Sécurité de base

Renforcez votre site WordPress avec la protection de connexion, le blocage XML-RPC, les en-têtes de sécurité et plus encore.

Présentation

Sécurité de base est un service gratuit inclus dans tous les plans RakuWP. Il regroupe six mesures essentielles de renforcement qui protègent votre site WordPress contre les vecteurs d'attaque les plus courants : scans de connexion par force brute, abus XML-RPC, clickjacking, détection MIME et fuite d'informations.

Toutes les fonctionnalités peuvent être activées indépendamment depuis l'administration WordPress ou depuis le panneau RakuWP. Aucune configuration serveur n'est requise.

Premiers pas

  1. Allez dans RakuWP > Services dans votre administration WordPress et activez le service Sécurité de base.
  2. La page de paramètres de Sécurité de base apparaîtra dans le menu RakuWP.
  3. Activez chaque protection individuellement selon les besoins de votre site.
  4. Vous pouvez également gérer tous les paramètres depuis l'onglet Sécurité dans le panneau RakuWP.

URL de connexion personnalisée

Par défaut, tous les sites WordPress utilisent /wp-login.php comme page de connexion. Ce chemin bien connu est constamment ciblé par des bots automatisés qui tentent des attaques par force brute.

Lorsque vous activez cette fonctionnalité, wp-login.php est déplacé vers un slug personnalisé de votre choix (par exemple, /ma-connexion-secrete). Toute requête vers le /wp-login.php d'origine ou /wp-admin depuis un visiteur non authentifié retournera une page 404, masquant efficacement votre page de connexion aux scanners.

Comment configurer

  1. Activez Activer l'URL de connexion personnalisée.
  2. Entrez un slug dans le champ de texte (lettres, chiffres et tirets uniquement).
  3. Cliquez sur Enregistrer. Votre nouvelle page de connexion est immédiatement active.

Important : Ajoutez votre nouvelle URL de connexion à vos favoris. Si vous l'oubliez, vous pouvez désactiver le plugin RakuWP via FTP ou WP-CLI pour restaurer le chemin de connexion par défaut.

Désactiver XML-RPC

XML-RPC (xmlrpc.php) est une ancienne API antérieure à l'API REST de WordPress. Elle était conçue à l'origine pour permettre aux applications externes (comme l'application mobile WordPress, Jetpack et les systèmes de pingback/trackback) de communiquer avec votre site via HTTP.

Pourquoi le désactiver

  • Amplification de force brute : La méthode system.multicall de XML-RPC permet aux attaquants de tester des centaines de combinaisons nom d'utilisateur/mot de passe en une seule requête HTTP, contournant les protections de limitation de débit qui ne comptent que les requêtes individuelles.
  • Amplification DDoS : La fonctionnalité pingback peut être exploitée pour lancer des attaques par déni de service distribué en utilisant votre serveur comme relais.
  • Surface d'attaque inutile : Depuis WordPress 4.7, l'API REST gère tout ce dont l'application mobile et les plugins modernes ont besoin. Garder XML-RPC activé ajoute un point d'entrée inutilisé.

Quand le garder activé

Laissez XML-RPC actif uniquement si vous dépendez d'un outil qui le requiert spécifiquement, comme les anciennes versions de l'application mobile WordPress (avant la prise en charge de l'API REST) ou des plugins hérités qui n'ont pas migré vers l'API REST.

Masquer la version WordPress

WordPress expose son numéro de version à plusieurs endroits : la balise <meta name="generator"> dans votre HTML, les en-têtes de flux RSS et les chaînes de requête ajoutées aux fichiers CSS et JavaScript chargés (par exemple, ?ver=6.5.2).

Les attaquants utilisent ces informations pour identifier les sites exécutant des versions obsolètes avec des vulnérabilités connues. L'activation de cette option supprime la chaîne de version de tous ces emplacements, rendant plus difficile le profilage de votre site par les scanners automatisés.

En-têtes de sécurité

Les en-têtes de sécurité HTTP sont des en-têtes de réponse qui ordonnent au navigateur du visiteur d'activer des protections intégrées. Lorsque cette fonctionnalité est activée, les en-têtes suivants sont ajoutés à chaque réponse envoyée par votre site :

X-Content-Type-Options

Valeur par défaut : nosniff

Empêche le navigateur d'effectuer une détection de type MIME. Sans cet en-tête, un navigateur pourrait interpréter un fichier comme un type de contenu différent de celui déclaré (par exemple, traiter un fichier texte comme du JavaScript exécutable). Le régler sur nosniff force le navigateur à faire confiance à l'en-tête Content-Type, bloquant une catégorie d'attaques où des fichiers malveillants se font passer pour des types sûrs.

