Installer WordPress en toute Sécurité

[Cet article est une partie du guide « Comment Créer un Blog WordPress de A à Z« .]

L’installation d’un site WordPress est devenue de nos jours une tâche assez simple et rapide qui peut se faire en l’espace de quelques minutes. Quelques cliques suffisent pour voir naître votre site WordPress. D’autant plus qu’un grand nombre d’hébergeurs web proposent aujourd’hui l’installation automatique « 1-clique » de WordPress.

Or, assez souvent, les utilisateurs novices oublient de prendre en compte l’aspect de sécurité et d’optimiser certaines options en laissant tout par défaut. Ils sont alors plus exposés aux hackers qui profitent de la négligence de ces utilisateurs-là.

Dans ce tutoriel, nous allons voir comment installer WordPress en tenant compte de l’aspect sécurité de votre site WordPress.

Quelques pré-requis

Ce tutoriel s’adresse aux personnes :

• Utilisant la solution auto-hébergée de WordPress (wordpress.org)
• Ayant déjà réservé ou sont sur le point de réserver un nom de domaine
• Ayant déjà fait le choix de leur hébergeur web

Ces trois points peuvent se faire en peu de temps mais il est préférable que vous lisiez les articles respectifs pour comprendre ce que vous êtes en train de faire, et pouvoir faire son choix de nom de domaine et d’hébergeur web.

Installer le FTP

FTP est un logiciel libre qui vous permet d’accéder à votre serveur. L’un des plus connus est FileZilla. Rendez-vous donc sur le site de FileZilla et téléchargez celui-ci.

Une fois le logiciel installé, voici à quoi ça ressemble :

Installer WordPress : solution automatique « 1-clique » ou manuelle via FTP ?

Il existe deux méthodes pour procéder à l’installation de WordPress. La solution automatique « 1-clique » que propose un grand nombre d’hébergeurs et la solution manuelle via le FTP.

Certaines personnes vous diront d’éviter la solution « 1-clique » qu’offre les hébergeurs pour diverses raisons : risque de plantage lors des mises à jour, ajout de certains dossiers et fichiers supplémentaires à votre installation par l’hébergeur, les choses automatiques ça rend bête !

Voici mon avis personnel sur cette affaire. La solution « 1-clique » est préférable pour les utilisateurs débutants. Il y a moins de risque de se planter et d’installer vos dossiers là où il ne faut pas. La personnalisation des fichiers clé (wp-config.php, …) est faite automatiquement. Enfin, si vous utilisez l’hébergeur 100% WordPress WP Engine, c’est mieux de les laisser faire le travail à votre place ; )

Ceci étant dit, nous allons voir dans ce tutoriel la méthode manuelle car malgré les avantages de la méthode « 1-clique », il est très recommandé de savoir installer son site WordPress manuellement via FTP. Et puis un utilisateur débutant n’a pas forcément envie de rester débutant!

Si vous souhaitez installer WordPress avec la méthode automatique « 1-clique », je vous renvoies vers ce tutoriel fait par Mediatemple, l’hébergeur avec lequel nous verrons comment installer WordPress manuellement. Le tutoriel est en anglais, mais il est très abordable, assez court et bien illustré avec des captures d’écran.

Installer WordPress en toute Sécurité

Nous procéderons ici  à l’installation manuelle via le FTP. Nous utiliserons alors la célèbre Installation en 5 minutes mais avec quelques étapes supplémentaires pour sécuriser votre installation.

1. Télécharger WordPress

La première étape est, en toute logique, de télécharger la dernière version de WordPress depuis ce lien.

Une fois téléchargé, décompressez le dossier.

2. Déplacer WordPress vers le Serveur Web via FTP

La prochaine étape est de télécharger le contenu du dossier WordPress à votre domaine. Pour ceci, il faut ouvrir FileZilla (ou un autre logiciel FTP) et vous connecter avec les identifiants fournis par votre hébergeur.

Ici, pour sécuriser votre installation :

• Placer le contenu du dossier WordPress dans un sous-répertoire au lieu de la racine de votre domaine. Donner lui un nom difficile à trouver et qui n’a rien avoir avec « admin ». Par exemple, vous pouvez le nommer : http://monsite.com/tictac
• Déplacer les fichiers index.php et .htaccess du sous-répertoire « tictac » vers la racine.
• Ouvrir le fichier index.php et changer la ligne « require(‘./wp-blog-header.php’) » en « require(‘./tictac/wp-blog-header.php’) »
• Lorsque vous installerez WordPress, vous devrez vous rendre à l’espace admin et changer « Réglages généraux » dans Réglages > Général, pour que « Adresse web de WordPress (URL) » pointe vers http://monsite.com/tictac, et que « Adresse web du site (URL) » pointe vers http://monsite.com

Voici quelques screenshots pour illustrer les points ci-dessus :

Ecran du répertoire racine de votre site

Le reste du contenu du dossier WordPress se trouve dans le sous-répertoire /tictac :

Ecran du sous-répertoire /tictac

En faisant cette séparation entre le fichier index.php et le reste des fichiers wordpress, une modification du fichier index.php s’impose :

Fichier index.php avant modification

Et après …

Fichier index.php après modification

Enfin, n’oubliez pas de changer vos « Réglages généraux » après votre installation :

Réglages généraux

Voilà maintenant vous avez une structure de dossier plus sécurisée.

