Sécuriser son blog sous WordPress
Etape 1 – Restreindre l’accès à wp-content et wp-includes
Pour cela, utilisons le bon vieux fichier .htaccess et modifions le afin de restreindre l’accès à tous les fichiers images, CSS et Java 😉
Exemple ci-dessous
Order Allow,Deny
Deny from all
<files ~ "\.(css|jpe?g|png|gif|js)$">
Allow from all
</files>
Si vous voulez faire des exceptions pour certains plugin, il suffit de renseigner le fichier
wp-content/.htaccess :
<files "votreplugin.php">
Allow from all
</files>
Mettez ce code dans votre .htaccess dans les répertoires wp-content et wp-includes
Etape 2 – Restreindre l’accès à wp-admin
Pour restreindre l’accès à wp-admin vous avez 2 possibilités. Mettez un fichier .htaccess dans votre répertoire wp-admin avec l’un des deux choix suivants :
Restriction par IP:
order deny,allow
allow from a.b.c.d # où abcd est votre ip statique
deny from all
Avec ça, le navigateur refusera l’accès au répertoire dans lequel est placé le .htaccess si l’ip n’est pas la bonne.
Restriction par mot de passe sur le répertoire (fichier .htaccess et .htpasswd):
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
ou version améliorée:
Un bug est généré lorsqu’un utilisateur poste un commentaire sans laisser son adresse email, une boite de dialogue de mot de passe apparaît. Cela survient car des fichiers image ou CSS sont situés à l’intérieur du répertoire wp-admin. Pour s’en sortir, vous pouvez rajouter cette règle qui désactive les fichiers .php mais autorise le reste. De cette manière vous évitez beaucoup d’attaques directes et permet de mieux sécuriser vos répertoires avec toutes ces fonctions.
<files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</files>
C’est déjà un bon pas, il reste encore a faire bien sûr, je pense aux traditionnels chmod entre autre, et nous verrons cela également.
