Security Blog
Security Blog
Posted By Gregory

Transformez votre WordPress en Fort Knox

Comment transformer WordPress en une forteresse protégée comme Fort Knox

English version: Turn your WordPress into Fort Knox


Cet article suppose que nous voulons obtenir un site Web protégé par balles alimenté par WordPress. Il ne s'agit pas nécessairement de suivre toutes les étapes suivantes mot pour mot et point par point exactement comme décrit. Mais je le recommande si vous voulez créer votre propre Fort Knox.

Certaines des étapes suivantes peuvent être à l'origine de problèmes d'incompatibilité avec certains plugins étranges qui tentent de modifier des fichiers directement dans les dossiers WordPress. Je recommande d'ignorer tous les plugins de ce type, car leur utilisation peut entraîner de nombreux problèmes et problèmes de sécurité immédiatement ou à l'avenir, lorsque les pirates ont étudié des trous dans les plugins ou le thème installé sur votre site. J'ai créé cet article dans l'espoir qu'il sera utile, mais sans aucune garantie.

Remarque : cet article ne s'applique pas si vous utilisez un hébergement mutualisé. Vous devez avoir au moins un site hébergé par VPS.

Exigences : accès root au serveur Linux sur lequel votre site Web est hébergé. Si vous n'avez pas d'accès au shell avec les privilèges root, vous ne pouvez rien faire d'utile pour créer un véritable site Web protégé. Il n'y a aucun moyen ou aucun plugin qui puisse protéger WordPress et les fichiers de ses répertoires au niveau PRO. Tous les plugins de sécurité ont le même niveau de privilèges (autorisations) que les pirates et les bots. Pas exception. Si un plugin de sécurité a apporté des modifications aux fichiers de votre site Web pour les protéger, tout pirate ou code malveillant peut ANNULER ces modifications ou supprimer la protection.

Voici quelques points importants sur mon approche

  • Tous les fichiers de code (code PHP) et tous les fichiers .htaccess doivent être protégés en écriture. Pas exception

  • Nous devons changer tous les paramètres par défaut (dossier, cookies, chemin de connexion, tout autre point de repère) à des valeurs différentes

  • Nous ne devons pas utiliser de plugins ou de thèmes qui fonctionnent avec et essayer de modifier les fichiers PHP ou .htaccess dans les dossiers WordPress

La première étape. Installer WordPress

N'utilisez pas le préfixe wp_ par défaut pour les tables de base de données. Utilisez plutôt quelques ou trois symboles alphabétiques. Certaines attaques et attaquants spécifiques à WordPress supposent que le préfixe de la table est wp_ . Changer de préfixe nous aide à bloquer certaines attaques par injection SQL.

Deuxième étape. Durcissement du site Web au niveau de WordPress

  1. Déplacez le dossier de téléchargement vers le haut d'un niveau, de l'intérieur du dossier /wp-content/ vers la racine de votre dossier d'installation WordPress.

  2. Renommez le dossier de téléchargement en média (ou quelque chose comme ça, comme vous voulez).

  3. Renommez le dossier wp-content en content (ou quelque chose comme ça, comme vous voulez).

  4. Renommez le dossier des plugins en mod (ou quelque chose comme ça, comme vous voulez).

  5. Ajoutez les lignes suivantes au début du fichier wp-config.php , n'oubliez pas de changer media , content , mod par les valeurs réelles que vous avez précédemment choisies . 
     définir('AUTOMATIC_UPDATER_DISABLED', true ); // oui, c'est sûr de le faire manuellement
    
définir('DISALLOW_FILE_EDIT', vrai ); // nous ne permettons à personne de toucher à vos fichiers
    
définir ('DISALLOW_FILE_MODS', vrai); // oui, c'est sûr de le faire manuellement
    
définir('FS_METHOD', 'direct'); // pas de FTP bien sûr
    
définir('WP_HTTP_BLOCK_EXTERNAL', vrai );
    
définir ('TÉLÉCHARGEMENTS', ' médias ' ); // nous avons renommé les téléchargements et les avons déplacés vers le haut
    
définir('WP_CONTENT_DIR', '/path/to/wordpress/dir/ content '); // pas de nom d'hôte, pas de barre oblique à la fin
    
définir('WP_CONTENT_URL', 'http://example.com/ content ');
    
définir('WP_PLUGIN_DIR', '/path/to/wordpress/dir/ content / mod '); // pas de nom d'hôte, pas de barre oblique à la fin
    
définir(' WP_PLUGIN_URL ', ' http://example.com/content/mod ');
    
ini_set('display_errors',0); // désactiver l'affichage des erreurs PHP sur le front-end

Troisième étape. Modifier le nom des cookies par défaut.

