18.1 Précautions lors de l'installation initiale du site

Lors de l'installation initiale de WordPress, vous devez respecter les consignes suivantes :

• Le compte qui permet d'accéder au panneau de configuration NE DOIT PAS porter le nom admin (voir la fiche Modifier l'usager administrateur du site).
• Dans la base de données, le nom des tables NE DOIT PAS débuter par wp_ (voir la fiche Renommer les tables WordPress).
• Dans le fichier wp-config.php, prenez soin de générer les clés d'authentification selon la procédure indiquée.

  Ex :

  Fichier wp-config.php

  /**#@+

   * Clefs uniques d'authentification et salage.

   *

   * Remplacez les valeurs par défaut par des phrases uniques !

   * Vous pouvez générer des phrases aléatoires en utilisant

   * {@link https://api.wordpress.org/secret-key/1.1/salt/ le service de clefs secrètes de WordPress.org}.

   * Vous pouvez modifier ces phrases à n'importe quel moment, afin d'invalider tous les cookies existants.

   * Cela forcera également tous les utilisateurs à se reconnecter.

   *

   * @since 2.6.0

   */

  define('AUTH_KEY',         'E@&0zPGi1M~eI2Q1v>>Q3N:%O1H&kRN;$+6O(M! H;|+3aTmH7z8E>pG.NVttVds');

  define('SECURE_AUTH_KEY',  'V*BA/Vi#Zyj7_EwJnw$R|7TMboqn92|2C-?gB>g3 m,++cZ+|C$2dUSC9z_Lz{Z6');

  define('LOGGED_IN_KEY',    'eD*cSKR9h4GY;SmlT>}l|d-g4WG;~TSy_gfG9 u0MT/TpaX-6V2._0[HYB%WyyNp');

  define('NONCE_KEY',        'Sp]HIK[hzMHX,z-:j<X2l?C#,l-W.>kn 8b,4I&*l7oC*n#!|*e|@ 0C)!k+dUcq');

  define('AUTH_SALT',        'BZ9b=EyK|wU4[aSkuIyu|=8ypcKyDJk WI?^GzuI8ult/q[6^y(=C;Vor49_UjN{');

  define('SECURE_AUTH_SALT', 'Y v_Ea3|[n|SP<C-n7(q|pUSi-37x]socWRhq3#oM2[|x<DqKgoU1yeP,f-4$vyp');

  define('LOGGED_IN_SALT',   '=j.[>xDBE=-ZX7Qv-k|@L]:qUfYi]$3WtHQmv^6t<Uae{ap^JJ$P,NYii!:5><cT');

  define('NONCE_SALT',       '_c40[kkC~m!C^{2wlK$_=VzMPnfEx6E]gZ8Cqdq _pOWbsa1$WC7Kn%tnA,h?c?-');

  /**#@-*/

• Cachez le numéro de version de WordPress afin que les hackers ne puissent trouver rapidement les failles de sécurité (vous devez d'abord développer votre thème enfant). Voir : Cacher le numéro de version de WordPress tout en gérant le cache des fichier .css et .js.
• Assurez-vous que le dossier plugins ne contienne que les extensions que votre site utilise. Si vous désirez tout de même conserver une extension qui n'est pas utilisée, déplacez ses fichiers dans le dossier dev.
• Assurez-vous que le dossier themes ne contienne que le thème que le site utilise ainsi que son thème parent s'il y a lieu.

Pour plus d'information

« 14 astuces indispensables pour sécuriser votre site WordPress ». WordPress Channel. http://wpchannel.com/14-astuces-securiser-site-wordpress/

« 7 conseils pour sécuriser votre WordPress et éviter que ce soit un véritable gruyère ». Geek press. http://www.geekpress.fr/wordpress/guide/7-conseils-securite-wordpress-802/

« Sécuriser son blog WordPress et lutter contre le spam – Manuel de Combat ». Lashon. http://lashon.fr/securite-informatique/wordpress-antispam-securite-site-web/

« FAQ My site was hackedFAQ My site was hacked ». Codex WordPress. http://codex.wordpress.org/FAQ_My_site_was_hacked

« Useful WordPress Configuration Tricks That You May Not Know ». wpbeginner. http://www.wpbeginner.com/wp-tutorials/useful-wordpress-configuration-tricks-that-you-may-not-know/

« Stop Getting Hacked: 8 WordPress Security Tips To Keep Hackers At Bay ». CloudWays. http://www.cloudways.com/blog/wordpress-hacked-8-tips-to-harden-wordpress-security/

« WordPress Themes: XSS Vulnerabilities and Secure Coding Practices ». Sucuri blog. http://blog.sucuri.net/2012/10/wordpress-themes-xss-vulnerabilities-and-secure-coding-practices.html

« Common WordPress Malware Infections ». Smashing magazine. http://www.smashingmagazine.com/2012/10/09/four-malware-infections-wordpress/

« How to secure your Wordpress? ». SmarterASP.net. http://www.smarterasp.net/support/kb/a1495/how-to-secure-your-wordpress.aspx?KBSearchID=213202