Sécuriser et protéger WordPress avec HideMyWP

Suite aux dernières attaques massives visant les sites WordPress ou l’on a vu pas moins de 90000 sites attaqués courant avril 2013, il est impensable aujourd’hui de laisser son WP sans un minimum de protection…

Je ne vais pas parler dans ce billet des précautions d’usage primordiales telles que renommer l’admin, protéger ses dossiers, etc, pour cette partie je vous conseille la lecture de l’article 11 conseils de sécurité pour WordPress.

Parmi certaines solutions et divers plugins "sécurité", j’avais opté pour Login Ninja permettant de durcir/contrôler le login de mon WordPress et de bannir automatiquement les IP insistantes;)

C’est une bonne solution mais hélas, les robots et programmes sont de plus en plus nombreux et grands consommateurs de bande passante.

Cette solution ne me convenait donc plus alors j’ai cherché et trouvé un plugin qui propose un angle différend… Au lieu de verrouiller, il camoufle/cache le fait que l’on utilise un WordPress et cela fait une grande différence!

 

HideMyWP le plugin

Hide My WP contrôle l’accès aux fichiers PHP, il protège votre site de 95% des injections SQL et des attaques XSS. Les pirates, spammeurs et les robots ne peuvent pas reconnaître votre WordPress et de fait, vous ignorent!

Aucun changement de fichiers ou de dossiers, tous restent dans leur emplacement par défaut! Il s’agit simplement d’en contrôler l’accès, ce qui garantit une compatibilité maximale du plugin.

 

Personne ne doit savoir que vous utilisez WordPress

Le principe est très simple, si vous ne savez pas que j’utilise un site WordPress alors vous n’essayerez pas de pirater un WordPress!

HideMyWP cache vos fichiers sensibles:

• monsite.com/wp-login.php
• monsite.com/wp-admin/

Changer le répertoire de thèmes WordPress:

• /wp-content/themes/twentytwelve/style.css
• /template/twentytwelve/style.css

Changer le répertoire des plugins et hasher le nom des plugins

• /modules/0f6a208e/shortcodes.css (au lieu de: / wp-content/plugins/zilla-shortcodes/shortcodes.css)
• /modules/0f6a208e/shortcodes.php – 404 Not found! (en refuser l’accès)

Changer l’url téléchargement, le dossier wp-includes, l’url AJAX, etc…

• monsite.com / mesfichiers/ landscape.jpg (au lieu de: … / wp-content/uploads/landscape.jpg)
• monsite.com / mylibs / js / jquery / jquery.js (au lieu de: … / wp-includes/js/jquery/jquery.js)
• monsite.com / ajax.php  (au lieu de: … / wp-admin/admin-ajax.php)

Déterminer si le site est un WordPress:

• Essayer la détection via http://whatwpthemeisthat.com/

 

Et encore un peu plus…

• Remplacer n’importe quel mot dans votre fichier HTML de sortie
• Vous avertit lorsque quelqu’un est redirigé sur votre site WordPress ( avec les détails de visiteurs,IP utilisateur, référent et même pseudo!)
• Compresser le html en sortie et supprimer les commentaires dans le code source
• Retirer les META infos WordPress et le flux RSS
• Changer l’adresse par défaut d’envoi email WordPress
• Page 404 personnalisée ou du thème
• Retirer les classes menu inutiles
• Nettoyer les classes body
• etc…

 

 

La Foire aux Questions… Légitimes…

Est-ce que ça change physiquement mes dossiers et fichiers WordPress ?
Non, tout reste à son emplacement par défaut, HideMyWP vient simplement en contrôler l’accès. Ceci garantit une compatibilité maximale.

Je cache à la fois wp-login et wp-admin, mais je peux encore les voir. Pourquoi ?
Parce que vous êtes un administrateur connecté! Déconnectez-vous et réessayez. N’oubliez pas d’enregistrer la nouvelle adresse de connexion quelque part.