Ajoutez ces lignes au début du fichier wp-config.php

 définir('USER_COOKIE', 'my_user_cookie' ); // changez-le en quelque chose de différent

définir('PASS_COOKIE', 'my_pass_cookie' ); // changez-le en quelque chose de différent

définir('AUTH_COOKIE', 'my_auth_cookie' ); // changez-le en quelque chose de différent

définir('SECURE_AUTH_COOKIE', 'mon_sec_cookie' ); // changez-le en quelque chose de différent

define('LOGGED_IN_COOKIE', 'my_logged_cookie' ); // changez-le en quelque chose de différent

définir('TEST_COOKIE', 'mon_test_cookie' ); // changez-le en quelque chose de différent

Quatrième étape. Installez un plugin de sécurité immédiatement après l'installation de WordPress

Protégez votre page de connexion avec WP Cerber Security . Même avec ces étapes de protection ci-dessus, les pirates essaieront d'appliquer des attaques par force brute (tentatives de connexion) pour casser la porte de votre site Web WordPress. Cachez et fermez cette porte avec WP Cerber.

Cinquième étape. Renforcement du site Web au niveau du serveur.

À cette étape, je suppose que vous utilisez un serveur avec Apache en tant que serveur http. Nous devons changer le propriétaire de tous les fichiers WordPress, y compris les plugins et les thèmes. Par défaut cet utilisateur est apache . Nous devons le changer pour un autre utilisateur, que vous avez créé à cet effet auparavant. Disons que cet utilisateur est cerber .

  1. Placez le fichier .htaccess dans le dossier multimédia (votre nouveau dossier de téléchargement) avec la directive suivante. Cela empêche le site Web d'exécuter du code PHP malveillant téléchargé. 
     moteur php_flag désactivé

    Remarque : Le fichier de configuration Apache doit contenir la directive AllowOverride Options pour votre dossier de téléchargement ou l'un de ses dossiers parents pour que cette directive fonctionne.

  2. Pour l'intégralité du répertoire du site Web (/path/to/wordpress/dir), modifiez le propriétaire et les autorisations pour tous les fichiers. Pour ce faire, exécutez les commandes suivantes dans le shell. 
     trouver /chemin/vers/wordpress/dir -exec chown cerber:root {} +
    
trouver /chemin/vers/wordpress/dir -type d -exec chmod 755 {} +
    
trouver /chemin/vers/wordpress/dir -type f -exec chmod 644 {} +

  3. Pour le répertoire de téléchargement (/path/to/wordpress/dir/ media ), nous devons définir des autorisations spéciales. Faisons cela en utilisant les commandes exec dans le shell 
     trouver /chemin/vers/wordpress/dir/ media -exec chown cerber:apache {} +
    
trouver /chemin/vers/wordpress/dir/ media -type d -exec chmod 775 {} +
    
trouver /chemin/vers/wordpress/dir/ media -type f -exec chmod 664 {} +

  4. Configurez la structure du permalien dans les paramètres de WordPress, puis modifiez l'autorisation du fichier .htaccess pour le protéger en écriture. 
     chown cerber:racine /chemin/vers/wordpress/dir/.htaccess
    
chmod 644 /chemin/vers/wordpress/dir/.htaccess

  5. Déplacez le fichier wp-config.php dans le répertoire au-dessus de votre répertoire d'installation WordPress.

Sixième étape. Renforcement du site Web au niveau du serveur NGINX

Lisez ici : Renforcer WordPress avec WP Cerber et NGINX

Septième étape. Renforcer le site Web avec Fail2Ban

Lisez ici : Comment protéger WordPress avec Fail2Ban

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.