{"id":59,"date":"2009-12-22T23:05:10","date_gmt":"2009-12-22T22:05:10","guid":{"rendered":"http:\/\/www.yanael.com\/?p=59"},"modified":"2009-12-30T18:02:33","modified_gmt":"2009-12-30T17:02:33","slug":"securiser-wordpress","status":"publish","type":"post","link":"https:\/\/www.yanael.com\/wp\/securiser-wordpress-59\/","title":{"rendered":"Securiser WordPress"},"content":{"rendered":"
Etape 1 – Restreindre l’acc\u00e8s \u00e0 wp-content et wp-includes<\/strong><\/p>\n Pour cela, utilisons le bon vieux fichier .htaccess<\/em> et modifions le afin de restreindre l’acc\u00e8s \u00e0 tous les fichiers images, CSS et Java \ud83d\ude09<\/p>\n Exemple ci-dessous<\/em> Etape 2 – Restreindre l’acc\u00e8s \u00e0 wp-admin Restriction par IP:<\/strong> Restriction par mot de passe sur le r\u00e9pertoire (fichier .htaccess et .htpasswd):<\/strong><\/p>\n Un bug est g\u00e9n\u00e9r\u00e9 lorsqu’un utilisateur poste un commentaire sans laisser son adresse email, une boite de dialogue de mot de passe appara\u00eet. Cela survient car des fichiers image ou CSS sont situ\u00e9s \u00e0 l’int\u00e9rieur du r\u00e9pertoire wp-admin. Pour s’en sortir, vous pouvez rajouter cette r\u00e8gle qui d\u00e9sactive les fichiers .php mais autorise le reste. De cette mani\u00e8re vous \u00e9vitez beaucoup d’attaques directes et permet de mieux s\u00e9curiser vos r\u00e9pertoires avec toutes ces fonctions.<\/p>\n C’est d\u00e9j\u00e0 un bon pas, il reste encore a faire bien s\u00fbr, je pense aux traditionnels chmod entre autre, et nous verrons cela \u00e9galement.<\/p>\n
\n
\nOrder Allow,Deny
\nDeny from all
\n<files ~ \"\\.(css|jpe?g|png|gif|js)$\">
\nAllow from all
\n<\/files>
\n<\/code>
\nSi vous voulez faire des exceptions pour certains plugin, il suffit de renseigner le fichier
\nwp-content\/.htaccess :<\/em>
\n
\n<files \"votreplugin<\/strong>.php\">
\nAllow from all
\n<\/files>
\n<\/code>
\nMettez ce code dans votre .htaccess<\/em> dans les r\u00e9pertoires wp-content<\/em> et wp-includes<\/em><\/p>\n
\n<\/em><\/p>\n
\n<\/strong>
\nPour restreindre l’acc\u00e8s \u00e0 wp-admin<\/em> vous avez 2 possibilit\u00e9s. Mettez un fichier .htaccess<\/em> dans votre r\u00e9pertoire wp-admin<\/em> avec l’un des deux choix suivants :<\/p>\n
\n
\norder deny,allow
\nallow from a.b.c.d # o\u00f9 abcd est votre ip statique
\ndeny from all
\n<\/code>
\nAvec \u00e7a, le navigateur refusera l’acc\u00e8s au r\u00e9pertoire dans lequel est plac\u00e9 le .htaccess<\/em> si l’ip n’est pas la bonne.<\/p>\n
\nAuthUserFile \/etc\/httpd\/htpasswd
\nAuthType Basic
\nAuthName \"restricted\"
\nOrder Deny,Allow
\nDeny from all
\nRequire valid-user
\nSatisfy any
\n<\/code>
\nou version am\u00e9lior\u00e9e:<\/strong><\/p>\n
\n<files ~ \"\\.(php)$\">
\nAuthUserFile \/etc\/httpd\/htpasswd
\nAuthType Basic
\nAuthName \"restricted\"
\nOrder Deny,Allow
\nDeny from all
\nRequire valid-user
\nSatisfy any
\n<\/files><\/code><\/p>\n