WordPress : protéger le fichier wp.login.php et le dossier wp-admin
17 décembre 2011
Après avoir subi les assauts de quelques Ostrogoths, vous devriez envisager, très sérieusement, de protéger la page wp-login.php de votre site WordPress, ainsi que l’accès à l’interface d’administration. J’ai choisi, pour ma part, une solution radicale. Concernant l’interface d’administration, j’ai décidé d’interdire l’accès à toutes les machines autres que celles dont le FQDN (Full Qualifdied Domain Name) ne se terminait pas en .fr. Soyez prudents si vous deviez vous connecter à partir de l’étranger, voir à partir de bornes Wi-Fi ou des smartphones, y compris dans notre bel Hexagone.
Interdire l’accès à votre page wp-login et votre répertoire wp-admin
Vous pouvez ajouter le code suivant aux fichiers /etc/httpd/conf/httpd.conf, .htaccess à la racine de votre site ou bien créer un fichier dans le dossier /etc/httpd/conf.d/, à la condition qu’il dispose de l’extension .conf.
<Files ~ « wp-config|awstats »>
Order Deny,Allow
Deny from All
Allow from .fr
ErrorDocument 403 /
</Files>
<Directory ~ « wp-admin|awstats »>
Order Deny,Allow
Deny from All
Allow from .fr
ErrorDocument 403 /
</Directory>