Si vous utilisez WordPress comme plate-forme derrière votre blog ou votre site Web, vous savez probablement qu’il y a eu de nombreuses failles de sécurité, non seulement dans le logiciel lui-même, mais également dans les plugins. À la lumière de ces problèmes, nous verrons comment empêcher les tentatives de piratage en verrouillant votre dossier d’administration.
Le serveur Web Apache dispose d’un mécanisme intégré qui vous permet d’attribuer un mot de passe requis pour un dossier, qui est distinct de votre mot de passe WordPress.
Conseils de sécurité rapides pour les blogs
La sécurité est suffisamment importante pour que j’ai jugé nécessaire d’inclure ici quelques conseils supplémentaires. Ce n’est en aucun cas une liste complète, mais vous devriez quand même les consulter.
- Assurez-vous que vous utilisez la dernière version de WordPress et tous vos plugins.
- Vous devriez envisager de vous abonner à BlogSecurity.net, un blog qui tente de couvrir l’actualité de sécurité sur les plateformes de blogs.
- Assurez-vous que vos autorisations de fichiers sont correctement définies en fonction du Directives WordPress.
- Assurez-vous que vous utilisez des mots de passe difficiles pour tous les comptes.
- Assurez-vous que vous sauvegardez l’intégralité de votre installation et de votre base de données WordPress.
- Verrouillez votre dossier d’administration avec les règles .htaccess (traitées ici)
Attribution manuelle d’un mot de passe au répertoire wp-admin
Créez un fichier nommé .htaccess dans votre répertoire wp-admin et ajoutez le contenu suivant:
AuthName « Zone restreinte »
AuthType Basic
AuthUserFile /var/full/web/path/.htpasswd
AuthGroupFile / dev / null
requiert un utilisateur valide
Vous devrez ajuster la ligne AuthUserFile pour utiliser le chemin complet du fichier .htpasswd que nous créerons à l’étape suivante. Vous pouvez trouver le chemin complet en utilisant la commande de l’invite du shell.
Ensuite, vous devrez utiliser l’utilitaire de ligne de commande htpasswd pour créer le fichier de mot de passe. Je vous conseillerais également d’utiliser un compte d’utilisateur et un mot de passe différents de ceux que vous utilisez pour votre installation WordPress.
$ htpasswd -c .htpasswd mon nom d’utilisateur
Nouveau mot de passe:
Re-taper le nouveau mot de passe:
Ajout d’un mot de passe pour l’utilisateur myusername
Vous voudrez vous assurer que vous êtes dans le répertoire spécifié par AuthUserFile et changer «myusername» en quelque chose d’unique pour votre site. Cela créera un fichier avec un contenu similaire à ce qui suit:
mon nom d’utilisateur: aJztXHCknKJ3.
À ce stade, vous devriez être invité à entrer un mot de passe lorsque vous accédez à votre panneau d’administration WordPress. Vous remarquerez que «Zone restreinte» est le texte du fichier .htaccess, qui peut être remplacé par n’importe quoi d’autre.
Si vous obtenez une erreur de serveur à la place, vous devriez probablement supprimer le fichier .htaccess et recommencer.
Enfin, vous devez vous assurer de supprimer les autorisations d’écriture sur les deux fichiers avec la commande chmod comme couche de sécurité supplémentaire.
chmod 444 .htaccess
chmod 444 .htpasswd
Générateur de fichiers de mots de passe .htaccess
Il existe un excellent outil de Dynamicdrive qui fera tout le travail acharné de création du fichier pour vous. Ceci est particulièrement utile si vous ne disposez pas d’un accès shell à votre serveur, car vous pouvez simplement télécharger les fichiers via votre client FTP / SFTP.
http://tools.dynamicdrive.com/password/
Vous devez toujours vous assurer de supprimer l’accès en écriture une fois les fichiers téléchargés.
