Protégez votre blog WordPress en 3 étapes 1/4

By Grégory 5 février 2013 Blogging, Outils, Tutoriels 6 Comments

Sur Internet il y a des millions de personnes qui surfent chaque jour. Et parmi tout ce monde, malheureusement il existe des hackers. L’objectif des hackers est de détruire le travail des autres. Ils s’attaquent à votre site et le rendent inutilisable.

Bien que WordPress soit mis à jour constamment, votre blog doit être protégé. Pour cela il y a des actions à effectuer et à mettre en place visant à protéger au maximum votre blog WordPress. Nous allons voir dans une série d’articles de 3 étapes chacune, comment bien sécuriser votre blog WordPress.

1/ Utilisez toujours la dernière version de WordPress.

WordPress est sans cesse mis à jour. Les mises à jour consistent à améliorer l’application sur tous les niveaux. Généralement dans les mises à jour on retrouve de nouvelles fonctionnalités et des corrections de bugs (visuels, de sécurités, etc).

Il est donc préférable de toujours utiliser la dernière version de WordPress.

Pour mettre à jour votre blog, rendez-vous sur le tableau de bord de votre blog et cliquez sur « Pensez à faire une mise à jour » tout en haut de votre écran.

Mettez WordPress à jour (après avoir fait une sauvegarde votre blog) en cliquant sur le bouton « Mettre à jour automatiquement » (pour les anciennes versions) ou sur « Mettre à jour » (sur les versions récentes).

2/ Supprimez la version de WordPress dans le code source.

La version de WordPress installé sur votre blog ne doit pas être apparente dans le code source de votre navigateur (clic droit sur la page d’accueil de votre blog -> afficher le code source). WordPress est mis à jour régulièrement pour corriger notamment des failles de sécurités pouvant être exploitées par des hackers.

Donc, si la version de WordPress apparaît dans le code source, certaines personnes peuvent l’utiliser pour vous nuire. Le but étant de l’enlever.

Version de WordPress

Pour l’enlever, c’est très simple. Installez simplement le plugin WP Security Scan

Théoriquement, quand votre plugin est installé et activé, il doit automatiquement enlever la version de WordPress dans le code source de votre blog.

Pour une vérification simple, allez dans le sou-onglet WDS Security de votre plugin. Vous devriez avoir écrit ceci :

Pour une vérification plus poussée, regardez tout en bas à droite de votre écran quand vous êtes connecté sur votre tableau de bord. Vous verrez par exemple « Version 2.8.6« . Allez dans votre code source, faites CTRL+F puis recherchez votre version (WordPress 2.8.6). Elle ne doit plus apparaître.

3/ Supprimez la version de WordPress à la fin des fichiers CSS et JS.

Bien que votre version WordPress n’apparaisse plus, elle est toujours présente dans le code source à la fin de vos fichiers CSS et JS de votre thème.

Plus difficile à repérer, elle se présente sous cette forme : « /css/social.css?ver=2.8.6‘ » L’opération consiste à supprimer le bout de code « ?ver=2.8.6 » sur chaque ligne où elle est présente.

Ouvrez votre logiciel FTP puis rendez-vous à la racine de votre thème soit « /wp-content/themes/Votre-theme/ ». Vous devriez voir votre fichier « Functions.php« . Copiez / collez ce bout de code dans votre fichier (en bas) :

–

//suppression du numéro de version WordPress

function _remove_script_version( $src ){
$parts = explode( ‘?’, $src );
return $parts[0];
}
add_filter( ‘script_loader_src’, ‘_remove_script_version’, 15, 1 );
add_filter( ‘style_loader_src’, ‘_remove_script_version’, 15, 1 );

Quand vous reviendrez sur votre code source, vous ne verrez plus la version de WordPress en bout de chaque fichier JS et CSS.

Conclusion

Voilà déjà 3 étapes à réaliser afin que votre blog ne soit pas à la merci des hackers. Le code source de votre blog ne doit pas afficher des informations pouvant servir aux hackers à détruire votre travail. C’est pour ça qu’il vous faut un blog à jour sans version apparente.

Nous verrons beaucoup d’autres points de sécurité dans les articles à venir. Aviez-vous pensez à enlever totalement la version de WordPress sur votre blog ?

About Author

Grégory

Autodidacte et passionné par le blogging et l'indépendance financière, j'ai décidé de créer Vivez-bloguez.com pour apporter des astuces et des conseils à tous ceux qui souhaitent se lancer dans le blogging et gagner de l'argent. N'hésitez pas à télécharger gratuitement mon livre "Comment créer un blog à succès sur Internet". En savoir plus sur moi.

6 Comments

GeekPress from Sécuriser WordPress 23 février 2013

Par rapport à la suppression de la balise generator de WP, c’est bien de la supprimer, mais ce n’est pas cela qui va permettre d’empêcher un hackeur de trouver la version de votre site WordPress.

Il y a d’autre moyen de le faire rapidement et sans prendre plus de 2 minutes ;)
GeekPress@Sécuriser WordPress Articles récents…Formateur HTML5
Répondre
Jean-Pierre 25 février 2013

Bonjour,
1°Étape suivi à la lettre cela est relativement rapide merci, je passe à l’étape 2.
Juste pour info ne pas confondre Hacker et black cat… les hacker sont des white cat
Jean-Pierre Articles récents…La pyramide
Répondre
sam ventura 6 mai 2013

1) OK

2) rien piger ?, j’ai installé WP Security Scan mais il y a toujours version 3.5.1

3) est ce que sa marche avec Notepad ++, c’est bien tout en bas qu’il faut faire le copier collé
Répondre
- Grégory 6 mai 2013
  
  Salut Sam !
  
  2/ Est-ce que tu as activé le plugin ? Je pense que oui. Normalement, a l’activation WP Security Scan doit t’enlever la version de ton blog. Pourrais-tu me montrer ton blog ?
  
  3/ Oui, tu peux ouvrir ton fichier functions.php avec Notepad++. Tiens ça t’aidera -> Comment modifier les pages de son thème WordPress
  Répondre
sam ventura 7 mai 2013

bonjour Grégory voici mon blog

http://artdutrading.fr/
Répondre
- Grégory 7 mai 2013
  
  Ok, dans le code source de ton blog je ne vois pas la version que tu utilises. Donc WSD Security est bien activé :)
  Répondre