Je ne peux pas me connecter, que dois-je faire maintenant ?
Lorsque vous masquez wp-login.php vous devez ajouter votre mot-clé Admin pour vous connecter. Adresse: ?. par exemple votresite.com/wp-login.php hide_my_wp = 1234 (1234 est la clé par défaut) Si vous avez d’autres problèmes il suffit d’utiliser votre FTP ou un gestionnaire de fichiers et de renommer le dossier plugin en autre chose (en wp-content/plugins), il désactivera alors le plugin.

Est-ce que cela fonctionne avec Nginx ?
Depuis la version 1.5 Hide My WP soutient Nginx. Vous devez avoir un accès en écriture au fichier de configuration Nginx. S’il vous plaît noter l’utilisation multi-site sur Nginx est pas encore officiellement supporté, mais si vous pouvez convertir règles htaccess pour Nginx vous pouvez le faire fonctionner.

Que faire si je désactive le plugin. Est-ce que tout revient comme avant ?
Absolument! Il suffit de le désactiver à partir du panneau d’admin et tout reviendra comme auparavant. Si vous utilisez un plugin de cache vous pouvez avoir besoin de vider le cache. Si le plugin a été supprimé ou renommé accidentellement, allez dans Paramètres -> Permaliens et tout reviendra à la normale!

Est-ce que cela affecte la vitesse de mon site ? (en raison des nombreuses redirections)
Hide My WP n’utilise pas 30x redirections mais principalement à la place, la règle de réécriture qui est interne et n’a donc aucune incidence sur la vitesse. Un impact sur la vitesse peut se produire lorsque vous avez beaucoup trop de plugins WordPress. Toutes les options sont expliquées en détail et vous pouvez choisir entre les options rapides et/ou compatibles.

Est-ce que cela fonctionne en multi-sites et en réseau ?
Depuis la version 1.5 Hide My WP prend en charge les sous-domaines et sous-répertoires multi-sites. Il est possible pour l’administrateur du site d’utiliser le panneau de réseau et de configurer le plugin pour l’ensemble du réseau.  Vous devez écrire un accès pour mettre à jour le fichier htaccess et les thèmes à renommer.

Pourquoi ma page des paramètres de plug-in est différent des screenshots officiels ?
C’est parce que vous n’activez pas la structure des permaliens WordPress ou que votre hébergeur ne supporte pas les URL de réécriture (htaccess spécifique.).

Est-ce que HideMyWP affecte mon SEO  ?
Si vous ne changez le contenu principal des URLs (articles, catégories, tag) non,  il n’y a aucun problème de référencement.
A noter que HideMyWordPress passe outre les paramètres par défaut de vos permaliens WP pour les articles, catégories, tags. Donc, même sans ce plugin si vous modifiez ces paramètres, cela affectera votre classement.

 

Bon alors comment ça marche ?

Principalement avec la réécriture d’URL et quelques redirections via votre .htaccess mais pas uniquement…

Vous pouvez bien évidement choisir le degré de confidentialité avec 3 niveaux prédéfinis: Utra-confidentiel, Medium (rapide) et Medium (compatible).

Assurez-vous d’avoir accès à votre  fichier htaccess  (si vous utilisez Apache) ou configurez votre serveur Web manuellement (si vous utilisez Nginx ou du multi-site).

 

Conclusion

Hide My WP est vendu aux alentours de 15€, ce plugin premium est une excellente solution et malheureusement il n’y a pas à ce jour d’équivalent en version gratuite ou freemium.

Attention toutefois, la mise en place de ce plugin peut être délicate pour les débutants et certaines fonctions, notamment la réécriture, peuvent parfois poser des problèmes. Aussi il est conseillé de procéder à une sauvegarde complète de votre WordPress avant son installation.

A noter également que si HideMyWordPress est suffisant pour se protéger des Bots, il ne suffira pas face à un pirate expert qui tient absolument à forcer votre site;)

 

Ce plugin a été testé par Julio de Boite à Web, spécialiste sécurité WordPress et contenait une faille de sécurité … L’auteur a été contacté et a corrigé cette dernière sur la version 1.8 ;)