Vous savez tous que nul n’est à l’abri d’un acte malveillant sur Internet et que l’on peut se retrouver du jour au lendemain coupé de son monde blog et c’est chiant de savoir que l’on s’est fait hacké alors qu’on dormait !

Aujourd’hui, je vais vous dire comment j’ai sécurisé le dossier d’administration WordPress de FreeFoxTV.net

Vous savez qu’on peut accéder facilement à la page d’identification de n’importe quel blog propulsé par WordPress. Il suffit de rajouter un /wp-admin/

Exemple : http://wordpress.com/wp-admin/

et là on tombe sur cette page :

Des personnes malintentionnées peuvent alors saisir et ressaisir un nom d’utilisateur et un mot de passe autant de fois qu’ils le désirent essayant ainsi de devenir le mot de passe de l’administrateur. Certains peuvent pousser plus loin en créant des scripts afin de “bruteforcer” le compte admin.

Il existe une solution sous forme de plugin pour WordPress : Limit Login Attempts

Par contre si vous avez une adresse IP fixe publique comme l’IP de ma Freebox, je peux sécuriser le dossier /wp-admin en créant un fichier .htaccess qui interdira toutes les IP du monde d’y accéder à part mon IP. Ainsi toute personne en dehors de mon réseau essayant d’accéder à http://www.freefoxtv.net/wp-admin/ verra une page d’erreur 403 (vous pouvez personnaliser votre propre page 403, bien évidemment).

Alors comment faire ?

Je crée un nouveau fichier vierge en ouvrant un éditeur de texte et je colle ces lignes :

order deny,allow
deny from all
allow from xxx.xxx.xxx.xxx

Je remplace les xxx par mon adresse IP fixe publique et enregistre le tout sous le nom de fichier :

htaccess.txt

J’ouvre mon client FTP et upload le fichier htaccess.txt dans le dossier /wp-admin/ et le renomme le en .htaccess (le point au début est obligatoire) et je mets le CHMOD à 0644. Et comme ça j’ai réussis à empêcher un probable abus d’accès à la fenêtre d’authentification de mon blog venant d’autres adresses IP.

Maintenant, si vous n’avez pas d’IP fixe publique et je m’adresse notamment aux abonnés Internet d’Algérie Télécom, vous pouvez protéger le dossier /wp-admin/par un premier mot de passe en créant deux fichiers :

.htpasswd
et
.htaccess

Utilisez cet outil en ligne pour pouvoir générer vos fichiers. Uploadez les tout les deux en renommez en .htpasswd et .htaccess

La prochaine fois que quelqu’un d’autre ou vous essaierez d’accéder à www.votredomaine/wp-admin/ une fenêtre apparaîtra pour vous demander le mot de passe spécifié auparavant dans le fichier .htpasswd

Il suffit de saisir les identifiants du .htapasswd et ce n’est que par le suite que vous aurez accès à la vraie interface d’administration de votre blog sous WordPress.

Attention : le fait d’avoir opté pour cette méthode de protection ne veut absolument pas dire que vous être à l’abri d’autres attaques, je site notamment MySQL Inject ou autre chose du genre.

Si vous avez des questions ou des remarques n’hésitez pas à laisser un commentaire

Salutations amicales

Articles relatifs

• Télécharger WordPress 2.8 (14)
• I love WordPress ! (12)
• Installer Google Gears sur Ubuntu 64 bits (0)
• WordPress 2.7 prévue le 10 novembre 2008 (0)