WordPress est sans aucun doute l’un des systèmes de gestion de contenu les plus recommandés. 75 millions de sites web, y compris des entreprises, des blogs, des professionnels et des divertissements, sont actuellement construits sur WordPress. Cela le classe également parmi les plus vulnérables aux attaques en ligne. Alors que la plupart des attaques en ligne résultent de versions non patchées et de plugins vulnérables, une autre source importante de vol de données WordPress est l’accès à la divulgation d’éléments essentiels de WordPress. Prenons, par exemple, la navigation dans les répertoires.
Il arrive souvent que lorsque votre serveur web est incapable de trouver un fichier d’index (c’est-à-dire un fichier comme index.php ou index.html), il affiche par défaut une page d’index révélant le contenu du répertoire.
Navigation dans les annuaires sous WordPress
Le plugin WP-Hardening vous permet de corriger facilement la navigation dans les répertoires en un clic. WP-Hardening est une solution unique pour résoudre la plupart de vos problèmes de sécurité WordPress.
Voici comment cela fonctionne :
- Installez le plugin de durcissement WP et activez-le. Il sera affiché dans le coin inférieur gauche de votre panneau d’administration.
WP Harden
- Allez à l’onglet “Correcteurs de sécurité“.
- Naviguez jusqu’à “Server Hardening” et basculez simplement la touche située à côté de “Hide Directory Listing of WP includes“.
Cacher les WP-inclus avec le plugin WP-Hardening
- Et c’est fini !
Rendre ces informations publiques pourrait rendre votre site vulnérable aux pirates informatiques. Car elle révèle aux pirates les informations importantes nécessaires pour exploiter une vulnérabilité potentielle du thème WordPress, du plugin ou du serveur.
Pourquoi cacher les dossiers WordPress au public ?
En raison d’un nombre croissant d’attaques de WordPress CMS, il est essentiel de désactiver la navigation dans les répertoires. Les pirates peuvent exploiter la navigation dans les répertoires pour révéler des fichiers présentant des vulnérabilités connues et, à leur tour, l’exploiter pour obtenir un accès non autorisé. En outre, la navigation dans les répertoires peut être utilisée par des personnes extérieures pour imiter le contenu de votre fichier, découvrir la structure de votre répertoire et d’autres informations. C’est pourquoi il est impératif de restreindre l’indexation et la navigation dans les répertoires.
Cela peut être fait en modifiant votre fichier .htaccess. Le fichier .htaccess est un fichier de configuration du serveur qui permet essentiellement à l’utilisateur de définir les règles que son serveur doit suivre pour son site web. Le fichier .htaccess est situé dans le dossier racine de votre site WordPress. Pour l’éditer, vous devez vous connecter à votre site web à l’aide d’un client FTP. Il est important de noter qu’avant de commencer à éditer votre fichier .htaccess, il est important de télécharger une copie de celui-ci sur votre ordinateur comme sauvegarde à utiliser au cas où quelque chose tournerait mal.
Comment cacher les dossiers WP de l’accès public ?
Ajoutez la ligne de code suivante au fichier .htaccess à la racine de votre site web :
Options -IndexesCela empêchera l’inscription dans l’annuaire sur tout le site web.
Comment masquer l’URL de connexion à WordPress ?
L’URL de connexion à WordPress peut être masquée par plusieurs méthodes :
- Avec WP-Hardening : Le plugin WP Hardening vous permet de spécifier une URL personnalisée pour votre connexion à WordPress. La nouvelle URL peut être spécifiée dans la section “Security Fixers” des paramètres de WordPress. Si un plugin de mise en cache est utilisé sur le site web, la nouvelle page de connexion doit être ajoutée à la liste des pages qui sont exclues de la mise en cache.
- En établissant une liste blanche des adresses IP : Dans cette méthode, seules les adresses IP figurant sur la liste blanche peuvent accéder à la page d’ouverture de session et un message d’erreur est affiché pour chaque autre adresse IP. Cette méthode est recommandée si vous avez une IP statique et que peu de personnes ont besoin d’accéder à votre panneau d’administration WordPress. Il vous suffit d’ajouter le code suivant dans votre fichier .htaccess et de remplacer le “!^123.123.123.123$”.
