Comment sécuriser son blog WordPress

2 novembre 20164 novembre 2016 David

Pour bien commencer

Pour sécuriser son blog WordPress ou tout autres sites, il faut déjà commencer par utiliser des mots de passe forts (un mélange de lettres, de chiffres et de caractères spéciaux, minuscules et majuscules de longueur raisonnable ). Et surtout, les mots de passe ne doivent pas être identique d’un site à l’autre… De mon côté, je garde et rassemble mes mots de passe en lieu sur. Je les note dans un fichier et en garde aussi un double. On ne sait jamais avec l’informatique, une panne de disque dur, de clé USB, ça peut arriver !

En ce qui concerne WordPress plus précisément

il est plus prudent, pendant l’installation de WordPress chez son hébergeur, de modifier le nom de préfixe de la table « wp_ » par autre chose. Peut importe plus du genre Ae34Ed pourquoi pas. On évite comme cela certaines injections SQL.

Il faut aussi penser a supprimer le fichier « readme.html » qui donne la version de WordPress installer et le fichier /wp-admin/install.php qui sert à installer WordPress.

Modifications du fichier .htaccess

Il y a un fichier qu’il faut protéger car il contient les informations de connexion a la base de donnée. C’est le fichier « wp-config.php ». Pour le protéger on va faire appel au fichier « .htaccess ».

Le fichier « .htaccess » est un fichier de configuration pour serveur Apache. On va lui indiquer d’interdire l’accès au fichier pour cela on rajoute ces lignes de code dans le fichier « .htaccess » qui ce trouve à la racine du site.

[pastacode lang= »php » manual= »%23interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20wp-config.php%0A%3Cfiles%20wp-config.php%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0A%3C%2Ffiles%3E%0A%23fin%20de%20%3A%20interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20wp-config.php » message= » » highlight= » » provider= »manual »/]

Mais on ne va pas s’arrêter la on va par la même occasion protéger le fichier « .htaccess » par la même méthode. On lui ajoutera aussi ces lignes de codes.

[pastacode lang= »php » manual= »%23interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20.htaccess%0A%3Cfiles%20.htaccess%3E%0A%09%20order%20allow%2Cdeny%20%0A%09%20deny%20from%20all%20%0A%3C%2Ffiles%3E%0A%23fin%20de%20interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20.htaccess » message= » » highlight= » » provider= »manual »/]

Pour ne pas risquer d’oublier de supprimer les fichiers sensible ou ne plus s’en inquiéter (« readme.html » et /wp-admin/install.php »). Il suffit d’ajouter ce bout de code au fichier « .htaccess » pour bloquer sa lecture.

[pastacode lang= »php » manual= »%23interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20readme.html%20%0A%3Cfiles%20readme.html%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0A%3C%2Ffiles%3E%0A%23fin%20de%20%3A%20interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20readme.html%20%60%0A%0A%23interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20install.php%20%0A%3Cfiles%20install.php%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0A%3C%2Ffiles%3E%0A%23fin%20de%20%3A%20interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20install.php » message= » » highlight= » » provider= »manual »/]

Bloquer la possibilité de lister les répertoires

Par défaut WordPress laisse un dossier accessible par navigateur ou l’on peut lister tous les contenus chargés. Dans ce dossier on retrouve les images, les vidéos, les musiques que l’on a utilisé sur son blog. Pour le vérifier il suffit de se rendre à l’adresse http://url_de_votre_site/wp-content/uploads/ avec le navigateur internet. Si aucune image ou autre n’a été ajouté le dossier sera vide.

Ok, c’est bien beau, mais comment empêcher de visualiser le contenu de ce répertoire sur son navigateur.

La première méthode, et bien on peut placer dans le répertoire un fichier « index.html » vide (avec aucun code dedans).Les fichiers « index.html » sont prioritaire en lecture par les navigateurs. Le fichier « index.html » sera donc choisis pour être affiché. Comme celui-ci est vide le navigateur internet affichera une page blanche.

