Dec 19, 2018
152 Vues
0 0

La bonne configuration wp-config à adopter

Ecrit par

Surveillez la bonne configuration wp-config pour vous assurer une bonne sécurisation lors de l’nstallation de votre blog WordPress . WordPress est l’application Web la plus fréquemment installée dans le monde. Le système est exploité non seulement par des développeurs expérimentés, mais également par des débutants. Dans cet article de blog, nous résumons les éléments à surveiller lors de la configuration de la sécurité de votre installation WordPress.

En raison de la distribution énorme et de la multitude de plugins, WordPress est également une cible très populaire pour les attaquants. Cette aide-mémoire se concentre sur la bonne configuration wp-config.php fichier et met en évidence les paramètres importants à vérifier lors de la configuration de votre installation WordPress sécurisée.

1. Désactiver le débogage

La fonctionnalité de débogage ne doit pas être active dans un environnement de production, car elle pourrait fournir des informations utiles aux attaquants potentiels.

Les informations de débogage sont très utiles lors du développement d’une application WordPress. Cependant, il est important de s’assurer que le paramètre est défini sur false avant de charger le système sur un serveur distant. Les erreurs doivent être consignées, mais ne doivent pas être visibles par les utilisateurs non autorisés.

Dans la majorité des cas vous aurez ceci

wp-debug

Je vous conseille de rajouter à cet endroit ce code (on en profite pour augmenter la taille pour les échanges de données, les deux pour la langue ne sont pas obligatoires).

*/
define(‘WP_DEBUG’, false);
define( ‘WP_DEBUG_LOG’, true );
define( ‘WP_DEBUG_DISPLAY’, false );
define( ‘WP_MEMORY_LIMIT’, ’64M’ );
define( ‘WP_MAX_MEMORY_LIMIT’, ‘256M’ );
define( ‘WPLANG’, ‘fr_FR’ );
define( ‘WP_LANG_DIR’, dirname(__FILE__) . ‘/wordpress/languages’ );

2. Utiliser des informations d’identification de base de données solides

Chaque installation WordPress doit avoir sa propre base de données avec un utilisateur dédié et un mot de passe sécurisé et unique.

Lors de l’installation de WordPress, un préfixe de table peut être spécifié. Cela peut vous permettre d’exécuter plusieurs installations à l’aide d’une base de données. Cependant, le partage d’une base de données entre différentes installations est dangereux car si l’une des instances est piratée, les autres installations sont également exposées. Pour faire simple, la régle est d’avoir une base de données bien distinct pour chaque site avec un préfixe bien différent. 

acces-bdd

En outre, vous devez éviter d’utiliser le compte racine de la base de données, car il dispose d’un accès complet à toutes les bases de données du serveur. Pour faire simple, on évitera qu’un utilisateur ai accès à toutes les bases 

3. Utilisez des clés d’authentification et des salage uniques

Les sels et les clés doivent être uniques pour chaque installation WordPress, car c’est le seul moyen d’assurer une gestion sécurisée des utilisateurs.

Les sels et les clés sont importants pour différentes fonctionnalités dans une application WordPress. Entre autres choses pour un login sécurisé et une gestion de session. Les valeurs sont automatiquement choisies de manière aléatoire lors de l’installation. Cependant, une installation WordPress peut être dupliquée. Lors du déploiement, il est conseillé de générer de nouvelles valeurs pour ces constantes. Ces valeurs peuvent être récupérées via l’API suivante https://api.wordpress.org/secret-key/1.1/salt/

cle-salage

4. Utiliser le cryptage SSL

Personne ne devrait être capable de lire le trafic entre votre serveur et vos utilisateurs. Utilisez le cryptage SSL et forcez WordPress à n’utiliser que ce type de connexion.
Il est maintenant courant de chiffrer votre trafic. De nombreux fabricants de navigateurs considèrent les connexions non chiffrées comme dangereuses.(de toute manière vous n’avez plus vraiment le choix actuellement car cela devient presque une norme d’être au format https )

Les hébergeurs Web offrent souvent à leurs clients des certificats gratuits simples pour activer le cryptage SSL. Des fournisseurs comme Let’s Encrypt offrent également des certificats gratuits.

