Protégez votre site WordPress avec .htaccess

Contenu

• Configuration du fichier .htaccess
• Protéger wp-config.php
• Accès administrateur à partir de votre adresse IP uniquement
• Interdire les mauvais utilisateurs
• Pas de navigation dans les répertoires
• Empêcher l'accès au contenu wp
• Protection des fichiers individuels
• Protéger .htaccess

WordPress est sans aucun doute le CMS le plus populaire en ce moment, éclipsant d'autres options telles que Joomla et Drupal.

Bien que ce soit une bonne chose pour WordPress, il a maintenant une communauté très importante et active contribuant à des plug-ins, des thèmes et des correctifs, mais avec cette croissance, il a maintenant aussi ses mauvais points ... Quand quelque chose devient aussi grand, les gens trouveront des moyens de attaquer le CMS en question pour quelque raison que ce soit.

Notre travail en tant qu'utilisateurs de WordPress (en plus de contribuer à la communauté WordPress) est de protéger nos installations des personnes que nous ne voulons pas accéder à nos sites.

Il existe de nombreux plug-ins pour aider à renforcer nos défenses WordPress tels que Login LockDown qui enregistre l'adresse IP et les bloque après un nombre défini de tentatives de connexion, ce qui aide contre les attaques par force brute.

Un autre est WP Security Scan qui vérifie votre installation pour les vulnérabilités et suggère des méthodes possibles pour corriger tout ce qu'il peut trouver.

L'une des méthodes les plus ignorées pour assurer la sécurité de votre installation consiste à mettre à jour votre installation lorsque des mises à jour sont disponibles, ce qui garantit que tous les derniers correctifs et correctifs sont appliqués à votre site. (Vous pouvez également supprimer les fichiers readme.html et license.txt du répertoire racine car ils affichent le numéro de version de WordPress que vous avez installé.)

Configuration du fichier .htaccess

Outre les plug-ins, vous pouvez apporter un certain nombre d’ajouts à votre fichier .htaccess qui, associés à des plug-ins et à des mises à jour régulières, renforceront la sécurité de votre site et vous offriront ce niveau de protection supplémentaire.

Je vais en couvrir quelques-uns qui, selon moi, protègent certains des éléments essentiels de votre installation WordPress et vous montrer comment et où ajouter les extraits de code; vous n'êtes pas obligé de les utiliser tous, tout ce que vous pensez vous aiderait à sécuriser votre site.

Le fichier .htaccess WordPress typique ressemble à ceci:

# BEGIN WordPressIfModule mod_rewrite.c> RewriteEngine OnRewriteBase / RewriteRule ^ index .php $ - [L] RewriteCond% {REQUEST_FILENAME}! -FRewriteCond% {REQUEST_FILENAME}! -DRewriteRule. /index.php [L] / IfModule> # END WordPress

Je suggérerais que tout ajout au fichier .htaccess soit ajouté après # END WordPress.

Cela vous garantira de ne casser aucune des fonctions .htaccess basées sur WordPress. Avant d'apporter des modifications à votre fichier .htaccess, je vous recommande fortement de le sauvegarder et de le conserver en lieu sûr!

Protéger wp-config.php

wp-config.php est le fichier dans votre répertoire racine qui stocke les informations sur votre site ainsi que les détails de la base de données, ce fichier en particulier nous ne voudrions pas tomber entre de mauvaises mains.

Dans votre .htaccess, ajoutez ce qui suit pour empêcher tout accès au fichier wp-config.php:

Fichiers wp-config.php> order allow, denydeny from all / Files>

Accès administrateur à partir de votre adresse IP uniquement

Vous pouvez limiter l'accès à votre dossier d'administration par adresse IP.Pour ce faire, vous devez créer un nouveau fichier .htaccess dans votre éditeur de texte et le télécharger dans votre dossier wp-admin.

L'extrait suivant refuse l'accès au dossier d'administration pour tout le monde, à l'exception de votre adresse IP, mais veuillez noter que si vous avez une adresse IP dynamique, vous devrez peut-être modifier régulièrement ce fichier, sinon l'accès vous sera refusé vous-même!

order deny, allowallow de 202.090.21.1 (remplacez par votre adresse IP) refusez de tous

Interdire les mauvais utilisateurs

Si vous avez la même adresse IP en essayant d'accéder à votre contenu ou en essayant de forcer brutalement vos pages d'administration, vous pouvez interdire cette personne en utilisant .htaccess avec ce simple extrait de code:

Limit GET POST> order allow, denydeny from 202.090.21.1allow from all / Limit>

Cette personne ne pourra plus accéder à votre site. Vous pouvez en ajouter d'autres en répliquant la ligne de refus, par exemple:

Limit GET POST> order allow, denydeny from 202.090.21.1deny from 204.090.21.2allow from all / Limit>

Pas de navigation dans les répertoires

Comme WordPress est maintenant si populaire, beaucoup de gens connaissent la structure d'une installation WordPress et savent où chercher pour découvrir quels plug-ins vous pouvez utiliser ou tout autre fichier qui pourrait donner trop d'informations sur votre site, une façon de lutter contre cela est pour empêcher la navigation dans les répertoires.

# recherche de répertoiresOptions Tous -Index

Empêcher l'accès au contenu wp

Le dossier wp-content contient des images, des thèmes et des plug-ins et c'est un dossier très important dans votre installation WordPress, il est donc logique d'empêcher les étrangers d'y accéder.

Cela nécessite son propre fichier .htaccess qui doit être ajouté au dossier wp-content, cela permet aux utilisateurs de voir les images, CSS etc… mais protège les fichiers PHP importants:

Commander deny, allowDeny from allFiles ". (Xml | css | jpe? G | png | gif | js) $"> Allow from all / Files>

Protection des fichiers individuels

Il y a certains fichiers que vous voudrez peut-être protéger individuellement plutôt que de bloquer tout un dossier ou une sélection. L'exemple d'extrait de code montre comment vous empêcheriez l'accès au fichier .htaccess et lèverait un 403 si quelqu'un y accédait. Le nom du fichier peut être changé en n'importe quel fichier que vous souhaitez protéger:

# Protégez les .htaccessfiles .htaccess = ""> order allow, denydeny from all / files>

Protéger .htaccess

Ça a l'air fou, hein? Nous passons tellement de temps à nous demander si nous avons les bons plug-ins et correctifs installés, nous oublions le fait que le fichier .htaccess est toujours ouvert aux attaques.

Cet extrait de code empêche quiconque de consulter les fichiers de votre site commençant par "hta", cela le protégera et le rendra un peu plus sûr.

Fichiers "^. * . ([Hh] [Tt] [Aa])"> ordonner, refuser de tous satisfaire tous / Fichiers>

Nous avons expliqué comment interdire les utilisateurs, empêcher quiconque sauf vous d'accéder à votre dossier d'administration, comment empêcher la navigation dans les répertoires, protéger votre fichier wp-config.php, protéger votre dossier wp-content, protéger des fichiers individuels et même protéger votre fichier .htaccess.

Cette liste d'extraits n'est en aucun cas épuisée, il existe un certain nombre d'autres choses que vous pouvez faire pour protéger votre site via .htaccess, mais les éléments que j'ai couverts aident à protéger certains des fichiers et dossiers clés de votre site et à les conserver. loin des regards indiscrets.