Sécuriser votre site Wordpress ! 1


outils-securite-site-web-wordpress

 

On va aller droit au but, je ne pense pas qu'il soit utile d'expliquer pourquoi il faut sécuriser et protéger son site sous Wordpress. Non pas qu'il soit vulnérable aux attaques, mais parce qu'il y a beaucoup d'attaques informatiques sur le net.

Voici les différentes manières de protéger son site, elles sont toutes complémentaires, mais peuvent aussi être utilisées séparément et bloquer malgré tout énormément d'attaques classiques!

    • Protection par : installez le plugins Secure Wordpress. Simple d'utilisation, il vous protégera en supprimant des informations utiles aux hackers et les requêtes d'url malicieuses.Voici un aperçu des réglages possibles du plugin:
Supprime la version WordPress dans toutes les zones, y compris le flux, mais pas dans la partie admin.
Supprime la version de WordPress dans la zone d'administration pour les non-administrateurs. Montre la version de Wordpress uniquement aux utilisateurs avec les droits d'édition de vos plugins.
crée le fichier index.php dans les répertoires /plugins/ et/themes/ pour éviter de montrer votre liste de répertoire.
Supprime le lien de Really Simple Discovery dans wp_head du frontend
Supprime le lien de Windows Live Writer dans wp_head du frontend
Supprime la mise à jour du Noyau WordPress pour tout les utilisateurs sauf l'administrateur. Affiche un message lors de la disponibilité d'une nouvelle version WordPress seulement pour les utilisateurs possédant les droits de mettre à jour.
Supprime la mise à jour des plugins pour tout les utilisateurs sauf l'administrateur. Affiche un message lors de la disponibilité d'un plugin dans le panneau d'administration seulement aux utilisateurs possédants les droits d'éditer les plugins.
Supprime la mise à jour du thème à tout les utilisateurs sauf l'administrateur. Affiche un message lors d'une nouvelle version de thème seulement aux utilisateurs avec les droits permettant d'éditer les thèmes.
Removes version of WordPress on the url form scripts and stylesheets only on frontend.
Protect WordPress against malicious URL requests
  • Protégez Wordpress avec  votre fichier .htaccess: Copiez/collez ce qui suit dans votre fichier .htaccess, il protègera le fichier .htaccess et wp-config.php, et vous protégera contre une grande majorité de tentatives de hacker votre site!

# protege le fichier htaccess et wp-config

order allow,deny
deny from all


order allow,deny
deny from all

# protection de la lecture des répertoires
Options -Indexes

# 5G BLACKLIST/FIREWALL
# @ http://perishablepress.com/5g-blacklist/

# 5G:[QUERY STRINGS]

RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} (environ|localhost|mosconfig|scanner) [NC,OR]
RewriteCond %{QUERY_STRING} (menu|mod|path|tag)\=\.?/? [NC,OR]
RewriteCond %{QUERY_STRING} boot\.ini  [NC,OR]
RewriteCond %{QUERY_STRING} echo.*kae  [NC,OR]
RewriteCond %{QUERY_STRING} etc/passwd [NC,OR]
RewriteCond %{QUERY_STRING} \=\\%27$   [NC,OR]
RewriteCond %{QUERY_STRING} \=\\\'$    [NC,OR]
RewriteCond %{QUERY_STRING} \.\./      [NC,OR]
RewriteCond %{QUERY_STRING} \?         [NC,OR]
RewriteCond %{QUERY_STRING} \:         [NC,OR]
RewriteCond %{QUERY_STRING} \[         [NC,OR]
RewriteCond %{QUERY_STRING} \]         [NC]
RewriteRule .* – [F]

# 5G:[USER AGENTS]

SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (casper|cmsworldmap|diavol|dotbot)   keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (libwww|planetwork|pycurl|skygrid)   keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|turnit)   keep_out
SetEnvIfNoCase User-Agent (zmeu|nutch|vikspider|binlar|sucker) keep_out

Order Allow,Deny
Allow from all
Deny from env=keep_out

# 5G:[REQUEST STRINGS]

RedirectMatch 403 (https?|ftp|php)\://
RedirectMatch 403 /(cgi|https?|ima|ucp)/
RedirectMatch 403 /(Permanent|Better)$
RedirectMatch 403 (\=\\\'|\=\\%27|/\\\'/?|\)\.css\()$
RedirectMatch 403 (\,|//|\)\+|/\,/|\{0\}|\(/\(|\.\.\.|\+\+\+|\||\\\ »\\\ »)
RedirectMatch 403 \.(cgi|asp|aspx|cfg|dll|exe|jsp|mdb|sql|ini|rar)$
RedirectMatch 403 /(contac|fpw|install|pingserver|register)\.php$
RedirectMatch 403 (base64|crossdomain|localhost|wwwroot|e107\_)
RedirectMatch 403 (eval\(|\_vti\_|\(null\)|echo.*kae|config\.xml)
RedirectMatch 403 \.well\-known/host\-meta
RedirectMatch 403 /function\.array\-rand
RedirectMatch 403 \)\;\$\(this\)\.html\(
RedirectMatch 403 proc/self/environ
RedirectMatch 403 msnbot\.htm\)\.\_
RedirectMatch 403 /ref\.outcontrol
RedirectMatch 403 com\_cropimage
RedirectMatch 403 indonesia\.htm
RedirectMatch 403 \{\$itemURL\}
RedirectMatch 403 function\(\)
RedirectMatch 403 labels\.rdf
RedirectMatch 403 /playing.php
RedirectMatch 403 muieblackcat

# 5G:[BAD IPS]

Order Allow,Deny
Allow from all
# uncomment/edit/repeat next line to block IPs
# Deny from 123.456.789

# 5G:[WordPress]

RedirectMatch 403 /\$\&
RedirectMatch 403 (?i)/\&(t|title)=
RedirectMatch 403 (?i)/\.(bash|git|hg|log|svn|swp|tar)
RedirectMatch 403 (?i)/(1|contact|i|index1|iprober|phpinfo|phpspy|product|signup|t|test|timthumb|tz|visit|webshell|wp-signup).php
RedirectMatch 403 (?i)/(author-panel|class|database|manage|phpMyAdmin|register|submit-articles|system|usage|webmaster)/?$
RedirectMatch 403 (?i)/(=|_mm|cgi|cvs|dbscripts|jsp|rnd|shadow|userfiles)

  • Dernier point, utilisez Cloudflare. Cloudflare est site qui vous protègera des hackers et de leur attaques, mais en plus, c'est aussi un CDN, donc il vous accélérera aussi votre site internet! De plus, il possède aussi un cache et diverses options pour optimiser votre site. Et c'est ! Seul contrainte: nécessite que vous puissiez changer vos DNS.

 


Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Commentaire sur “Sécuriser votre site Wordpress !

  • Avatar de kikiwoo
    kikiwoo

    Bonjour.
    Sympa merci. Par contre, concernant le fichier .htaccess, quand on copie/colle, certaines instructions passent à la trappe et la mise en page est complètement désorganisée (avec le notepad Windows ou Notepad++ où tout est sur une seule ligne ;-)