Protégez votre blog WordPress en 3 étapes 2/4
Aujourd’hui, nous continuons notre série d’articles concernant la protection de votre blog WordPress. Tout votre contenu ne doit pas être à la merci des hackers sur Internet. C’est pour cela qu’il vous faut un blog bien protégé.
Et pour cela, il y a des solutions. Nous en avons vu 3 dans l’article précédent. Nous allons en voir trois autres maintenant. C’est parti.

1/ Limitez le nombre de connexions échouées sur votre blog.
Comme sur les sites bancaires, vous pouvez limiter un nombre de connexions invalides sur votre blog. Le plugin Login LockDown est parfait pour cette utilisation. Il vous permet notamment de :
- Limiter le nombre de connexions invalides sur votre blog (Lockout Invalid Usernames). .
- Mettre une période de restrictions (ex : « Vous pourrez essayer de vous reconnecter dans 5 min » (Retry Time Period Restriction)).
- Verrouiller la connexion à votre blog pendant une certaine durée (Lockout Length).
- Masquer les erreurs de connexion (qui peuvent être utilisées par les hackers (Mask Login Errors?)).
Grâce à ce plugin, vous mettez une nouvelle barrière de sécurité sur votre blog. Je vous recommande de l’installer.
2/ Protégez votre répertoire wp-admin.
Ce répertoire ne doit en aucun cas, être à la merci d’autres personnes. C’est le coeur de votre blog. Tous les fichiers importants se trouvent dans ce répertoire. Il n’y a qu’une personne qui doit pouvoir y accéder. C’est vous. Il vous est donc nécessaire de verrouiller l’accès à ce dossier via un fichier .htaccess.
Création du fichier htaccess
Étape 1 : Créez un fichier blocnote (document texte) sur votre bureau. N’écrivez rien dedans et enregistrez-le sous le nom : htaccess.txt.
Étape 2 : Importez ce fichier sur votre serveur à la racine du dossier /wp-admin/. Le chemin du fichier sera donc le suivant : /wp-admin/htaccess.txt ou /votreblog/wp-admin/htaccess.txt si vous avez installé votre blog dans un dossier.
Étape 3 : Une fois que votre fichier est sur le serveur, renommez le en « .htaccess » (sans les guillemets).
Votre fichier .htaccess doit être entièrement vierge, prêt à recevoir le code ci-dessous.
Mise en place de la protection du dossier
Étape 1 : Allez sur le site mon-ip.com pour connaître votre adresse IP. Notez là
Étape 2 : Éditez votre fichier .htaccess puis copiez/collez ce bout de code :
order deny,allow
allow from XX.XX.XX.XXX
deny from all
XX.XX.XX.XXX : remplacez les XX par votre adresse IP.
Je pense que vous avez compris. Vous seul pourrez accéder à ce dossier puisque seule votre adresse IP aura le droit d’y accéder.
Pour une vérification simple, allez dans votre plugin WP Security Scan. Vous devriez avoir cette ligne en verte :
3/ Protégez votre fichier wp-config.php.
Votre fichier wp-config.php doit lui aussi être protégé. Il contient toutes les informations confidentielles de votre blog (mot de passe, nom de la base de données, préfixe, etc). La protection se fait également à l’aide d’un fichier .htaccess.
Dans le fichier .htaccess situé à la racine de votre blog, copiez/collez ce bout de code :
<files wp-config.php> order allow,deny deny from all </files>
De cette façon, votre fichier wp-config.php sera protégé et personne n’aura le droit d’y accéder sauf vous via votre logiciel FTP.
Conclusion
Avec ces 3 étapes simples, votre blog est encore mieux protégé. Que ce soit votre fichier wp-config.php ou le dossier wp-admin, ils doivent recevoir un maximum de protection.
Récapitulons. Si vous avez suivi la première partie de cette série d’articles, votre blog est maintenant protégé sur plusieurs niveaux.
- Vous utilisez toujours la dernière version de WordPress.
- Vous avez supprimé la version de WordPress dans le code source.
- Vous avez supprimé la version de wordpress à la fin des fichiers CSS et JS.
- Votre blog est verrouillé en nombre de connexions.
- Votre dossier wp-admin est protégé.
