Lors du WordCamp 2007, dont j’avais déjà parlé dans un précédent article qui énumérait 15 conseils de Matt Cutts, certains points de sécurité de WordPress on été abordés. Par ailleurs, ces conseils peuvent être appliqués sur d’autres plateformes de blog.
Cacher le dossier de plugins
Quand un plugin a un trou de sécurité, il devient facile de trouver qui pirater en regardant quels bloggeurs possèdent ce plugin. En effet, le dossier /wp-admin/plugins/ de WordPress peut être lu par n’importe qui… Pour empecher cela, créez un fichier index.html vide et déposez le dans le dossier /plugins/, ainsi ce dossier ne révélera plus la liste de vos plugins installés.
Supprimer l’affichage de la version de WordPress
Même conseils que pour le dossier de plugins, si vous n’avez pas mis à jour votre plateforme WordPress, vous pouvez être la cible d’un pirate. Par défaut WordPress annonce sa version dans les meta tags contenus dans le fichier header.php et sous certaines plateformes, la version peut être complètement affichée dans le footer du blog.
Recherchez cette ligne contenu dans le fichier header.php
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" />remplacez la par :
<meta name="generator" content="WordPress" />
De cette manière WordPress ne dévoilera plus sa version à tout va.
Mettre en place un fichier .htaccess dans le dossier /wp-admin/
Sur une idée de Reuben Yau, bloquez le répertoire /wp-admin/ en fonction des adresses IP, seules les adresses IP autorisées auront accès à ce répertoire, les autres seront bloquées par un message d’accès non autorisé. Voici le fichier .htacess à créer :
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# Votre IP à la maison
allow from xx.xx.xx.xx
# Votre IP au travail
allow from xx.xx.xxx.xx
</LIMIT>
Attention, ce fichier ne remplace pas votre .htacces situé à la racine de votre espace web, il doit simplement être déposé dans le répertoire /wp-admin/ de WordPress. Vous pouvez en plus bloquer l’accès à ce dossier aux robots d’indexation via un fichier robots.txt.
Heyyy, tu n’as pas suivis ce que tu conseilles dans ton billet ^^ :D