Sécuriser un blog WordPress
20 mai 2015
Après avoir configuré votre serveur Apache en mode https sur votre serveur dédié ou avoir activé le SSL sur votre serveur mutualisé, je vous conseille de faire l’installation de WordPress en mode SSL. Une fois l’installation terminée, il vous reste beaucoup de choses à faire comme :
- effectuer vos mises à jour WordPress, ainsi que vos extensions ;
- supprimer les extensions inutilisées ;
- nettoyer les thèmes inutilisés ;
- activer le SSL au niveau de l’interface d’administration de WordPress (vous pouvez aussi utiliser la directive SSLRequireSSL ;
- restreindre l’accès à l’interface d’administration par les adresses IP ou les noms de domaines ;
- masquer le numéro de version de votre WordPress ;
- définir des whitelists par répertoire et notamment au niveau du dossier wp-content/uploads ;
- définir des blacklists par drapeau d’écriture associé à la directive RewriteRule utilisable dans le .htaccess, là-encore, pour protéger les répertoires ;
- installer les extensions User Locker et SI Captcha Antispam ;
- ajouter dans le dossier /etc/httpd/conf.d/ un fichier hosts.conf – vous pouvez aussi utiliser le fichier .htaccess – contenant un ensemble de domaines et de suffixes clairement identifiés comme spammeurs ;
- restreindre les droits sur le répertoire WordPress (*) à l’aide des commandes suivantes.
chown apache:apache -R /home/www
find /home/www -type d -exec chmod 555 {} \;
find /home/www -type f -exec chmod 444 {} \;
(*) Certaines extensions exigent pour fonctionner correctement de disposer de droits en écriture sur certains de leurs dossiers. Pour ajouter de nouvelles extensions vous devez redonner les droits sur le dossier wp-content/plugins. Faites attention aux droits sur le répertoire wp-content/uploads, etc.