<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteRule ^(.*)$ - [R=403,L]
</IfModule>Si plusieurs adresses IP doivent être ajoutées, il suffit d’ajouter une nouvelle ligne pour chacune d’entre elles, comme indiqué ci-dessous :
RewriteCond %{REMOTE_ADDR} !^123\.123\.123\.123$
RewriteCond %{REMOTE_ADDR} !^223\.223\.223\.223$Votre page de connexion ne sera désormais visible que pour ces adresses IP.
![Lesson [3/10]: Restrict Access to your WordPress Admin](https://i.ytimg.com/vi/C-Cf8D7Ehu8/hqdefault.jpg)
Protéger votre page d’administration du WP
Comment cacher les contenus/téléchargements WP de votre WordPress ?
On peut facilement cacher un certain dossier pour qu’il ne soit pas accessible au public en modifiant un peu le fichier .htaccess. Pour cacher le dossier “Uploads” au public :
- Ouvrez votre client FTP
- Naviguer vers les contenus/téléchargements wp
- Créer un nouveau fichier et le nommer “.htaccess” et l’ouvrir
- Copiez et collez le code suivant dans le fichier :
- Ordonner l’autorisation, refuser
- Refuser de tous
- Permettre de tous
- Enregistrez les modifications.
- Pour vérifier les modifications, naviguez sur http://yourdomain.com/wp-content/uploads/ où vous devriez maintenant obtenir une erreur 404 ou une page blanche qui n’affiche pas le contenu de votre dossier de téléchargement.
Désactiver le listage des annuaires dans WordPress
Comment cacher les WP-includes de votre WordPress
Il est important de restreindre l’accès au dossier WP-includes car il contient des fichiers strictement destinés à exécuter la version de base de WordPress. C’est celui qui ne contient aucun plugin ou thème et qui abrite le thème par défaut dans le répertoire wp-content/theme. L’accès au dossier includes peut être désactivé en utilisant le code suivant dans le fichier .htaccess :
# Block wp-includes folder and files
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>Comment cacher WP-admin alias WP-login
Nous savons tous que l’URL par défaut pour visiter la page de connexion de n’importe quel site WordPress est nom du site / wp-admin. Cependant, exposer votre page de connexion par défaut à l’administrateur peut inviter les pirates à l’inspecter, et même à découvrir vos identifiants. Il est donc essentiel de masquer votre page d’administration et de connexion pour non seulement compliquer la tâche des pirates mais aussi pour obtenir une protection supplémentaire de la part des communautés non pirates.
Guide connexe – Guide complet sur la sécurité de WordPress (Réduire le risque de piratage de 90%)
- Connectez-vous au tableau de bord de votre serveur. Allez dans votre dossier public_html dans Cpanel et ouvrez votre fichier .htaccess dans l’éditeur de code. S’il n’est pas visible pour vous, activez l’option “Afficher les fichiers cachés” sous visibilité et ensuite éditez-le.
- Ajoutez le code suivant au début de votre fichier .htaccess. Il peut contenir certains codes, mais vous devez le coller au début de chaque code.
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist <span style="color: #00ff00;">Prakhar IP</span> address allow from <span style="color: #00ff00;">xx.xx.xx.xxx</span> # whitelist <span style="color: #00ff00;">Satyansh IP</span> address allow from <span style="color: #00ff00;">xx.xx.xx.xxx</span> </LIMIT>
Remplacez les textes en vert par le nom et l’adresse IP de vos appareils (ordinateurs, ordinateurs portables, smartphones). Le nombre d’utilisateurs peut être augmenté en répétant le même code, c’est-à-dire #whitelist nom d’utilisateur adresse.
Les hacks WordPress ci-dessus font partie des nombreux htaccess hacks qui renforcent votre site WordPress.
Pour la sécurité complète des sites WordPress, il est conseillé d’utiliser Astra car la sécurité de WordPress Astra s’intègre parfaitement aux sites WordPress et simplifie les contrôles de sécurité réguliers grâce à une simple fonction de tableau de bord.