Wordpress¶
Wordpress est un système de gestion de contenu (CMS) qui permet la création et la gestion de sites ou de blogs de manière simple et rapide. Nous allons voir dans ce tutoriel comment installer Wordpress tout en respectant les bonnes pratiques de sécurité.
1 - Installer Wordpress¶
Récupérez Wordpress depuis le site
Il est recommandé de choisir la dernière version stable de Wordpress pour des raisons de sécurité.
Note
Vérifiez la compatibilité de Wordpress avec les versions PHP et MySQL de votre hébergement.
Une fois le téléchargement terminé, faites un clic droit sur l’archive et choisir « Extraire tout… », puis indiquez une destination afin d’extraire vos fichiers dans un nouveau dossier.
Déposer les fichiers dans votre espace
Maintenant, il faut déposer les fichiers dans votre espace d’hébergement. Pour cela nous vous recommandons l’utilisation d’un logiciel de FTP comme Filezilla ou WinScp (voir nos tutoriaux à ce sujet).
Note
Si votre Wordpress doit être le site principal et être accessible depuis votre domaine www.monsite.com, il faut déposer les fichiers directement sous votre repertoire www. Vous pouvez également créer un sous dossier, par exemple www/blog, si seule une partie de votre site doit être sous Wordpress.
Créer une base de données
Il faut maintenant créer une base de données MySQL et un utilisateur avec les bons privilèges. Pour cela, reportez-vous à notre tutorial
Une fois la base et l’utilisateur créés, récupérez les identifiants qui seront utiles lors des étapes de paramètrages de Wordpress.
Lancer l’installation
Rendez-vous sur votre site pour débuter l’installation de Wordpress.
Générez le fichier de configuration wp-config.php.
Entrez les informations de connexion à la base de donnée créée précédemment.
Wordpress va ensuite vérifier que les paramètres sont corrects. Si tout est conforme, il suffit de cliquer sur « lancer l’installation ».
Complétez les informations.
L’installation est maintenant terminée.
2 - Installer des plugins¶
Wordpress vous offre la possibilité d’ajouter certaines fonctionnalités via des plugins qui peuvent être téléchargés et installés. Ces extensions peuvent être gratuites ou payantes. Elles permettent d’ajouter un forum, créer des diaporamas, aider à lutter contre le spam, ajouter un cache etc.
Pour installer un plugin, il faut le télécharger et l’uploader dans le répertoire “wp-content/plugins”. Une fois le plugin installé, vous pouvez l’activer ou le désactiver depuis le menu « Plugins » de l’interface d’administration de votre CMS.
Depuis Wordpress 2.7, il est possible d’installer les plugins directement depuis l’interface d’administration.
Pour certains plugins, l’installation peut être plus complexe et nécessite de se référer à la documentation de l’éditeur.
3 - Mettre à jour Wordpress¶
Mise à jour depuis l’interface
Vous pouvez facilement mettre à jour Wordpress depuis l’interface d’administration. Lorsqu’une nouvelle version stable est disponible, une notification apparait dans l’interface.
Nous vous recommandons de faire une sauvegarde de votre installation avant de lancer le processus de mise à jour. Lorsque vous êtes prêt cliquez sur « Mettre à jour ». Pour des raisons de sécurité, il est fortemment conseillé de tenir Wordpress à jour car les dernières versions corrigent des failles de sécurité qui peuvent compromettre votre CMS.
Mise à jour automatique
Avertissement
Ces manipulations nécessitent la modification de fichiers de configuration.
Depuis la version 3.7, Wordpress inclut une fonction de mise à jour automatique en cas de sortie d’une version mineure. Par exemple, si vous utilisez une version 3.7.0 et que la version 3.7.1 est publiée, le CMS se mettra à jour automatiquement. Pour les versions majeures (3.7 -> 3.8), il faudra lancer la mise à jour manuellement.
Pour activer les mises à jour majeures automatiquement, il faut éditer le fichier wp-config.php ainsi :
Wordpress¶
define('WP_AUTO_UPDATE_CORE', true);
Plugins¶
add_filter( 'auto_update_plugin', '__return_true' );
Thèmes¶
add_filter( 'auto_update_theme', '__return_true' );
Il suffit de remplacer la valeur “true” par “false” pour désactiver les mises à jour automatiques.
4 - Renforcer la sécurité¶
Garder une version à jour
Il est important de garder Wordpress ainsi que ses plugins à jour, la plupart des nouvelles versions incluant des patchs de sécurité.
Protéger son interface d’admin
L’interface d’administration doit être idéalement limitée aux seuls utilisateurs autorisés à s’y connecter et à modifier le CMS. Une méthode efficace est de n’autoriser que votre adresse IP publique à accéder à l’interface. Pour récupérer votre adresse IP publique, vous pouvez vous rendre sur https://ip.dri.fr/
Une fois cette information récupérée, créez dans le repertoire /wp-admin/ un fichier .htaccess :
Exemple de restriction sur IP sur wp-login.php¶
<Files wp-login.php>
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
</Files>
Autoriser une seule IP à acceder à wp-admin¶
order deny,allow
Deny from all
Allow from xx.xxx.xxx.xxx
Note
Si vous souhaitez autoriser plusieurs IP, il suffit de rajouter des lignes « Allow from… ».
Avertissement
Chez certains FAI, vous ne disposerez pas d’une IP fixe, celle-ci peut donc changer et vous bloquer l’accès à l’interface d’admin.
Le plugin Limit Login Attempts vous permet de bloquer une adresse IP après plusieurs tentatives de connexion. Cela constitue une protection efficace contre les attaques de type « brute-force »
Changer l’utilisateur admin
La plupart des hackers vont tenter de se connecter en utilisant le login admin Il est préférable de choisir un autre nom d’utilisateur lors des étapes d’installation de Wordpress.
Choisir un mot de passe suffisamment complexe
Eviter les mots de passe génériques comme AZERTY, 123456. Utilisez un mot de passe complexe à base de chiffres, majuscules et caractères spéciaux.
Vérifier que votre poste est bien protégé
Si votre PC est infecté par un virus ou un malware, un hacker peut avoir accès à vos fichiers Wordpress en local et donc vos identifiants. Il est donc important d’avoir un programme antivirus à jour.