- Votre fichier wp-config est protégé.
Dans deux jours, la troisième partie de cette longue série d’articles sur la sécurisation d’un blog WordPress sera disponible. En attendant, si vous avez d’autres idées pour bien protéger votre blog, je vous laisse vous exprimer dans les commentaires.
bonjour,
doit on coller ce bout de code
order allow,deny
deny from all
à la suite de ce qui est déjà écrit dans .htaccess et avant # END WordPress ??? ou alors ailleurs ?
Mois j’ai ce qui suit es-ce que c’est correct ?
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
order allow,deny
deny from all
# END WordPress
Jean-Pierre Articles récents…La pyramide
Internal Server Error
Voila l’erreur que j’ai en collant order allow,deny deny from all dans .htaccess à la racine de mon blog… es-ce normal ?
« The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, webadmin@kundenserver.de and inform them of the time the error occurred, and anything you might have done that may have caused the error.
More information about this error may be available in the server error log.
Additionally, a 500 Internal Server Error error was encountered while trying to use an ErrorDocument to handle the request. »
Jean-Pierre Articles récents…Bien porter son bébé
Salut JP !
En fait ton fichier htaccess doit être vide et doit contenir uniquement :
order deny,allow
allow from XX.XX.XX.XXX
deny from all
Je vais le spécifier dans l’article. :)
Merci
Importez ce fichier sur votre serveur à la racine du dossier /wp-admin/. Le chemin du fichier sera donc le suivant : /wp-admin/htaccess.txt
mais comment on fait importez le fichier ?
Pour importer un fichier de ton PC sur ton hébergement tu utilise un logiciel FTP du style Core FTP ou Filezilla. Peut-être que le mot « importer » ta fait prendre une mauvaise direction..
Tiens moi au jus :)
Greg
en faite j utilise filezilla, mais je ne peut pas ouvrir le fichier, en faite mon probleme est technique, je ne sais pas comment mi prendre chui un peut perdu
Salut Sam,
Ok pour Filezilla, moi j’utilise Core FTP que je trouve plus simple. Pour ouvrir un fichier .htaccess, il faut d’abord que tu le renomme en htaccess.txt puis après tu pourras l’ouvrir. Ça marche aussi en .htaccess normalement mais si tu n’y arrive pas essaye en .txt.
mais après l’avoir ouvert .htaccess comment on fait un copier coller
faut il créer un dossier
créer un nouveau fichier
oui je sais je suis nul en technique
Tiens Sam, voici une petite vidéo qui devrait t’aider. Elle te montre comment modifier ton fichiers htaccess directement. Tu n’a qu’a t’en inspirer -> Comment ne plus être dérangé par les casseurs de rêves..
toujours perdu, j’ai créer un fichier ( il y a la couleur jaune ) alors que dans t’a vidéos il est de couleur blanc est ce normal ?, je l’est transférer sur wp-admi je l’est renommé puis après ? comment l’ouvrir avec filezilla pour faire un copier coller apparemment sa semble pas possible
alors la de mieux en mieux
Error 403 – Forbidden
L’accès au fichier requiert une autorisation.
je reçois un mail Avertissement de modification des fichiers WordPress
un Fichier (ou plusieurs) de votre site a http://artdutrading.fr a été changé. Examinez le rapport ci-dessous pour vérifier si les changements ne sont pas le résultat d’une compromission.
je vais finir par regretté d’avoir installé wordpress
c’est grave docteur
Salut Sam !
Je sais pas ce que tu as fait, mais tu l’as fait !
Créé un fichier .htaccess.txt sur ton bureau, colles-y :
order deny,allow
allow from XX.XX.XX.XXX
deny from all
XX.XX.XX.XXX : remplace les XX par ton adresse IP.
Ouvre Filezilla, va dans ton répertoire wp-admin puis glisses-le de ton bureau vers ton répertoire.
Réactualise ta page et voilà.
