Dans cette rubrique, nous allons parler de quelques astuces afin de bien protéger votre blogue sous WordPress. L’utilisation sous Apache d’un fichier de configuration .htaccess est indispensable.

Ce fichier sert à de nombreuses fonctions dont la sécurité, notre sujet aujourd’hui.

Débutez tout d’abord votre fichier .htacess avec :

1.

<files wp-config.php>
order allow,deny
deny from all
</files>

La protection du fichier de configuration de WordPress dont les informations de la base de données est très importante.

2.

order deny,allow
allow from XXX.XXX.XXX.XXX
deny from all

Créez un fichier .htacess dans le répertoire wp-admin, pour seulement votre adresse I.P. Ainsi personne d’autre peut accéder à ce répertoire. Naturellement, si vous avez une adresse dynamique, il faudra ajuster votre fichier .htacess via le ftp à l’occasion.

3.

<Files .htaccess>
order allow,deny
deny from all
</Files>

Renforcez tous vos fichiers .htaccess avec ce code, cela prévient toute manipulation de ceux-ci par des pirates ou des logiciels.

4.

Options All -Indexes

Ajoutez cette ligne pour prévenir de lister le répertoire.

5.

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Protégez le répertoire wp-includes qui n’ont pas besoin d’être accédés.

6.

order deny,allow
deny from all
<files ~ ".(xml|css|jpe?g|png|gif|js)$">
allow from all
</files>

Finalement, protégez le répertoire wp-content avec ce code.

Dernier conseil :

En plus de ces méthodes, je conseille d’installer un autre fichier .htaccess dans le répertoire /uploads. Ceci afin de prévenir les codes malicieux qui peuvent se trouver dans des plugins ou des thèmes. Nul n’est à l’abri d’un développeur distrait qui a fait une erreur et où son code peut mener à pirater votre site par un « exploit ».

La plupart de ces « exploit », utilisent un programme inclus dans un fichier qui peut sembler banal à première vue. Par expérience, ces « exploit » créent d’autres fichiers afin de mieux se répandre dans votre site web et le fichier « uploads » est prisé car souvent les droits d’accès de ce répertoire sont bas.

Incluez donc un fichier .htaccess dans le répertoire /uploads :

<Files *.php> 
deny from all 
</Files> 

Ceci préviendra un possible code malicieux de créer des fichiers .php afin de pirater en profondeur votre site web.