French

Cacher les WP-includes, WP-contenu/téléchargements de votre site WordPress – Plugin GRATUIT & Via .htaccess (Hide WP-includes, WP-content/uploads)

Published on: January 27, 2021

Cacher les WP-includes, WP-contenu/téléchargements de votre site WordPress – Plugin GRATUIT & Via .htaccess (Hide WP-includes, WP-content/uploads)

WordPress est sans aucun doute l’un des systèmes de gestion de contenu les plus recommandés. 75 millions de sites web, y compris des entreprises, des blogs, des professionnels et des divertissements, sont actuellement construits sur WordPress. Cela le classe également parmi les plus vulnérables aux attaques en ligne. Alors que la plupart des attaques en ligne résultent de versions non patchées et de plugins vulnérables, une autre source importante de vol de données WordPress est l’accès à la divulgation d’éléments essentiels de WordPress. Prenons, par exemple, la navigation dans les répertoires.

Il arrive souvent que lorsque votre serveur web est incapable de trouver un fichier d’index (c’est-à-dire un fichier comme index.php ou index.html), il affiche par défaut une page d’index révélant le contenu du répertoire.

Navigation dans les annuaires sous WordPress

Le plugin WP-Hardening vous permet de corriger facilement la navigation dans les répertoires en un clic. WP-Hardening est une solution unique pour résoudre la plupart de vos problèmes de sécurité WordPress.

Voici comment cela fonctionne :

  • Installez le plugin de durcissement WP et activez-le. Il sera affiché dans le coin inférieur gauche de votre panneau d’administration.

WP Harden

  • Allez à l’onglet “Correcteurs de sécurité“.
  • Naviguez jusqu’à “Server Hardening” et basculez simplement la touche située à côté de “Hide Directory Listing of WP includes“.

Cacher les WP-inclus avec le plugin WP-Hardening

  • Et c’est fini !

Rendre ces informations publiques pourrait rendre votre site vulnérable aux pirates informatiques. Car elle révèle aux pirates les informations importantes nécessaires pour exploiter une vulnérabilité potentielle du thème WordPress, du plugin ou du serveur.

Pourquoi cacher les dossiers WordPress au public ?

En raison d’un nombre croissant d’attaques de WordPress CMS, il est essentiel de désactiver la navigation dans les répertoires. Les pirates peuvent exploiter la navigation dans les répertoires pour révéler des fichiers présentant des vulnérabilités connues et, à leur tour, l’exploiter pour obtenir un accès non autorisé. En outre, la navigation dans les répertoires peut être utilisée par des personnes extérieures pour imiter le contenu de votre fichier, découvrir la structure de votre répertoire et d’autres informations. C’est pourquoi il est impératif de restreindre l’indexation et la navigation dans les répertoires.

Cela peut être fait en modifiant votre fichier .htaccess. Le fichier .htaccess est un fichier de configuration du serveur qui permet essentiellement à l’utilisateur de définir les règles que son serveur doit suivre pour son site web. Le fichier .htaccess est situé dans le dossier racine de votre site WordPress. Pour l’éditer, vous devez vous connecter à votre site web à l’aide d’un client FTP. Il est important de noter qu’avant de commencer à éditer votre fichier .htaccess, il est important de télécharger une copie de celui-ci sur votre ordinateur comme sauvegarde à utiliser au cas où quelque chose tournerait mal.

Comment cacher les dossiers WP de l’accès public ?

Ajoutez la ligne de code suivante au fichier .htaccess à la racine de votre site web :

Options -Indexes

Cela empêchera l’inscription dans l’annuaire sur tout le site web.

Comment masquer l’URL de connexion à WordPress ?

L’URL de connexion à WordPress peut être masquée par plusieurs méthodes :

  • Avec WP-Hardening : Le plugin WP Hardening vous permet de spécifier une URL personnalisée pour votre connexion à WordPress. La nouvelle URL peut être spécifiée dans la section “Security Fixers” des paramètres de WordPress. Si un plugin de mise en cache est utilisé sur le site web, la nouvelle page de connexion doit être ajoutée à la liste des pages qui sont exclues de la mise en cache.
  • En établissant une liste blanche des adresses IP : Dans cette méthode, seules les adresses IP figurant sur la liste blanche peuvent accéder à la page d’ouverture de session et un message d’erreur est affiché pour chaque autre adresse IP. Cette méthode est recommandée si vous avez une IP statique et que peu de personnes ont besoin d’accéder à votre panneau d’administration WordPress. Il vous suffit d’ajouter le code suivant dans votre fichier .htaccess et de remplacer le “!^123.123.123.123$”.
<IfModule mod_rewrite.c>
 RewriteEngine on
 RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
 RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
 RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
 RewriteRule ^(.*)$ - [R=403,L]
 </IfModule>

Si plusieurs adresses IP doivent être ajoutées, il suffit d’ajouter une nouvelle ligne pour chacune d’entre elles, comme indiqué ci-dessous :

RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteCond %{REMOTE_ADDR} !^223\.223\.223\.223$

Votre page de connexion ne sera désormais visible que pour ces adresses IP.

