Comment sécuriser mon blog ?

Publié le 02 février 2009 par Mptic

Vous savez tous que nul n’est à l’abris d’un acte malveillant sur Internet et que l’on peut se retrouver du jour au lendemain coupé de son monde blog et c’est chiant de savoir que l’on s’est fait hacké alors qu’on dormait !

Aujourd’hui, je vais vous dire comment j’ai sécurisé le dossier d’administration WordPress de FreeFoxTV.net

Vous savez qu’on peut accéder facilement à la page d’identification de n’importe quel blog propulsé par WordPress. Il suffit de rajouter un /wp-admin/

Exemple : http://wordpress.com/wp-admin/

et là on tombe sur cette page :

Des personnes malintentionnées peuvent alors saisir et ressaisir un nom d’utilisateur et un mot de passe autant de fois qu’ils le désirent essayant ainsi de devenir le mot de passe de l’administrateur. Certains peuvent pousser plus loin en créant des scripts afin de “bruteforcer” le compte admin.

Il existe une solution sous forme de plugin pour WordPress : Limit Login Attempts

Par contre si vous avez une adresse IP fixe publique comme l’IP de ma Freebox, je peux sécuriser le dossier /wp-admin en créant un fichier .htaccess qui interdira toutes les IP du monde d’y accéder à part mon IP. Ainsi toute personne en dehors de mon réseau essayant d’accéder à http://www.freefoxtv.net/wp-admin/ verra une page d’erreur 403 (vous pouvez personnaliser votre propre page 403, bien évidemment).

Alors comment faire ?

Je crée un nouveau fichier vierge en ouvrant un éditeur de texte et je colle ces lignes :

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx

Remplacez les xxx par votre adresse IP fixe publique et enregistrez le tout sous le nom de fichier :

htaccess.txt

Ouvrez votre client FTP et uploadez le fichier htaccess.txt dans le dossier /wp-admin/ et renommez le en .htaccess (le point au début est obligatoire) et mettez le CHMOD à 0644. Et comme ça vous avez réussis à empêcher un abus d’accès à la fenêtre d’authentification de votre blog.

Maintenant, si vous n’avez pas d’IP fixe publique et je m’adresse notamment aux abonnés Internet d’Algérie Télécom, vous pouvez protéger le dossier /wp-admin/par un premier mot de passe en créant deux fichiers :

.htpasswd
et
.htaccess

Utilisez cet outil en ligne pour pouvoir générer vos fichiers. Uploadez les tout les deux en renommez en .htpasswd et .htaccess

La prochaine fois que quelqu’un d’autre ou vous essaierez d’accéder à www.votredomaine/wp-admin/ une fenêtre apparaîtra pour vous demander le mot de passe spécifié auparavant dans le fichier .htpasswd

Il suffit de saisir les identifiants du .htapasswd et ce n’est que par le suite que vous aurez accès à la vraie interface d’administration de votre blog sous WordPress.

Attention : le fait d’avoir opté pour cette méthode de protection ne veut absolument pas dire que vous être à l’abris d’autres attaques, je site notamment MySQL Inject ou autre chose du genre.

Si vous avez des questions ou des remarques n’hésitez pas à laisser un commentaire

Salutations amicales

Articles relatifs

sécuriser WordPress, wordpress