Vous voulez créer un site avec Wordpress mais vous ne savez pas comment vous y prendre ? Grâce à cette série de tutoriels vous allez apprendre pas à pas de façon complète comment créer un site, avec comme exemple le mien que je vais construire en même temps que vous.
I show in this article how to secure wordpress with the help of. htaccess
Sommaire de la série :
- WordPress #1 : Installation
- WordPress #2 : Premier démarrage
- WordPress #3 : Paramétrage et mises à jour
- WordPress #4 : Les articles
- WordPress #5 : Les thèmes
- WordPress #6 : Le .htaccess partie 1
Dans le tutoriel précédant, nous avions commencé à parler .htaccess, notamment au niveau de la sécurité. Aujourd'hui nous allons continuer.
1] Sécurité
1] Protéger wp-includes et wp-content
Le code que je vais vous présenter permet de bloquer l' utilisation directe des fichiers php. Veuillez donc créer des fichiers .htaccess dans ces deux dossier avec le code correspondant :
Pour wp-includes :
allow from all
<FilesMatch ".(?i:php)$">
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
Require all denied
Allow from all
Allow from all
Pour wp-content :
<FilesMatch ".(?i:php)$">
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
Require all denied
Pour wp-content/uploads (créez un 3eme fichier .htaccess) :
<FilesMatch ".(?i:php)$">
<IfModule !mod_authz_core.c>
Order allow,deny
Deny from all
Require all denied
Note : Ce code est aussi fourni via le plugin Sucuri. Nous verrons ainsi comment l' installer dans un prochain tutoriel.
2] Protéger wp-admin
wp-admin est le menu de configuration de WordPress, et de bien d' autres choses...
Il faut donc le sécuriser au même titre que le répertoire de base.
1] Double authentification
Pour pouvoir ajouter une double authentification à l' interface d' administration, faites ceci :
- Allez sur http://www.htaccesstools.com/htpasswd-generator/, rentrez les identifiants puis cliquez sur Create .htpasswd file. Copiez le contenu dans un fichier .htpasswd que vous créerez dans le /wp-admin.
- Créez un fichier php.info dans /wp-admin avec comme contenu :
- Accédez à ce fichier pour trouver le chemin d' accès du .htpasswd.
- Créez le fichier .htaccess et ajoutez le code suivant :
AuthType Basic
AuthName "Protected page"
AuthUserFile /home/.htpasswd
Require valid-user
Order allow,deny
Allow from all
Satisfy any
Order allow,deny
Allow from all
Satisfy any
<Files ".(css|gif|png|js)$">
Order allow,deny
Allow from all
Satisfy any
- Mettez le bon chemin (AuthUserFile /home/.htpasswd est à changer)
Et voilà, vous disposez maintenant d' une double authentification !
3] Limiter le hotlinking
Le hotlinkining, c'est quand quelqu' un prends votre image sur son site avec son lien. Le problème c'est que cela pome littéralement la bande passant. Pour éviter ça, ajoutez le code suivant :
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?monsite.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ http://fakeimg.pl/400x200/?text=Pas_touche_aux_images [NC,R,L]
Et pour l' autoriser sur certains sites, ajoutez ce code :
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?steemit.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?busy.org [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?utopian.io [NC]
RewriteRule .(jpg|jpeg|png|gif)$ http://fakeimg.pl/400x200/?text=Pas_touche_aux_images [NC,R,L]
4] Désactiver les rapports d' erreur
Les rapports d' erreur sont facile à obtenir. Même complexes à décrypter, ils peuvent aider les pirates à trouver des failles, en donnant notamment le chemin de votre blog par rapport à votre hébergeur.
Ajoutez donc le code suivant :
php_flag display_errors Off
5] Protéger votre site des attaques URL
Le code suivant va protéger votre site des attaques URL en bloquant l' accès à certains fichiers qui ne sont pas censés s' ouvrir.
Order allow,deny
Deny from all
Order allow,deny
Deny from all
Order Allow,Deny
Deny from all
Satisfy all
RedirectMatch 403 [
RewriteEngine On
RewriteBase /
RewriteCond %{THE_REQUEST} ^[A-Z]+\ /(([^/\ ]+/))/+([^\ ])
RewriteRule ^ /%1%3 [L,R=301]
Et voilà ! Votre site est maintenant bien sécurisé, paré à résister aux attaques des pirates ! ;-)
Nous en avons fini avec la sécurité, mais pas avec le .htaccess ! ^^
A bientôt !
C'est Bon ça!
ça vas m'aidez, car je suis entrain de le faire mais on s'y perd !
Merci !
You Welcome !
Toujours aussi bien c'est articles sur WordPress, continues !
Merci, le plus dur pour écrire l' article c'est de faire fonctionner la balise code lol ^^
Nice !:)
Merci !
Congratulations! This post has been upvoted from the communal account, @minnowsupport, by ZongUin from the Minnow Support Project. It's a witness project run by aggroed, ausbitbank, teamsteem, theprophet0, someguy123, neoxian, followbtcnews, and netuoso. The goal is to help Steemit grow by supporting Minnows. Please find us at the Peace, Abundance, and Liberty Network (PALnet) Discord Channel. It's a completely public and open space to all members of the Steemit community who voluntarily choose to be there.
If you would like to delegate to the Minnow Support Project you can do so by clicking on the following links: 50SP, 100SP, 250SP, 500SP, 1000SP, 5000SP.
Be sure to leave at least 50SP undelegated on your account.
Your Post Has Been Featured on @Resteemable!
Feature any Steemit post using resteemit.com!
How It Works:
1. Take Any Steemit URL
2. Erase
https://3. Type
reGet Featured Instantly – Featured Posts are voted every 2.4hrs
Join the Curation Team Here
Complexe mais complet!
Super travail!
Merci beaucoup :-) !
You have collected your daily Power Up! This post received an upvote worth of 0.36$.
Learn how to Power Up Smart here!