoutez un utilisateur qui deviendra le super administrateur ;<\/li>\n
  3. renseignez un identifiant personnel, puis vos nom et pr\u00e9nom (ou un pseudo public) ;<\/li>\n
  4. choisissez en \u00ab\u00a0Nom \u00e0 afficher publiquement\u00a0\u00bb un nom diff\u00e9rent de votre identifiant (sera compos\u00e9 avec le nom et le pr\u00e9nom si renseign\u00e9s) ;<\/li>\n
  5. enregistrez le nouveau profil ;<\/li>\n
  6. supprimez le compte \u00ab\u00a0admin\u00a0\u00bb en n’oubliant pas de vous attribuer les articles si vous en avez d\u00e9j\u00e0 \u00e9crit.<\/li>\n<\/ol>\n

    Un mot de passe costaud<\/h3>\n

    Un mot de passe facile \u00e0 trouver n’est vraiment pas recommand\u00e9 (nom commun, pr\u00e9nom, date, etc.)
    \nL’id\u00e9al est qu’il soit compos\u00e9 d’au moins 8 caract\u00e8res comprenant au moins une lettre majuscule, une minuscule, un chiffre et un caract\u00e8re autre qu’alphanum\u00e9rique, et que des caract\u00e8res identiques ne se r\u00e9p\u00e8tent pas trois fois de suite.
    \nEn utilisant ce     g\u00e9n\u00e9rateur de mot de passe<\/a>, en cochant toutes les cases et en choisissant 10 caract\u00e8res, vous obtiendrez un mot de passe convenable. Si vous poss\u00e9dez d\u00e9j\u00e0 votre propre mot de passe, vous pouvez le tester sur http:\/\/howsecureismypassword.net\/<\/a><\/p>\n

    Changer le pr\u00e9fixe \u00ab\u00a0wp_\u00a0\u00bb des tables SQL<\/h3>\n

    \"\"<\/p>\n

    WordPress poss\u00e8de un certain nombre de tables SQL qu’il installe sur votre base de donn\u00e9es.
    \nPar d\u00e9faut ces tables sont pr\u00e9fix\u00e9es d’un \u00ab\u00a0wp_\u00a0\u00bb.<\/p>\n

    Il est donc facile de conna\u00eetre le nom des tables si le pr\u00e9fixe n’est pas chang\u00e9, ce qui facilite d’\u00e9ventuelles injections SQL.
    \nPour changer ce pr\u00e9fixe, soit vous avez pris le temps de le faire lors de l’installation de WordPress en changeant la valeur de la variable $table_prefix = 'wp_';<\/code> du fichier wp-config.php<\/code>, soit vous pouvez passer par le plugin     WP Security Scan<\/a> qui propose bien d’autres services \u00e0 c\u00f4t\u00e9 de celui-ci.<\/p>\n

    Le choix du pr\u00e9fixe est \u00e0 votre convenance, cependant \u00e9vitez les initiales de votre site (ex: \u00ab\u00a0swp_\u00a0\u00bb pour SuperWordPress.net), c’est une pratique trop courante.<\/p>\n

    Clefs uniques d’authentification et salage<\/h3>\n

    WordPress, depuis sa version 2.6.0 propose un syst\u00e8me de salage que vous devez utiliser !
    \nTout se passe dans le fichier wp-config.php<\/code>, il vous faut remplacer les lignes :<\/p>\n

    define('AUTH_KEY',         'put your unique phrase here'); \r\ndefine('SECURE_AUTH_KEY',  'put your unique phrase here'); \r\ndefine('LOGGED_IN_KEY',    'put your unique phrase here'); \r\ndefine('NONCE_KEY',        'put your unique phrase here'); \r\ndefine('AUTH_SALT',        'put your unique phrase here'); \r\ndefine('SECURE_AUTH_SALT', 'put your unique phrase here'); \r\ndefine('LOGGED_IN_SALT',   'put your unique phrase here'); \r\ndefine('NONCE_SALT',       'put your unique phrase here');<\/code><\/pre>\n
    Par celles fournies sur cette page : Service de clefs de salage de WordPress<\/a>.
    \nIl vous est possible de changer ces clefs \u00e0 tout moment pour invalider les cookies. Cela forcera tous les utilisateurs \u00e0 se reconnecter.<\/p>\n
    Avec la mise en application de ces quelques conseils, vous devriez pouvoir commencer sur de bonnes bases.<\/p>\n
    Apr\u00e8s l’installation<\/h2>\n
    Quelques actions de votre part qui peuvent \u00eatre b\u00e9n\u00e9fiques pour la s\u00e9curit\u00e9 de votre site :<\/p>\n