Aujourd'hui, nous continuons notre série d'articles concernant la protection de votre blog WordPress. Tout votre contenu ne doit pas être à la merci des hackers sur Internet. C'est pour cela qu'il vous faut un blog bien protégé.
Et pour cela, il y a des solutions. Nous en avons vu 3 dans l'article précédent. Nous allons en voir trois autres maintenant. C'est parti.
Sécuriser son blog WordPress
1/ Limitez le nombre de connexions échouées sur votre blog.
Comme sur les sites bancaires, vous pouvez limiter un nombre de connexions invalides sur votre blog. Le plugin Login LockDown est parfait pour cette utilisation. Il vous permet notamment de :
- Limiter le nombre de connexions invalides sur votre blog.
- Mettre une période de restrictions (ex : "Vous pourrez essayer de vous reconnecter dans 5 min").
- Verrouiller la connexion à votre blog pendant une certaine durée.
- Masquer les erreurs de connexion (qui peuvent être utilisées par les hackers).
Grâce à ce plugin, vous mettez une nouvelle barrière de sécurité sur votre blog. Je vous recommande de l'installer.
2/ Protégez votre répertoire wp-admin.
Ce répertoire ne doit en aucun cas, être à la merci d'autres personnes. C'est le coeur de votre blog. Tous les fichiers importants se trouvent dans ce répertoire. Il n'y a qu'une personne qui doit pouvoir y accéder. C'est vous. Il vous est donc nécessaire de verrouiller l'accès à ce dossier via un fichier .htaccess.
Création du fichier htaccess
Étape 1 : Créez un fichier blocnote (document texte) sur votre bureau. N'écrivez rien dedans et enregistrez-le sous le nom : htaccess.txt.
Étape 2 : Importez ce fichier sur votre serveur à la racine du dossier /wp-admin/. Le chemin du fichier sera donc le suivant : /wp-admin/htaccess.txt ou /votreblog/wp-admin/htaccess.txt si vous avez installé votre blog dans un dossier.
Étape 3 : Une fois que votre fichier est sur le serveur, renommez le en ".htaccess" (sans les guillemets).
Mise en place de la protection du dossier
Étape 1 : Allez sur le site mon-ip.com pour connaître votre adresse IP. Notez là
Étape 2 : Éditez votre fichier .htaccess puis copiez/collez ce bout de code :
order deny,allow
allow from XX.XX.XX.XXX
deny from all
XX.XX.XX.XXX : remplacez les XX par votre adresse IP.
Je pense que vous avez compris. Vous seul pourrez accéder à ce dossier puisque seule votre adresse IP aura le droit d'y accéder.
Pour une vérification simple, allez dans votre plugin WP Security Scan. Vous devriez avoir cette ligne en verte :
3/ Protégez votre fichier wp-config.php.
Votre fichier wp-config.php doit lui aussi être protégé. Il contient toutes les informations confidentielles de votre blog (mot de passe, nom de la base de données, préfixe, etc). La protection se fait également à l'aide d'un fichier .htaccess.
Dans le fichier .htaccess situé à la racine de votre blog, copiez/collez ce bout de code :
<files wp-config.php>
order allow,deny
deny from all
</files>
De cette façon, votre fichier wp-config.php sera protégé et personne n'aura le droit d'y accéder sauf vous via votre logiciel FTP.
Conclusion
Avec ces 3 étapes simples, votre blog est encore mieux protégé. Que ce soit votre fichier wp-config.php ou le dossier wp-admin, ils doivent recevoir un maximum de protection.
Récapitulons. Si vous avez suivi la première partie de cette série d'articles, votre blog est maintenant protégé sur plusieurs niveaux.
- Vous utilisez toujours la dernière version de WordPress.
- Vous avez supprimé la version de WordPress dans le code source.
- Vous avez supprimé la version de wordpress à la fin des fichiers CSS et JS.
- Votre blog est verrouillé en nombre de connexions.
- Votre dossier wp-admin est protégé.
- Votre fichier wp-config est protégé.
Dans deux jours, la troisième partie de cette longue série d'articles sur la sécurisation d'un blog WordPress sera disponible. En attendant, si vous avez d'autres idées pour bien protéger votre blog, je vous laisse vous exprimer dans les commentaires.