Protection de son blog : les précautions élémentaires ?

  • Statut : non résolu
5 sujets de 1 à 5 (sur un total de 5)
  • Auteur
    Messages
  • #454261
    nours
    Membre
    Initié WordPress
    46 contributions

    Bonjour,
    en parcourant différents sites où il est question de blogs et plus particulièrement de WP, la sécurisation/protection des données est un thème qui revient fréquemment.
    Par sécurisation, j’entends la protection visant à empêcher quiconque d’atteindre la console d’admin par exemple.
    A titre d’exemple, sur ce site, il est recommandé de :

    Drop the WordPress Meta Tag

    Disable Access to your Directory Indexes (HTACCESS)

    Disable access to /wp-admin/

    Mes questions sont donc :
    – quels sont les risques auxquels on expose son blog sans précaution particulières ?
    – quelles sont les précautions élémentaires de sécurité à prendre lorsque l’on met en ligne son blog ?

    Merci 🍺

    #610494
    Qwindoo
    Modérateur
    Maître WordPress
    2866 contributions

    Hello 🙂

    Pour un blog personnel (comprendre sans articles/informations sensibles), WordPress est suffisamment sécurisé pour que tu n’aies pas besoin de prendre des “précautions particulières”, en-dehors du fait de choisir un mot de passe assez compliqué pour résister quelques temps à des attaques BruteForce 😉

    Par contre, pour un blog de société, ou tout simplement si tu es paranoïaque (comme moi 😋 ), tu peux ajouter quelques barrières :

    Sécurité à travers l’obscurité (Security Through Obscurity)
    Supprimer l’information “Powered by WordPress” ou équivalent de tes fichiers de thème, afin d’empêcher les recherches du type “Powered by WordPress x.x” dans Google, comme certains le font avec PhpBB
    Renommer le dossier wp-admin en un hash md5 (le nom sera de la forme “64a4e8faed1a1aa0bf8bf0fc84938d25“) pour qu’il soit difficile voire impossible (?) à deviner par un robot ou un méchant crackeur pas beau
    Changer le nom du compte admin par n’importe quoi de compliqué (ça se fait par une simple requête dans la Base de Données)

    Sécurité par des moyens techniques
    Mettre un fichier .htaccess dans le dossier d’admin, pour rajouter une protection par login et mot de passe (différents de ceux utilisés pour le connecter évidemment 😋 )
    Changer régulièrement tes mots de passe, au cas où (par exemple) quelqu’un serait en train d’essayer toutes les combinaisons de caractères pour ton ancien mot de passe, ben tu le fais bien chi*r en changeant toutes les semaines 😆

    Voilà, j’oublie certainement des trucs mais avec ça tu devrais commencer à dormir sur tes deux oreilles 🙂

    #610495
    nours
    Membre
    Initié WordPress
    46 contributions

    @MS-DOS_1991 : merci pour ces précisions qui m’éclairent sur le bien fondé de ces mesures de protection 🍺

    #610496
    kankun
    Membre
    Padawan WordPress
    55 contributions

    Je suis surpris du peu de messages concernant la sécurité de son blog. Du coup je rebondis sur ce sujet commencé il y a déjà quelques temps.

    MS DOS 1991 conseille de “Mettre un fichier .htaccess dans le dossier d’admin, pour rajouter une protection par login et mot de passe (différents de ceux utilisés pour le connecter évidemment )”. Personnellement je préfèrerais protéger ce répertoire par Ip de façon à ce que toute personne n’ayant pas mon IP ne puisse y accéder.

    Pour ce faire j’ai placé ce code dans un fichier .htaccess placé dans le répertoire /ADMIN :

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Example Access Control”
    AuthType Basic
    
    order deny,allow
    deny from all
    allow from xx.xx.xx.xx (ici je mets mon adresse IP)

    Seulement j’obtiens un message d’erreur “internal server error”.

    Savez vous si cette manip est possible avec WordPress ? Si oui, il y a peut etre une erreur dans mon code

    #610497
    Qwindoo
    Modérateur
    Maître WordPress
    2866 contributions

    Hello,

    Essaie en mettant des majuscules au début de chaque ligne d’instruction et pour Deny et Allow 😉

    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName “Example Access Control”
    AuthType Basic
    
    Order Deny,Allow
    Deny from All
    Allow from xx.xx.xx.xx (ici je mets mon adresse IP)

    Cordialement,

5 sujets de 1 à 5 (sur un total de 5)
  • Vous devez être connecté pour répondre à ce sujet.