{"id":1981,"date":"2012-02-16T02:23:23","date_gmt":"2012-02-16T01:23:23","guid":{"rendered":"https:\/\/www.creativejuiz.fr\/blog\/?p=1981"},"modified":"2015-01-18T16:13:52","modified_gmt":"2015-01-18T15:13:52","slug":"dossier-wordpress-plugins-ameliorer-securite","status":"publish","type":"post","link":"https:\/\/www.creativejuiz.fr\/blog\/wordpress\/dossier-wordpress-plugins-ameliorer-securite","title":{"rendered":"Dossier WordPress – Quelques plugins pour am\u00e9liorer la s\u00e9curit\u00e9 de WordPress"},"content":{"rendered":"

Notre dossier WordPress sur le sujet de la s\u00e9curit\u00e9 continue. Nous allons voir que certains plugins, vraiment l\u00e9gers, peuvent permettre de s\u00e9curiser assez efficacement votre site contre certaines techniques de piratage. Cependant, les plugins sont paradoxalement une des premi\u00e8res cause de vuln\u00e9rabilit\u00e9 de votre site WordPress.<\/p>\n

Notre premier plugin va donc nous permettre de contr\u00f4ler la s\u00e9curit\u00e9 des autres plugins, si ceux-ci ont d\u00e9j\u00e0 \u00e9t\u00e9 analys\u00e9s, bien entendu.<\/p>\n

V\u00e9rifier la s\u00e9curit\u00e9 des plugins de s\u00e9curit\u00e9…<\/h2>\n

\"\"<\/p>\n

Je ne peux que vous inviter \u00e0 visiter le site de Bo\u00eete \u00e0 Web<\/a> et \u00e9ventuellement installer le plugin de contr\u00f4le de s\u00e9curit\u00e9 des autres plugins WordPress Plugin Security Checker<\/a>.<\/p>\n

Ce plugin met en relation votre installation de plugins \u00e0 la base de donn\u00e9es des plugins analys\u00e9s par Julio Potier, consultant en s\u00e9curit\u00e9 web. Vous pourrez ainsi savoir si vos plugins install\u00e9s sont s\u00e9curis\u00e9s, et, \u00e0 d\u00e9faut, en demander une analyse.<\/p>\n

Limiter le nombre de tentatives de connexion<\/h2>\n

\"\"<\/p>\n

Le plugin Login Lockdown<\/a> permet de limiter le nombre de tentatives de connexion d’une m\u00eame adresse IP sur un certain laps de temps. Le but de ce plugin est de limiter les attaques par force brute.
\nCette technique consiste \u00e0 tester toutes les cl\u00e9s possibles, jusqu’\u00e0 trouver la bonne. C’est une technique longue qui peut n\u00e9cessiter des heures, jours, voire des ann\u00e9es pour trouver votre mot de passe. Cette m\u00e9thode est souvent facilit\u00e9 par l’utilisation d’un dictionnaire (de noms ou mots de passe communs).
\nD’o\u00f9 l’int\u00e9r\u00eat d’avoir un mot de passe complexe.<\/p>\n

Authentification forte<\/h2>\n

\"\"<\/p>\n

Le plugin BAW More Secure Login<\/a> permet d’ajouter un second facteur de s\u00e9curit\u00e9 (en plus de votre mot de passe) lors de l’identification d’un utilisateur. Ce second facteur n’est pas stock\u00e9 en base de donn\u00e9 et doit \u00eatre imprim\u00e9 par vos soins. Il a la forme d’un tableau avec 64 codes. Chacun des codes peut vous \u00eatre demand\u00e9 de mani\u00e8re al\u00e9atoire lors de l’authentification \u00e0 l’interface d’administration.
\nCette carte est renouvelable \u00e0 chaque changement de mot de passe. Il est donc recommand\u00e9 de changer r\u00e9guli\u00e8rement de mot de passe et de carte pour optimiser la s\u00e9curit\u00e9 de la connexion \u00e0 l’interface d’administration de votre site.<\/p>\n

Pour plus de d\u00e9tails je vous invite \u00e0 lire la page d\u00e9di\u00e9e \u00e0 ce plugin : Boite \u00e0 Web – More Secure Login<\/em><\/a><\/p>\n

Ajouter une identification HTTP<\/h2>\n

\"\"<\/p>\n

Gr\u00e2ce au plugin AskApache Password Protect<\/a>, il est possible de rajouter une identification HTTP \u00e0 l’interface d’administration, avant m\u00eame d’arriver sur l’interface de connexion de WordPress. Cette solution un peu trop contraignante pour certains (demande une double authentification) n’a pas grand succ\u00e8s, mais c’est pourtant une bonne solution de s\u00e9curit\u00e9.<\/p>\n

WP AntiVirus<\/h2>\n

WP AntiVirus<\/a> vous permet, entre autre, de scanner votre th\u00e8me courant afin d’y d\u00e9celer les failles courantes.
\nIl surveille les injections malveillantes et vous met en garde contre d’\u00e9ventuelles attaques.
\nCe plugin scan des contenus classiques, il est donc \u00e9vident qu’il risque de louper certaines choses \u00e0 peine cach\u00e9e. Pour plus d’informations sur le fonctionnement de ce plugin, je vous invite \u00e0 lire l’article de Julio au sujet du plugin TAC<\/a>, un outil similaire \u00e0 WP AntiVirus.<\/p>\n

BulletProof Security<\/h2>\n

Le plugin BulletProof Security<\/a> est un outil tr\u00e8s complet qui vous permet de v\u00e9rifier les failles de type : XSS, RFI, CRLF, CSRF, Base64, Code Injection and SQL Injection (Glossaire<\/a>).<\/p>\n

Je vous invite \u00e0 en lire la pr\u00e9sentation sur le site de WordPress.org<\/a>.<\/p>\n

WP Security Scan<\/h2>\n

\"\"<\/p>\n

Le plugin WP Security Scan<\/a> vous permet de cr\u00e9er un backup de votre base de donn\u00e9es, de changer le pr\u00e9fixe des tables de donn\u00e9es de WordPress, de contr\u00f4ler la pr\u00e9sence de fichier .htaccess<\/code> dans certains dossiers, etc.<\/p>\n

Et bien d’autres…<\/h2>\n

… comme :<\/p>\n