La deuxième méthode consiste à ajouter une ligne de code à la fin du fichier « .htaccess » encore lui 🙂 et oui. En ajoutant le « All » dans le code on le fait pour l’ensemble des répertoires ou futurs répertoires qui composent le site (Dans ce cas la, plus besoin d’ajouter un ficher « index.html ».

[pastacode lang= »php » manual= »%23interdire%20de%20lister%20le%20contenu%20des%20r%C3%A9pertoires%0AOptions%20All%20-Indexes%0A%23fin%20de%20%3A%20%20interdire%20de%20lister%20le%20contenu%20des%20r%C3%A9pertoires » message= » » highlight= » » provider= »manual »/]

Pour résumer on a vue que pour sécuriser un peu plus son site WordPress, il faut

Choisir des Mots de passe FORTS (des lettres,des chiffres et des caractères spéciaux, minuscules et majuscules).
Renommer lors de l’installation le nom de préfixe de la table wp_ par autre chose.
Supprimer le fichier « readme.html » et « /wp-admin/install.php ».
Apporter quelques modifications à sont fichier « .htaccess » pour interdire l’accès aux fichiers sensibles.

[pastacode lang= »php » manual= »%23Code%20a%20ajouter%20a%20.htaccess%20pour%20s%C3%A9curiser%20ses%20fichiers%20WordPress%0A%0A%23interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20wp-config.php%0A%3Cfiles%20wp-config.php%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0A%3C%2Ffiles%3E%0A%23fin%20de%20%3A%20interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20wp-config.php%0A%0A%23interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20.htaccess%0A%3Cfiles%20.htaccess%3E%0A%09%20order%20allow%2Cdeny%20%0A%09%20deny%20from%20all%20%0A%3C%2Ffiles%3E%0A%23fin%20de%20interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20.htaccess%0A%0A%23interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20readme.html%20%0A%3Cfiles%20readme.html%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0A%3C%2Ffiles%3E%0A%23fin%20de%20%3A%20interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20readme.html%20%60%0A%0A%23interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20install.php%20%0A%3Cfiles%20install.php%3E%0Aorder%20allow%2Cdeny%0Adeny%20from%20all%0A%3C%2Ffiles%3E%0A%23fin%20de%20%3A%20interdire%20l%E2%80%99acc%C3%A8s%20%C3%A0%20install.php%0A%0A%23interdire%20de%20lister%20le%20contenu%20des%20r%C3%A9pertoires%0AOptions%20All%20-Indexes%0A%23fin%20de%20%3A%20%20interdire%20de%20lister%20le%20contenu%20des%20r%C3%A9pertoires%0A%0A » message= » » highlight= » » provider= »manual »/]

Cookie	Durée	Description
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durée	Description
cjae	1 year 1 month	The cookie is set by the provider Dotomi. This cookie is used to record visitor behaviour.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.

Cookie	Durée	Description
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
CJSession		This cookie is set by the provider CJ affiliate by Coversant. This cookie is used to track the time stamp of initial CJ related event on current browser session.

Cookie	Durée	Description
DotomiUser	1 year 1 month	This cookie is set by the provider Dotomi. This cookie is used for sales/lead correlation and for targeting and marketing purposes. it is used to store unique surfer ID.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durée	Description
CONSENT	16 years 9 months	No description
GoogleAdServingTest	session	No description
S	1 year 1 month	No description

Shuto.fr

Comment sécuriser son blog WordPress

Pour bien commencer

En ce qui concerne WordPress plus précisément

Modifications du fichier .htaccess

Bloquer la possibilité de lister les répertoires

Pour résumer on a vue que pour sécuriser un peu plus son site WordPress, il faut

Laisser un commentaire Annuler la réponse

Pour bien commencer

En ce qui concerne WordPress plus précisément

Modifications du fichier .htaccess

Bloquer la possibilité de lister les répertoires

Pour résumer on a vue que pour sécuriser un peu plus son site WordPress, il faut

Partager :

Laisser un commentaire Annuler la réponse