Protéger votre page d’administration du WP

Comment cacher les contenus/téléchargements WP de votre WordPress ?

On peut facilement cacher un certain dossier pour qu’il ne soit pas accessible au public en modifiant un peu le fichier .htaccess. Pour cacher le dossier “Uploads” au public :

  • Ouvrez votre client FTP
  • Naviguer vers les contenus/téléchargements wp
  • Créer un nouveau fichier et le nommer “.htaccess” et l’ouvrir
  • Copiez et collez le code suivant dans le fichier :
  • Ordonner l’autorisation, refuser
  • Refuser de tous
  • Permettre de tous
  • Enregistrez les modifications.
  • Pour vérifier les modifications, naviguez sur http://yourdomain.com/wp-content/uploads/ où vous devriez maintenant obtenir une erreur 404 ou une page blanche qui n’affiche pas le contenu de votre dossier de téléchargement.

Désactiver le listage des annuaires dans WordPress

Comment cacher les WP-includes de votre WordPress

Il est important de restreindre l’accès au dossier WP-includes car il contient des fichiers strictement destinés à exécuter la version de base de WordPress. C’est celui qui ne contient aucun plugin ou thème et qui abrite le thème par défaut dans le répertoire wp-content/theme. L’accès au dossier includes peut être désactivé en utilisant le code suivant dans le fichier .htaccess :

# Block wp-includes folder and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>

Comment cacher WP-admin alias WP-login

Nous savons tous que l’URL par défaut pour visiter la page de connexion de n’importe quel site WordPress est nom du site / wp-admin. Cependant, exposer votre page de connexion par défaut à l’administrateur peut inviter les pirates à l’inspecter, et même à découvrir vos identifiants. Il est donc essentiel de masquer votre page d’administration et de connexion pour non seulement compliquer la tâche des pirates mais aussi pour obtenir une protection supplémentaire de la part des communautés non pirates.

Guide connexe – Guide complet sur la sécurité de WordPress (Réduire le risque de piratage de 90%)

  • Connectez-vous au tableau de bord de votre serveur. Allez dans votre dossier public_html dans Cpanel et ouvrez votre fichier .htaccess dans l’éditeur de code. S’il n’est pas visible pour vous, activez l’option “Afficher les fichiers cachés” sous visibilité et ensuite éditez-le.
  • Ajoutez le code suivant au début de votre fichier .htaccess. Il peut contenir certains codes, mais vous devez le coller au début de chaque code.

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist <span style="color: #00ff00;">Prakhar IP</span> address allow from <span style="color: #00ff00;">xx.xx.xx.xxx</span> # whitelist <span style="color: #00ff00;">Satyansh IP</span> address allow from <span style="color: #00ff00;">xx.xx.xx.xxx</span> </LIMIT>

Remplacez les textes en vert par le nom et l’adresse IP de vos appareils (ordinateurs, ordinateurs portables, smartphones). Le nombre d’utilisateurs peut être augmenté en répétant le même code, c’est-à-dire #whitelist nom d’utilisateur adresse.

Les hacks WordPress ci-dessus font partie des nombreux htaccess hacks qui renforcent votre site WordPress.

Pour la sécurité complète des sites WordPress, il est conseillé d’utiliser Astra car la sécurité de WordPress Astra s’intègre parfaitement aux sites WordPress et simplifie les contrôles de sécurité réguliers grâce à une simple fonction de tableau de bord.

Was this post helpful?

Swati Nanda

Swati Nanda est un passionné de cybersécurité et une personne du peuple. Elle est une lectrice passionnée du genre de la cybersécurité et se tient avec ferveur au courant des nouvelles mises à jour en matière de cybersécurité. De temps en temps, elle partage ses connaissances et son point de vue avec la communauté grâce à ses blogs.
guest

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

Psst! Hi there. We’re Astra.

We make security simple and hassle-free for thousands
of websites and businesses worldwide.

Our suite of security products include firewall, malware scanner and security audits to protect your site from the
evil forces on the internet, even when you sleep.

earth spiders cards bugs spiders

Made with ❤️ in USA France India Germany