Dans cet exemple, pour se connecter à son espace admin, il faut se rendre sur : http://monsite.com/tictac/wp-admin.

Vous voyez bien donc l’intérêt de l’étape supplémentaire que l’on a faite au-dessus. Le petit pirate qui voudrait se rendre à votre page d’authentification, il ne saura pas que celle-ci se trouve désormais à l’adresse /tictac/wp-admin et non pas  /wp-admin (par défaut). D’où l’intérêt de choisir un nom de sous-répertoire difficile à deviner.

3. Créer sa base de données

Avant de lancer le script d’installation de votre site WordPress à partir de http://monsite.com/tictac, il faut créer sa base de données sans quoi le script d’installation de ne s’exécutera pas.

Très brièvement, la base de données permet de stocker toutes les informations de votre site (articles, commentaires, métadonnées, utilisateurs, …).

Etant donné qu’on travaille en ligne avec le serveur, je vais vous montrer comment créer sa base de données avec l’hébergeur Mediatemple que j’utilise.

Il faut se rendre sur le panneau de contrôle et cliquer sur « Manage Databases » :

Panneau de contrôle – Mediatemple

Dans « Manage Databases » cliquez sur « Add a Database » :

Gestionnaire des bases de données – Mediatemple

Ici, vous allez saisir le nom de la base de données. Pour renforcer la sécurité du site, pensez à prendre un nom compliqué et qui n’a rien avoir avec le nom du site. Quelque chose du type « AZ24Fsf3zq ».

Ajout de base de données – Mediatemple

Ensuite, vous pouvez ajouter un utilisateur pour la base de données créée. Cliquez sur « Global Settings ».

Créer un utilisateur de base de données

Il existe 3 types d’utilisateurs de base de données :

1. Utilisateur primaire : La solution Grid de Mediatemple est fournie avec un utilisateur de base de données par défaut.  Cet utilisateur a des droits de lecture/écriture à toutes les bases de données que vous créez sur votre service. Le nom d’utilisateur est de la forme : db12345.
2. Utilisateurs supplémentaires : ce sont les utilisateurs que vous créez vous-mêmes. Le nom d’utilisateur est de la forme : db12345_nomdutilisateur.
3. Utilisateurs de la solution « 1-clique » : ce sont les utilisateurs de base de données créés par la solution « 1-clique ». Le nom d’utilisateur a pour préfixe 1clk et est de la forme : 1clk_wp_zUBRT3T.

Dans l’écran ci-dessus, entrez votre nom d’utilisateur dans « Enter Username » et puis votre mot de passe dans les cases suivantes. Encore une fois, pensez à un mot de passe difficile à trouver.

Si vous voulez un bon mot de passe, vous pouvez utiliser ce générateur de mot de passe.

L’utilisateur que vous venez de créer est un utilisateur de 2ème type. Par défaut, tout utilisateur supplémentaire aura les permissions « No Access » à toutes les bases de données. Il faut donc changer ses droits. Toujours dans l’onglet « Global Settings », une fois que vous aurez créé votre utilisateur vous le verrez listé dans « Manage Database Users » :

Liste des utilisateurs de base de données

On retrouve donc l’utilisateur primaire db_12345 que l’on ne peut ni supprimer ni changer de permissions (ou droits).

Au-dessus vous retrouverez l’utilisateur que vous venez de créer. Cliquez sur Permissions puis cochez l’option qui vous convient (Read Only ou Read/write) :

Droits d’utilisateur de base de données

Après la création de la base de données et de l’utilisateur de base de données, votre hébergeur avec sa base de données est prêt à stocker le dossier WordPress que vous avez transféré sur le serveur via le FTP.

Pour faire cela, nous allons lancer le script d’installation WordPress.

4. Exécuter le script d’installation WordPress

Maintenant, vous avez juste à vous rendre sur http://monsite.com/tictac et suivre les instructions, comme indiqué ci-dessous :

Pour l’identifiant, évitez à tout prix de mettre admin. C’est la cible n°1 des hackers. Pour le mot de passe, suivez les recommandations indiquées.

Si vous ne voulez pas que les moteurs de recherche commencent tout de suite à indexer votre site alors il faut décocher la dernière case. Ça peut être utile si vous lancez un site sans contenu déjà prêt, ou en construction.

Cliquez ensuite sur Installer WordPress.

Et c’est fini!

Vous pouvez désormais accéder à votre espace administration en se rendant sur http://monsite.com/tictac/wp-admin. Le site est accessible à l’adresse http://monsite.com.

Rappel : N’oubliez pas de vous connecter à votre espace admin et modifier les « Réglages généraux » comme indiqué plus haut dans le tutoriel.

Voilà, vous avez maintenant un site WordPress installé, certes vide, mais accessible en ligne.

Nous verrons dans de prochains tutoriels comment configurer WordPress, choisir un nouveau thème et l’installer, installer les plugins incontournables pour sécuriser, optimiser et accélérer votre site WordPress. Tout ceci sera listé dans le guide complet de création de site WordPress de A à Z.

En attendant la suite, si vous rencontrez un problème dans votre démarche d’installation, n’hésitez pas à laisser un commentaire.