par 
Aujourd’hui, je lisais mes flux RSS et je suis tombé sur un article très intéressant de Matt Cutts. En gros, il décrivait 3 astuces (plus un bonus) pour sécuriser votre installation WordPress. J’en utilisais déjà deux, mais le premier était nouveau pour moi et semble également être le plus efficace.
1. Sécurisez le répertoire /wp-admin/
Vous savez probablement que la plupart de vos informations sensibles WordPress sont stockées dans le dossier /wp-admin/. Dès la sortie de la boîte, WordPress laisse ce dossier ouvert, afin que les gens puissent accéder à ces fichiers s’ils savent ce qu’ils font.
Matt suggère de placer un fichier .htaccess dans le dossier /wp-admin/ pour bloquer l’accès à toutes les adresses IP, sauf la vôtre. Voici le code que vous devez mettre dans le fichier .htaccess :
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Example Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from xx.xx.xx.xx
allow from xx.xx.xxx.xx
</LIMIT>
2. Cachez vos plugins
De nombreux plugins WordPress sont livrés avec des bugs et des vulnérabilités qui peuvent être exploités pour endommager votre site Web. Par conséquent, la dernière chose que vous voulez, c’est que d’autres personnes puissent savoir quels plugins vous utilisez.
Cependant, si vous visitez le dossier /wp-content/plugins/ sur la plupart des blogs, vous pourrez voir tous les plugins utilisés. Pour masquer cette liste, il vous suffit de créer un fichier index.html vide et de le déposer ici.
3. Suivez les correctifs et les mises à jour
La plupart des blogueurs appliquent probablement déjà cette astuce. Gardez simplement votre WordPress à jour et tout devrait bien se passer. Matt suggère de s’abonner au blog de développement WordPress.
Le dernier conseil bonus consistait simplement à supprimer la balise méta qui révèle votre version de WordPress sur l’en-tête de votre site.
Connaissez-vous d’autres conseils de sécurité que les utilisateurs de WordPress devraient appliquer ?
Mettre à jour: En naviguant sur Internet, je suis également tombé sur un plugin WordPress appelé Login LockDown. Fondamentalement, il traquera les tentatives de connexion à votre site, et s’il y en a trop qui proviennent de la même adresse IP sur une courte période, le plugin désactivera la fonction de connexion pour cette plage IP. Utile pour éviter que des personnes essaient de forcer brutalement votre mot de passe.
À propos de Daniel
Daniel Scocco est un programmeur et entrepreneur situé à São Paulo, au Brésil. Sa première entreprise, Online Profits, construit et gère des sites Web dans différents créneaux. Sa deuxième entreprise, Kubic, est spécialisée dans le développement d’applications mobiles pour les plateformes iOS et Android.
