Page d'accueil » comment » Protéger votre panneau d'administration WordPress contre les pirates informatiques avec .htaccess

    Protéger votre panneau d'administration WordPress contre les pirates informatiques avec .htaccess

    Si vous utilisez WordPress en tant que plate-forme derrière votre blog ou votre site Web, vous savez probablement qu'il y a eu de nombreuses failles de sécurité, non seulement dans le logiciel lui-même, mais également dans les plugins. À la lumière de ces problèmes, nous verrons comment empêcher les tentatives de piratage en verrouillant votre dossier d'administration..

    Le serveur Web Apache a un mécanisme intégré qui vous permet d'attribuer un mot de passe requis pour un dossier, ce qui est distinct de votre mot de passe WordPress..

    Conseils de sécurité sur le blog

    La sécurité est suffisamment importante pour que j’ai jugé nécessaire d’inclure ici quelques conseils supplémentaires. Ce n'est en aucun cas une liste complète, mais vous devriez quand même vous renseigner.

    • Assurez-vous que vous utilisez la dernière version de WordPress et de tous vos plugins..
    • Vous devriez envisager de vous abonner à BlogSecurity.net, un blog qui tente de couvrir l'actualité de la sécurité sur les plateformes de blogs..
    • Assurez-vous que les autorisations de vos fichiers sont correctement définies conformément aux instructions de WordPress..
    • Assurez-vous que vous utilisez des mots de passe difficiles pour tous les comptes..
    • Assurez-vous de sauvegarder l'intégralité de votre installation WordPress et de votre base de données..
    • Verrouillez votre dossier d'administration avec les règles .htaccess (couvertes ici)

    Affectation manuelle d'un mot de passe à l'annuaire wp-admin

    Créez un fichier nommé .htaccess dans votre répertoire wp-admin et ajoutez le contenu suivant:

    AuthName “Zone restreinte”
    AuthType Basic
    AuthUserFile /var/full/web/path/.htpasswd
    AuthGroupFile / dev / null
    nécessite un utilisateur valide

    Vous devez ajuster la ligne AuthUserFile pour utiliser le chemin d'accès complet au fichier .htpasswd que nous allons créer à l'étape suivante. Vous pouvez trouver le chemin complet en utilisant le pwd commande depuis l'invite du shell.

    Ensuite, vous devrez utiliser l'utilitaire de ligne de commande htpasswd pour créer le fichier de mots de passe. Je vous conseillerais également d'utiliser un compte d'utilisateur et un mot de passe différents de ceux que vous utilisez pour votre installation WordPress.

    $ htpasswd -c .htpasswd myusername
    Nouveau mot de passe:
    Re-taper le nouveau mot de passe:
    Ajouter un mot de passe pour l'utilisateur myusername

    Vous voudrez vous assurer que vous vous trouvez dans le répertoire spécifié par AuthUserFile, et remplacez «myusername» par un nom unique pour votre site. Cela créera un fichier avec un contenu similaire à celui-ci:

    myusername: aJztXHCknKJ3.

    À ce stade, vous devriez être invité à saisir un mot de passe lorsque vous accédez à votre panneau d'administration WordPress. Vous remarquerez que «Zone restreinte» est le texte du fichier .htaccess, qui peut être remplacé par autre chose..

    Si vous obtenez une erreur de serveur à la place, vous devriez probablement supprimer le fichier .htaccess et recommencer..

    Enfin, vous devez vous assurer que vous supprimez les autorisations d'écriture sur les deux fichiers avec la commande chmod en tant que couche de sécurité supplémentaire..

    chmod 444 .htaccess

    chmod 444 .htpasswd

    .htaccess Générateur de fichier de mot de passe

    Dynamicdrive est un excellent outil qui fera tout le travail de création du fichier pour vous. Ceci est particulièrement utile si vous n'avez pas d'accès shell à votre serveur, car vous pouvez simplement télécharger les fichiers via votre client FTP / SFTP..

    http://tools.dynamicdrive.com/password/

    Vous devez toujours vous assurer que vous supprimez l'accès en écriture une fois les fichiers téléchargés..