WordPress : bloquer toutes les extensions de fichiers non autorisées

Il m’aura fallu plusieurs heures pour trouver ce hack. Mais je dois dire qu’il va me changer la vie au niveau de la sécurisation de mes blogs WordPress. Jugez-en par vous-mêmes !

Obtenir la liste des extensions d’une branche de votre site

Si vous disposez d’un accès Ssh à votre serveur Web ou bien si vous disposez d’un serveur dédié, pour obtenir la liste des extensions utilisées au niveau d’une branche de votre site, tapez la commande suivante :

find -type f|grep -o ‘ \.[^./]*$’|sort -u

Mise en place de votre whitelist

Pour limiter la liste des fichiers autorisés par leurs extensions, ajoutez à votre fichier .htaccess :

# Seuls sont autorisés les fichiers dont l’extension est gif,jpg,jpeg,png
<FilesMatch « \.(?!(gif|jpe?g|png))$) »>
Order allow,deny
Deny from all
</FilesMatch>

Apache 2.x supporte la syntaxe des expression régulières PCRE et les assertions.

Apache  / .htaccess Apache Expression régulière Expressions régulières Formateur Apache Formateur Expressions régulières Formateur WordPress PCRE Wordpress 

Commentaires

Pas encore de commentaire.

Laisser un commentaire

(requis)

(requis)