X-Frame-Options

Valeur par défaut : SAMEORIGIN

Contrôle si votre site peut être intégré dans un <iframe> sur un autre domaine. Les attaques de clickjacking fonctionnent en superposant votre site dans un cadre transparent au-dessus d'une page malveillante, trompant les utilisateurs pour qu'ils cliquent sur des boutons qu'ils ne peuvent pas voir. SAMEORIGIN permet à votre propre site d'utiliser des iframes (pour les aperçus, les pages d'administration, etc.) tout en bloquant tous les domaines externes d'intégrer votre contenu.

Strict-Transport-Security (HSTS)

Valeur par défaut : max-age=31536000; includeSubDomains

Indique au navigateur de ne se connecter à votre site que via HTTPS pendant la durée spécifiée (31536000 secondes = un an). Après la première visite, le navigateur convertira automatiquement tout lien HTTP en HTTPS, empêchant les attaques de type « homme du milieu » qui pourraient intercepter des données pendant une connexion non chiffrée. La directive includeSubDomains étend cette protection à tous les sous-domaines.

Referrer-Policy

Valeur par défaut : strict-origin-when-cross-origin

Détermine la quantité d'informations de référent (l'URL de la page d'où vient le visiteur) partagée lors de la navigation vers un autre site. strict-origin-when-cross-origin envoie l'URL complète pour les requêtes de même origine, uniquement l'origine (domaine) pour les requêtes d'origine croisée via HTTPS, et rien du tout si la destination est HTTP. Cela protège les chemins d'URL privés et les paramètres de requête contre les fuites vers des tiers.

Permissions-Policy

Valeur par défaut : geolocation=(), microphone=(), camera=()

Restreint les API du navigateur que votre site est autorisé à utiliser. La configuration par défaut désactive l'accès à la géolocalisation, au microphone et à la caméra pour tous les contextes (y compris les iframes intégrés). Cela empêche les scripts malveillants ou les contenus tiers intégrés de demander silencieusement l'accès à des fonctionnalités sensibles de l'appareil. Vous pouvez personnaliser la politique pour autoriser des origines spécifiques si votre site utilise légitimement ces API.

Personnaliser les valeurs

Chaque valeur d'en-tête peut être modifiée depuis les paramètres de Sécurité de base. Après avoir activé Activer les en-têtes de sécurité, les champs individuels apparaissent avec leurs valeurs par défaut. Modifiez n'importe quelle valeur et cliquez sur Enregistrer les en-têtes pour appliquer vos changements.

Désactiver l'éditeur de fichiers

WordPress inclut un éditeur de code intégré (Apparence > Éditeur de fichiers du thème et Extensions > Éditeur de fichiers d'extension) qui permet aux administrateurs de modifier des fichiers PHP directement depuis le navigateur. Bien que pratique, cet éditeur représente un risque de sécurité important : si un attaquant obtient un accès administrateur, il peut injecter du code malveillant dans vos fichiers de thème ou de plugins sans avoir besoin d'un accès FTP ou SSH.

L'activation de cette option définit la constante DISALLOW_FILE_EDIT sur true, ce qui supprime entièrement les pages de l'éditeur de l'administration WordPress. Vous pouvez toujours modifier les fichiers via FTP, SSH ou le gestionnaire de fichiers de votre hébergeur.

Désactiver le listage de répertoires

Lorsque le listage de répertoires est activé sur votre serveur web, visiter une URL comme https://votresite.com/wp-content/uploads/ affiche un index navigable de tous les fichiers de ce dossier. Cela permet à quiconque de découvrir les fichiers téléchargés, les noms de plugins, les structures de thèmes et d'autres informations sensibles.

L'activation de cette option ajoute la directive Options -Indexes à votre fichier .htaccess, qui indique à Apache de retourner une réponse 403 Interdit au lieu de lister le contenu du répertoire. Il s'agit d'une mesure de renforcement standard recommandée par WordPress et tous les principaux outils d'audit de sécurité.

Note : Cette fonctionnalité s'applique uniquement aux serveurs Apache. Si vous utilisez Nginx, le listage de répertoires doit être configuré dans votre bloc serveur (autoindex off;).

Gestion depuis le panneau

Tous les paramètres de Sécurité de base peuvent être gérés à distance depuis l'onglet Sécurité sur la page de détail de n'importe quel site dans le panneau RakuWP. Les modifications sont appliquées instantanément au site WordPress via l'API REST. C'est particulièrement pratique lorsque vous gérez plusieurs sites, car vous pouvez examiner et configurer les paramètres de sécurité sans vous connecter à chaque administration WordPress individuellement.

Précédent Turbo Speed Suivant Surveillance