WordPress : les bases pour sécuriser son blog

sécuriser son blog wordpress avec le fichier htaccess

WordPress : les bases pour sécuriser son blog

Aujourd’hui je vous livre quelques clefs pour sécuriser votre site ou blog wordpress, à vrai dire, ce sont des basiques que je vous conseille de mettre en place sur votre blog puisque cela m’a bien servi personnelement.

8 astuces à découvrir et à mettre en place sur votre propre blog.

En effet, wordPress étant de plus en plus utilisé, cela fait de lui une cible pour les pirates.

Pour effectuer ces modifications, il faudra passer par le fichier .htaccess accessible à la racine de votre site / blog, c’est à dire là où tout vos fichiers wordpress se trouvent, directement dans votre premier dossier sur votre client FTP, car c’est un fichier caché accessible uniquement via FTP. (j’utilise pour ma part FileZilla)

Qu’est ce que le fichier .htaccess ?

Littéralement c’est l’abréviation de HypertextAccess, il est utilisé par les serveurs web apache pour différentes configurations. Ce fichier peut être utilisé pour tout types de configurations du serveur (redirections, pages 404 erreur, bloquer l’accès aux repertoires du site) et est très utile dans le cas de wordpress.

Où le trouver ?

Ouvrez votre client FTP (ici c’est filezilla), connectez vous avec vos identifiants communiqués par votre hébergeur (pour ma part ovh), j’ai un dossier WWW que j’ouvre pour accéder à ceci :

 

sécuriser wordpress blog

Dans un premier temps…

Je vous conseillerais d’ouvrir votre éditeur de texte et de faire un copier / coller de votre .htaccess actuel afin de le sauvegarder avant toutes modifications. En effet, c’est un fichier de configuration qui agit globalement sur votre site, une mauvaise manip donc peut rapidement faire planter l’intégralité de votre blog! Alors mieux vaut prévenir que guérir non?

Si une erreur apparait suite à une modification, par exemple erreur 500 « server internal error » , il vous suffira juste de faire glisser la sauvegarde de votre ancien fichier .htaccess et sauvegarder afin d’annuler et de tout faire rentrer dans l’ordre. Pas de panique!

Le .htaccess par défaut de wordpress

# BEGIN WordPress

RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]

# END WordPress

Toutes les lignes de codes à ajouter dans ce tutoriel, sont à ajoutés avant la balise # END

Lexique

Le « wp-config.php » : est un des fichiers les plus fragiles de votre blog, il contient toutes les infos en rapport avec votre base de donnée.

Les répertoires de votre blog : c’est l’ensemble de vos fichiers wordpress, tout le monde peut y accéder avec l’adresse de votre blog + nom des repertoires. Il est important d’empêcher cela.

Désactiver l’affichage des repertoires :

Cela permettra d’empêcher n’importe qui d’accéder à vos fichiers internes.

# Empêcher le listage des répertoires
IndexIgnore *

Protéger le WP-CONFIG.php

Comme dit plus haut, le fichier le plus sensible contenant toutes vos infos de connexion, il est en général la cible principale des pirates. Vous pouvez donc le sécurisez en ajoutant le morceaux de code suivant à votre .htaccess :

# Securiser wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

Protéger le .htaccess

Deuxième fichier des plus important à protéger. Ajoutez ce code au fichier .htaccess lui même :

# Securiser .htaccess 
<Files ~ "^.*\.([Hh][Tt][AaPp])">
order allow,deny
deny from all
satisfy all
</Files>

Cacher votre identifiant auteur

De base, tout le monde peut retrouver notre identifiant « auteur », ce n’est pas terrible pour les pirates, cela veut dire qu’il est très simple d’obtenir notre ID de connexion, manquera plus que le mot de passe. Pour empêcher cela, évitez d’afficher votre identifiant / nom d’auteurs sur vos articles, et  ajoutez le code suivant :

# Cachet identifiant auteur
<IfModule mod_rewrite.c>
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* - [F]
</IfModule>

Créer une redirection 301

Une redirection 301 est une direction permanente, cela vous servira si vous avez passé votre blog d’un sous dossier à la racine de votre site, ou inversement, ou encore si vous désirez rediriger de manière permanente un ancien article vers sa nouvelle adresse.

# Redirection 301 d'une page 
Redirect 301 /monanciennepage/ http://www.monblog.com/manouvellepage

# Redirection 301 d'une nouvelle catégorie 
Redirect 301 /category/monanciennecategorie/ http://www.monblog.com/categorie/manouvellecategorie/

# Redirection 301 d'un sous dossier à la page d'accueil du blog 
Redirect 301 /monanciendossier/ http://www.monblog.com/

Passez en navigation HTTPS

Pour proposer une version sécurisée de votre blog à vos lecteurs, il est bien d’utiliser cette redirection, et obligatoire de l’utiliser en cas de sites e commerce afin de sécuriser les données bancaire et moyens de paiement.

En effet, depuis 2017, beaucoup de sites / blogs sont désormais passé au protocole HTTPS, Google reconnaît également qu’un blog en HTTPS sera mieux référencé.

# Redirection de tout votre site vers HTTPS 
RewriteCond     %{SERVER_PORT} ^80$
RewriteRule     ^(.*)$ https://%{SERVER_NAME}%{REQUEST_URI} [L,R]

Accélérez le chargement de votre blog avec la compression

Ce code donnera un coup de boost à votre blog en compressant certaines ressources

# Compression fichiers statiques
<IfModule mod_deflate.c> 
    AddOutputFilterByType DEFLATE text/xhtml text/html text/plain text/xml text/javascript application/x-javascript text/css 
    BrowserMatch ^Mozilla/4 gzip-only-text/html 
    BrowserMatch ^Mozilla/4\.0[678] no-gzip 
    BrowserMatch \bMSIE !no-gzip !gzip-only-text/html 
    SetEnvIfNoCase Request_URI \.(?:gif|jpe?g|png)$ no-gzip dont-vary 
    Header append Vary User-Agent env=!dont-vary 
</IfModule>  

AddOutputFilterByType DEFLATE text/html  
AddOutputFilterByType DEFLATE text/plain  
AddOutputFilterByType DEFLATE text/xml  
AddOutputFilterByType DEFLATE text/css  
AddOutputFilterByType DEFLATE text/javascript
AddOutputFilterByType DEFLATE font/opentype
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/json  

Bloquer l’injection de fichiers pirates

Certaines personnes malveillantes peuvent tenter d’envoyer des fichiers sur votre serveur pour pirater votre site, on appelle cela l’injection de code, ajoutez ce code pour vous protéger contre cette pratique :

# Se proteger contre les injections de fichiers pirates
RewriteCond %{REQUEST_METHOD} GET
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=http:// [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=(\.\.//?)+ [OR]
RewriteCond %{QUERY_STRING} [a-zA-Z0-9_]=/([a-z0-9_.]//?)+ [NC]
RewriteRule .* - [F]

Voila cet article est terminé, vous avez désormais les 8 astuces basiques à mettre en place sur voter blog wordpress afin de le sécuriser un minimum! J’espère que tout a bien fonctionné chez vous , je vous conseille à nouveau de bien faire une sauvegarde de votre fichier .htaccess afin de le remettre en place si une manipulation crée une erreur.

à bientôt!

EnregistrerEnregistrer

EnregistrerEnregistrer

EnregistrerEnregistrer

EnregistrerEnregistrer

Pas de commentaire

Poster un commentaire