Sécuriser un blog WordPress

Sécuriser un blog WordPressAprès avoir configuré votre serveur Apache en mode https sur votre serveur dédié ou avoir activé le SSL sur votre serveur mutualisé, je vous conseille de faire l’installation de WordPress en mode SSL. Une fois l’installation terminée, il vous reste beaucoup de choses à faire comme :

  1. effectuer vos mises à jour WordPress, ainsi que vos extensions ;
  2. supprimer les extensions inutilisées ;
  3. nettoyer les thèmes inutilisés ;
  4. activer le SSL au niveau de l’interface d’administration de WordPress (vous pouvez aussi utiliser la directive SSLRequireSSL ;
  5. restreindre l’accès à l’interface d’administration par les adresses IP ou les noms de domaines ;
  6. masquer le numéro de version de votre WordPress ;
  7. définir des whitelists par répertoire et notamment au niveau du dossier wp-content/uploads ;
  8. définir des blacklists par drapeau d’écriture associé à la directive RewriteRule utilisable dans le .htaccess, là-encore, pour protéger les répertoires ;
  9. installer les extensions User Locker et SI Captcha Antispam ;
  10. ajouter dans le dossier /etc/httpd/conf.d/ un fichier hosts.conf  – vous pouvez aussi utiliser le fichier .htaccess – contenant un ensemble de domaines et de suffixes clairement identifiés comme spammeurs ;
  11. restreindre les droits sur le répertoire WordPress (*) à l’aide des commandes suivantes.
chown apache:apache -R /home/www
find /home/www -type d -exec chmod 555 {} \;
find /home/www -type f -exec chmod 444 {} \;

(*) Certaines extensions exigent pour fonctionner correctement de disposer de droits en écriture sur certains de leurs dossiers. Pour ajouter de nouvelles extensions vous devez redonner les droits sur le dossier wp-content/plugins. Faites attention aux droits sur le répertoire wp-content/uploads, etc.

Sécurité  / .htaccess Apache Formateur Apache Formateur Sécurité informatique Formateur WordPress httpd.conf RewriteRule Sécurité informatique Wordpress 

Commentaires

Il faut également supprimer ou interdire l’accès au fichier readme.html qui contient le numéro de version du wordpress…

@ChoiZ

Exact. Il y a aussi le fichier license.txt qui contient l’année de fabrication de la version. ;+)

Excellente idée la blacklist des extensions dans le uploads, je vais mettre ça en place de mon côté :-)

Pour l’accès SSL à l’admin, je préfère pour ma part passer par un rewrite pour rediriger les requêtes non SSL vers le SSL, comme expliqué dans le Wiki Apache : https://wiki.apache.org/httpd/RewriteHTTPToHTTPS

SSLRequireSSL provoque renvoie des erreurs 403, ça m’a parfois posé problème avec des plug-ins mal foutus dont l’interface d’administration utilisait des URL absolues avec le http:// en dur.

@Laurent

J’utilise aussi cette méthode, en effet !

Laisser un commentaire

(requis)

(requis)