10 conseils pour sécuriser son site sous WordPress 7. Configurer la base de données

En règle générale, il faut se méfier des options paramétrées par défaut au moment de l'installation d'un logiciel. Les pirates les connaissent et peuvent les utiliser à leur avantage. Ce qui est vrai du compte Admin l'est aussi de la base de données.

Thierry Pigot, consultant WordPress, suggère ainsi de ne pas utiliser le préfixe de base de données par défaut (wp_), et d'en choisir un n'ayant aucun rapport avec WordPress. Inutile de livrer des indices aux pirates.

Limiter les droits de la base de données

attention à gérer finement les droits accordés aux utilisateurs au niveau de la
Attention à gérer finement les droits accordés aux utilisateurs au niveau de la base de données. © Capture / JDN

On peut aller plus loin dans la sécurisation de la base de données, et tenter de limiter les dégâts en cas d'intrusion. Une fois le site installé, WordPress n'utilisera que des requêtes SQL de type SELECT, INSERT, UPDATE et DELETE. Il est donc recommandé de révoquer des droits particulièrement dangereux tels que DROP (qui permet de détruire l'ensemble de la base de données), ALTER (qui modifie et ajoute des tables), et GRANT (qui permet de modifier les droits sur les données).

Cette précaution est contraignante, et n'est pas compatible avec le système de mise à jour automatique de WordPress car lors des montées de version de WordPress mais aussi de chaque plugin des modifications peuvent être apportées à la base. Il faut donc accorder à nouveau ces droits puis les retirer après la mise à jour.

Wordpress / Base de données