Wordpress
=========



Wordpress est un système de gestion de contenu (CMS) qui permet la création et la gestion de sites ou de blogs de manière simple et rapide.
Nous allons voir dans ce tutoriel comment installer Wordpress tout en respectant les bonnes pratiques de sécurité.


.. image:: images/wp-logo.png
   :align: center







1 - Installer Wordpress
-----------------------

Récupérez Wordpress depuis le `site <https://wordpress.org/download/>`_

Il est recommandé de choisir la dernière version stable de Wordpress pour des raisons de sécurité.

.. note:: Vérifiez la compatibilité de Wordpress avec les versions PHP et MySQL de votre hébergement.


Une fois le téléchargement terminé, faites un clic droit sur l'archive et choisir "Extraire tout...", puis indiquez une destination afin d’extraire vos fichiers dans un nouveau dossier.


**Déposer les fichiers dans votre espace**


Maintenant, il faut déposer les fichiers dans votre espace d'hébergement. Pour cela nous vous recommandons l'utilisation d'un logiciel
de FTP comme Filezilla ou WinScp (voir nos `tutoriaux <https://doc.dri.fr/>`_ à ce sujet).


.. note:: Si votre Wordpress doit être le site principal et être accessible depuis votre domaine www.monsite.com, il faut déposer les fichiers directement sous votre repertoire www. Vous pouvez également créer un sous dossier, par exemple www/blog, si seule une partie de votre site doit être sous Wordpress.


**Créer une base de données**

Il faut maintenant créer une base de données MySQL et un utilisateur avec les bons privilèges. Pour cela, reportez-vous à notre `tutorial <https://doc.dri.fr/>`_

Une fois la base et l'utilisateur créés, récupérez les identifiants qui seront utiles lors des étapes de paramètrages de Wordpress.


**Lancer l'installation**

Rendez-vous sur votre site pour débuter l'installation de Wordpress.

.. image:: images/wp-1.png
   :align: center

Générez le fichier de configuration wp-config.php.

Entrez les informations de connexion à la base de donnée créée précédemment.

.. image:: images/wp-2.png
   :align: center
.. image:: images/wp-3.png
   :align: center

Wordpress va ensuite vérifier que les paramètres sont corrects. Si tout est conforme, il suffit de cliquer sur "lancer l'installation".

Complétez les informations.

L'installation est maintenant terminée.

.. image:: images/wp-4.png
   :align: center



2 - Installer des plugins
-------------------------

Wordpress vous offre la possibilité d'ajouter certaines fonctionnalités via des plugins qui peuvent être téléchargés et installés. Ces extensions peuvent être gratuites ou payantes. Elles permettent d'ajouter un forum, créer des diaporamas, aider à lutter contre le spam, ajouter un cache etc.

Pour installer un plugin, il faut le télécharger et l'uploader dans le répertoire 'wp-content/plugins'. Une fois le plugin installé, vous pouvez l'activer ou le désactiver depuis le menu "Plugins" de l'interface d'administration de votre CMS.

Depuis Wordpress 2.7, il est possible d'installer les plugins directement depuis l'interface d'administration.

Pour certains plugins, l'installation peut être plus complexe et nécessite de se référer à la documentation de l'éditeur.


3 - Mettre à jour Wordpress
---------------------------

**Mise à jour depuis l'interface**

Vous pouvez facilement mettre à jour Wordpress depuis l'interface d'administration.
Lorsqu'une nouvelle version stable est disponible, une notification apparait dans l'interface.

Nous vous recommandons de faire une sauvegarde de votre installation avant de lancer le processus de mise à jour.
Lorsque vous êtes prêt cliquez sur **"Mettre à jour"**.
Pour des raisons de sécurité, il est fortemment conseillé de tenir Wordpress à jour car les dernières versions corrigent des failles de sécurité qui peuvent compromettre votre CMS.

**Mise à jour automatique**

.. warning:: Ces manipulations nécessitent la modification de fichiers de configuration.


Depuis la version 3.7, Wordpress inclut une fonction de mise à jour automatique en cas de sortie d'une version mineure.
Par exemple, si vous utilisez une version 3.7.0 et que la version 3.7.1 est publiée, le CMS se mettra à jour automatiquement.
Pour les versions majeures (3.7 -> 3.8), il faudra lancer la mise à jour manuellement.

Pour activer les mises à jour majeures automatiquement, il faut éditer le fichier **wp-config.php** ainsi :

Wordpress
"""""""""""""""""""""""""""""
.. code-block::

   define('WP_AUTO_UPDATE_CORE', true);



Plugins
"""""""""""""""""""""""""""""
.. code-block::

   add_filter( 'auto_update_plugin', '__return_true' );

Thèmes
"""""""""""""""""""""""""""""
.. code-block:: apache

   add_filter( 'auto_update_theme', '__return_true' );


Il suffit de remplacer la valeur 'true' par 'false' pour désactiver les mises à jour automatiques.



4 - Renforcer la sécurité
-------------------------

**Garder une version à jour**

Il est important de garder Wordpress ainsi que ses plugins à jour, la plupart des nouvelles versions incluant des patchs de sécurité.

**Protéger son interface d'admin**

L'interface d'administration doit être idéalement limitée aux seuls utilisateurs autorisés à s'y connecter et à modifier le CMS.
Une méthode efficace est de n'autoriser que votre adresse IP publique à accéder à l'interface. Pour récupérer votre adresse IP publique, vous pouvez vous rendre sur https://ip.dri.fr/

Une fois cette information récupérée, créez dans le repertoire **/wp-admin/** un fichier **.htaccess** :

Exemple de restriction sur IP sur wp-login.php
""""""""""""""""""""""""""""""""""""""""""""""
.. code-block:: apache

 <Files wp-login.php>
 order deny,allow
 Deny from all
 Allow from xx.xxx.xxx.xxx
 </Files>

Autoriser une seule IP à acceder à wp-admin
"""""""""""""""""""""""""""""""""""""""""""

.. code-block:: apache

  order deny,allow
  Deny from all
  Allow from xx.xxx.xxx.xxx


.. note:: Si vous souhaitez autoriser plusieurs IP, il suffit de rajouter des lignes "Allow from...".


.. warning:: Chez certains FAI, vous ne disposerez pas d'une IP fixe, celle-ci peut donc changer et vous bloquer l'accès à l'interface d'admin.


Le plugin `Limit Login Attempts  <https://wordpress.org/plugins/limit-login-attempts/>`_ vous permet de bloquer une adresse IP après plusieurs tentatives de connexion. Cela constitue une protection efficace contre les attaques de type "brute-force"


**Changer l'utilisateur admin**

La plupart des hackers vont tenter de se connecter en utilisant le login **admin**
Il est préférable de choisir un autre nom d'utilisateur lors des étapes d'installation de Wordpress.

**Choisir un mot de passe suffisamment complexe**

Eviter les mots de passe génériques comme AZERTY, 123456. Utilisez un mot de passe complexe à base de chiffres, majuscules et caractères spéciaux.


**Vérifier que votre poste est bien protégé**

Si votre PC est infecté par un virus ou un malware, un hacker peut avoir accès à vos fichiers Wordpress en local et donc vos identifiants. Il est donc important d'avoir un programme antivirus à jour.