On peut ajouter ce code

define(‘WP_SITEURL’, ‘https://www.mydomain.com’);
define(‘WP_HOME’, ‘https://www.mydomain.com’);

define( ‘FORCE_SSL_ADMIN’, true );
define( ‘FORCE_SSL_LOGIN’,true );

5. Interdire la réparation de la base de données

WordPress prend en charge la réparation automatique de la base de données. Cela ne devrait pas être possible sans une sauvegarde de la base de données.

Le chemin wp-admin / maint / repair.php, que toute personne disposant d’autorisations suffisantes peut appeler, déclenche ce processus automatique. Cela peut être utile pour un schéma de base de données cassé ou fragmenté. Cela ne devrait jamais être fait sans une sauvegarde appropriée de la base de données.

Pour éviter la réparation auto

define ( ‘WP_ALLOW_REPAIR’, false );

6. Activer ou désactiver la mise à jour automatique de sécurité

Votre WordPress doit toujours être à jour pour pouvoir résister aux dernières attaques. Activer les mises à jour de sécurité automatiques. Je vous conseille cependant d’aller lire cet article avant de faire ça “X conseils pour améliorer la sécurité de votre site

WordPress étant une application très répandue, de nombreux attaquants testent les vulnérabilités connues dans les installations obsolètes. N’oubliez pas d’effectuer une sauvegarde avant chaque mise à niveau principale , afin que seule la mise à jour mineure contenant les correctifs de sécurité actuels soit installée automatiquement.

/* Active les mises à jour automatiques WordPress */
define( ‘WP_AUTO_UPDATE_CORE’, true );

/* Désactive les mises à jour automatiques WordPress */
define( ‘WP_AUTO_UPDATE_CORE’, false );

/* Active les mise à jours automatiques mineures de WordPress */
define( ‘WP_AUTO_UPDATE_CORE’, ‘minor’ );

7. Bloquer la demande externe

L’accès de votre installation à des ressources externes doit être restreint. Il est conseillé de n’accepter que des sources fiables.

Non seulement l’accès externe à WordPress doit être sécurisé, mais également l’accès du système aux ressources externes. Ici, le principe de la liste blanche au lieu de la liste noire s’applique.

define( ‘WP_HTTP_BLOCK_EXTERNAL’, true );
define( ‘WP_ACCESSIBLE_HOSTS’, ‘api.wordpress.org, *.github.com’ );

Il sera préférable de sécuriser davantage, en pratiquant un vrai politique de sécurité => Sécurité Haut de gamme 

8. Interdire les modifications de fichier

Interdisez la modification des lignes de code dans les plugins et les thèmes par vos administrateurs et éditeurs. Désactiver l’éditeur de fichier pour toutes les extensions.

En manipulant du code, une extension de confiance peut devenir une passerelle pour les attaquants.

On peut rajouter ce code pour éviter cela :

define( ‘DISALLOW_FILE_EDIT’, true);

9. Désactiver les extensions d’installation

Pour renforcer complètement votre installation, vous pouvez empêcher toute modification de votre système en interdisant l’installation de plug-ins et de thèmes.

Les thèmes et les plugins peuvent non seulement apporter des avantages à votre WordPress. Vous devez faire confiance aux créateurs de ces extensions. Activez cette barrière pour empêcher vos administrateurs et vos éditeurs de charger des extensions non fiables.

On peut rajouter ce code pour éviter cela :

define( ‘DISALLOW_FILE_MODS’, true );

Bon nombre de ces paramètres sont définis correctement par défaut lors de l’installation de WordPress, tandis que d’autres peuvent être modifiés pour renforcer votre sécurité. Notez que tous les paramètres suggérés pour une configuration sécurisée peuvent ne pas convenir à votre application, en fonction de son environnement et de son stade de développement. À l’aide d’ outils d’analyse statique , ces paramètres, ainsi que d’autres, peuvent également être vérifiés automatiquement.

Article traduit et inspirer de “Aide-mémoire sur la configuration de WordPress”

Catégories d'articles :
Sécurisation de site PME · WordPress
Découvrez la SEULE méthode efficace qui a fait ses preuves. Si vous avez des objectifs et des aspirations, que vous avez essayé de plusieurs méthodes sans résultats.
Découvrez comment utiliser "Kaizen" pour transformer complètement votre vie.
Rendez-vous sur cette adresse "Kaizen, de petits changement pour obtenir des résultats"pub-1% meilleur chaque jour

Leave a Reply

Your email address will not be published. Required fields are marked *

six − 4 =