Je ne peux pas être plus clair que ça malheureusement :-(
++
Greg
j’ai créer un fichier htaccess.txt. sur mon bureau et j’ai transféré dans ce fichier les codes
order deny,allow
allow from XX.XX.XX.XXX
deny from all
d’un autre fichier que j’avais créer avec google drive, je l’est ensuite transféré dans la partit gauche de filezilla, pour transféré dans la parti droite dans wp-admi puis je l’est renommé .htaccess le fichier est blanc
mais visiblement ça marche pas
Le fichier. Htaccess n’existe pas dans la section wp-admin. Lire la suite pourquoi vous devriez avoir un fichier. Htaccess dans le domaine wp-admin
ai je bien fait les procédures
Est ce que tu as ça dans Filezilla ?
Si non, va sur ta barre d’outil en haut -> Serveur -> Forcer l’affichage des fichiers cachés
j’ai deux .htaccess
le premier dans www la ou j’ai transphéré les fichier WP quand je l’est instalé
le second dans wp-admi celui que j’ai créer
les deux sont de couleur blanc
Voilà
Dans le premier (à la racine de ton blog soit www) tu as :
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ – [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
order allow,deny
deny from 56.128.224.233
deny from 11.47.433.24
allow from all
order allow,deny
deny from all
order allow,deny
deny from all
Et dans ton fichier .htaccess de wp-admin tu as cela :
order deny,allow
allow from 21.48.49.119
allow from 283.23.261.49 # maison
allow from 23.126.653.46 # Boulot
deny from all
order allow,deny
deny from all
dans.htaccess de wp-admin tu as cela :
order deny, allow
allow from xxxxxxxxxxxxx
deny from all
il y a un type sur le forum Web entrepreneur qui me dit ça
Bonjour,
je ne suis pas sûr d’avoir bien tout compris, vous parlez de wp-admi c’est une faute de frappe pour dire wp-admin j’espère ?
Si vous le souhaitez en me donnant les accès FTP, je pourrai y jeter un coup d’oeil moi même ça ira plus vite.
Olivier.
faut il que je lui face confiance ou est ce un petit malin qui veux prendre le control de mon site
Euh.. Sérieux je ne donnerai JAMAIS mes accès FTP à quelqu’un que je ne connais pas, surtout à travers un forum.
Après tu fais comme tu veux.
bon je commence a y voir plus claire en fait il faut a partir du fichier www
transféré sous
# END WordPress
order deny, allow
allow from xxxxxxxxxxxxx
deny from all
order allow,deny
deny from all
c’est ça
oui moi aussi un petit malin qui profite de la détresse des autre
Voilà,
exactement comme je viens de te le dire en commentaire et comme dans le tuto.
Tu vas y arriver :)
PS : Sur le net, il faut que tu ais confiance en une seule personne : toi-même
Erreur : Erreur critique lors du transfert du fichier
pourtant j’ai mis ça
# END WordPress
order deny, allow
allow from xxxxxxxxxxxxx
deny from all
order allow,deny
deny from all
mon adresse ip est xx.xxx.xxx.xx c’est normal ?
j’ai refait avec
order deny, allow
allow from xxxxxxxxxxxxx
deny from all
mais toujours pareil, pis après quand j’ai relancé le fichier transfert réussi mais sur wp-sécurty scanne il y a toujours Le fichier. Htaccess n’existe pas dans la section wp-admin. Lire la suite pourquoi vous devriez avoir un fichier. Htaccess dans le domaine wp-admin
il faut attendre un peut avant que la modif se face ?
Non la modif se fait directement.
Pourquoi tu laisses les XXXXXX ? alors que dans le tuto je marque ça :
XX.XX.XX.XXX : remplacez les XX par votre adresse IP
j’ai laisser tombé, tout se que vais réussir c’est créer plus de probleme et finalement passé du temps pour plus de probleme technique
je te remerci pour ton aide, mais le mieux que je puisse faire se sont des sauvegarde réguliers sur dropbox
par contre j’ai remarqué que ton blog était très lent
Bonjour . Petite question : avant la migration de wordpress vers l’hébergeur, le fichier htaccess doit il etre vierge absolument ou peut on le remplir avant le transfert par Filezilla ou autre ?
Merci.
Bonjour Jean,
Lors de la migration WordPress vers votre hébergement, le fichier .htaccess n’est pas activé (il se créé automatiquement quand on modifie les permaliens dans WordPress). Une fois qu’il est actif, vous pouvez le modifier (en étant prudent :).
++
Greg