Dans cet article je vais vous donner quelques conseil pour sécuriser votre base de données.
Les bases de données contiennent des information sensibles pour votre site, les identifiants et mots de passe de vos clients ou de l’administrateur du site. Une attaque contre votre base de données est donc très dangereuse.
Quand faire sa sécurisation ?
La sécurisation est à faire dès la création de votre site WordPress. On vous proposera notamment de mettre un préfixe pour votre base de données. Le préfixe proposé de base est ‘wp_’ étant proposé de base il est connu de tous les pirates. Il existe aussi d’autre méthode si vous gérer vous même votre serveur. Il est mieux de le faire avant l’installation de votre site WordPress.
Sécuriser sa base de données
Changer le préfixe pour un autre (dans la partie préfixe de table) va déjà permettre d’avoir un peu de protection en évitant de facilement connaitre les tables de votre base de données par exemple ‘wp_admin’. Il est conseillé de le fai durant l’installation Il est possible de le faire après l’installation mais il faut renommer toutes les tables avec une commande SQL à entrer dans PHPmyadmin, ce qui peut s’avérer complexe.
Si vous avez un vps vous allez sans doute installer vous même le nécessaire pour votre serveur web (base de données mysql ou mariadb, apache et son module PHP). Lors de l’installation de votre logiciel de base de données il vous faudra le sécuriser au mieux en créant un utilisateur pour la base de données qui sera gérer par votre site. Cet utilisateur ne devra pas avoir les droits administrateur (les droits root) pour éviter les problèmes sur votre serveur.
Il faut tout d’abord sécuriser l’installation de votre logiciel de base de données voir l’article sur les vps section base de données
Créer ensuite un utilisateur pour la base de données qui servira votre site. Il ne faut pas la crée avec l’utilisateur root pour éviter les problèmes de piratage sur votre serveur (cf l’article vps section base de données). Si vous avez besoin de plusieurs bases de données je vous conseille de créer un utilisateur par base de données pour sécuriser votre serveur. Cet utilisateur devra avoir un mot de passe assez long pour éviter d’être piratable facilement.
La création d’un utilisateur avec cette commande :
CREATE USER ‘USERNAME’@’localhost’ IDENTIFIED WITH caching_sha2_password BY ‘password
La création de la base de données qui sera utilisé par un utilisateur
sudo mysql -u utilisateur -p CREATE DATABASE nom_de_la_base;
Une fois la base de données crées elle ne sera accessible que via l’utilisateur qui l’a crée.
Sécuriser sa base de données avec Secupress
Secupress peut vous proposer dans sa solution payante un moyen de renommer vos tables dans la base de données et retirer le préfixe ‘wp_’ et le remplacer par un autre.
C’est une options pratique pour le renommage de toutes les tables de manière automatique. Sinon il faut le faire manuellement via phpmyadmin.
Pour conclure
La sécurisation de la base de données est l’un des premier éléments pour sécuriser votre site internet WordPress ou non. C’est important de prendre quelques mesures de bases pour éviter les problèmes d’attaques informatiques sur votre site. Ces mesures sont assez simples à mettre en place mais souvent négligés si on va trop vite.