Accueil > Wordpress > Renforcer la sécurité de WordPress: l’administration (#2)

Renforcer la sécurité de WordPress: l’administration (#2)

Cet article est le second d’une série dédiée à simplifier la vie de la personne en charge de l’administration d’un site WordPress… en évitant que son site ne soit facilement attaquable.

Maintenant que vous avez une installation sécurisée de votre site WordPress, il s’agit de renforcer la partie administration, afin de minimiser les risques d’attaques sur votre compte d’administration, par recherche de type « brute force » de login / mot de passe.

Pour cela le principe est simple : donner le minimum d’information aux hackers, et renforcer la sécurité de la connexion à l’administration.

1. Ne pas en montrer plus qu’il ne faut

Aviez-vous remarqué que si vous vous trompez de mot de passe, Worpdress vous l’indique… indiquant par la même que le login est un login existant ?

Tout comme nous avons masqué la version de WordPress ou l’accès aux plugins installés, il s’agit de masquer dans la page de connexion wp-login.php le message d’erreur qui est affiché lorsque l’on se trompe de login ou de mot de passe.

Pour cela il suffit de modifier le fichier functions.php de votre thème, et d’y ajouter :

<?php
add_filter('login_errors',create_function('$a', "return 'Go to hell...';"));
?>

2. Verrouiller automatiquement l’accès à l’administration

Pour bloquer automatiquement la connexion à une adresse IP, lorsqu’un certain nombre de tentatives infructueuses ont eu lieu sur votre site, il existe un plugin très pratique : Login Lock Down.

En prime il masque les messages d’erreurs de connexion indépendament de votre thème et conserve une trace des tentatives infructueuses (@ip, date)

3. Ajouter une authentification supplémentaire

Il s’agit cette fois, avant même d’arriver à la page de connexion, de forcer l’authentification via le serveur web de votre hébergeur et un fichier .htaccess

Pour cela, il faut créer un fichier .htaccess à placer dans le répertoire /wp-admin. Attention, ce fichier est complémentaire du fichier se trouvant à la racine de votre site, il ne le remplace pas.  Saisissez dans AuthUserFile l’emplacement du fichier de mot de passe, que vous créerez ensuite.

AuthUserFile /home/outsidethewebsite/securit/.htpasswd
AuthType Basic
AuthName "Le chef parano"
Require user TheBoss

Il faut également créer un fichier .htpasswd que vous placerez en dehors des dossiers du site WordPress. Ce fichier comportera le login et le mot de passe crypté qui permettrons de s’authentifier.

Pour générer un mot de passe crypté, allez sur un site tel que http://www.kxs.net/support/htaccess_pw.html qui propose ce service.

Vous obtiendrez en retour une ligne à placer dans le fichier .htpasswd, exemple ici pour avec le login TheBoss

TheBoss:0X1IXTbvz2qh2

Il faut bien sûr comme toujours utiliser un login et un mot de passe complexe…

  1. Pas encore de commentaire
  1. Pas encore de trackbacks