Comment sécuriser son blog WordPress

Comment sécuriser son blog WordPress

Pour bien commencer

Pour sécuriser son blog WordPress ou tout autres sites, il faut déjà commencer par utiliser des mots de passe forts (un mélange de lettres, de chiffres et de caractères spéciaux, minuscules et majuscules de longueur raisonnable ). Et surtout, les mots de passe ne doivent pas être identique d’un site à l’autre… De mon côté, je garde et rassemble mes mots de passe en lieu sur. Je les note dans un fichier et en garde aussi un double. On ne sait jamais avec l’informatique, une panne de disque dur, de clé USB, ça peut arriver !

En ce qui concerne WordPress plus précisément

il est plus prudent, pendant l’installation de WordPress chez son hébergeur, de modifier le nom de préfixe de la table « wp_ » par autre chose. Peut importe plus du genre Ae34Ed pourquoi pas. On évite comme cela certaines injections SQL.

Il faut aussi penser a supprimer le fichier « readme.html » qui donne la version de WordPress installer et le fichier /wp-admin/install.php qui sert à installer WordPress.

Modifications du fichier .htaccess

Il y a un fichier qu’il faut protéger car il contient les informations de connexion a la base de donnée. C’est le fichier « wp-config.php ». Pour le protéger on va faire appel au fichier « .htaccess ».

Le fichier « .htaccess » est un fichier de configuration pour serveur Apache. On va lui indiquer d’interdire l’accès au fichier pour cela on rajoute ces lignes de code dans le fichier « .htaccess » qui ce trouve à la racine du site.

#interdire l’accès à wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
#fin de : interdire l’accès à wp-config.php

Mais on ne va pas s’arrêter la on va par la même occasion protéger le fichier « .htaccess » par la même méthode. On lui ajoutera aussi ces lignes de codes.

#interdire l’accès à .htaccess
<files .htaccess>
	 order allow,deny 
	 deny from all 
</files>
#fin de interdire l’accès à .htaccess

Pour ne pas risquer d’oublier de supprimer les fichiers sensible ou ne plus s’en inquiéter (« readme.html » et /wp-admin/install.php »). Il suffit d’ajouter ce bout de code au fichier « .htaccess » pour bloquer sa lecture.

#interdire l’accès à readme.html 
<files readme.html>
order allow,deny
deny from all
</files>
#fin de : interdire l’accès à readme.html `

#interdire l’accès à install.php 
<files install.php>
order allow,deny
deny from all
</files>
#fin de : interdire l’accès à install.php

Bloquer la possibilité de lister les répertoires

Par défaut WordPress laisse un dossier accessible par navigateur ou l’on peut lister tous les contenus chargés. Dans ce dossier on retrouve les images, les vidéos, les musiques que l’on a utilisé sur son blog. Pour le vérifier il suffit de se rendre à l’adresse http://url_de_votre_site/wp-content/uploads/ avec le navigateur internet. Si aucune image ou autre n’a été ajouté  le dossier sera vide.

Ok, c’est bien beau, mais comment empêcher de visualiser le contenu de ce répertoire sur son navigateur.

La première méthode, et bien on peut placer dans le répertoire un fichier « index.html » vide (avec aucun code dedans).Les fichiers « index.html » sont prioritaire en lecture par les navigateurs. Le fichier « index.html »  sera donc choisis pour être affiché. Comme celui-ci est vide le navigateur internet affichera une page blanche.

La deuxième méthode consiste à ajouter une ligne de code à la fin du fichier « .htaccess » encore lui 🙂 et oui. En ajoutant le « All » dans le code on le fait pour l’ensemble des répertoires ou futurs répertoires qui composent le site (Dans ce cas la, plus besoin d’ajouter un ficher « index.html ».

#interdire de lister le contenu des répertoires
Options All -Indexes
#fin de :  interdire de lister le contenu des répertoires

Pour résumer on a vue que pour sécuriser un peu plus son site WordPress, il faut

  • Choisir des Mots de passe FORTS (des lettres,des chiffres et des caractères spéciaux, minuscules et majuscules).
  • Renommer lors de l’installation le nom de préfixe de la table wp_ par autre chose.
  • Supprimer le fichier « readme.html » et « /wp-admin/install.php ».
  • Apporter quelques modifications à sont fichier « .htaccess » pour interdire l’accès aux fichiers sensibles.
#Code a ajouter a .htaccess pour sécuriser ses fichiers WordPress

#interdire l’accès à wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>
#fin de : interdire l’accès à wp-config.php

#interdire l’accès à .htaccess
<files .htaccess>
	 order allow,deny 
	 deny from all 
</files>
#fin de interdire l’accès à .htaccess

#interdire l’accès à readme.html 
<files readme.html>
order allow,deny
deny from all
</files>
#fin de : interdire l’accès à readme.html `

#interdire l’accès à install.php 
<files install.php>
order allow,deny
deny from all
</files>
#fin de : interdire l’accès à install.php

#interdire de lister le contenu des répertoires
Options All -Indexes
#fin de :  interdire de lister le contenu des répertoires
Print Friendly, PDF & Email

Laisser un commentaire