Il ya quelques étapes simples que vous pouvez prendre pour aider à limiter votre exposition aux comportements malveillants dirigés à votre WordPress installation. Mon intention avec cet article n'est pas pour faire de votre site web pare-balles (si une telle chose existe), mais pour couvrir les exploits / faiblesses les plus courantes. Fichiers et de répertoires autorisations ont été discutés ailleurs mais je vais poster un rappel sur les fondamentaux règle de base: réglez les fichiers et répertoires à 644 à 755. Si vous devez utiliser des paramètres moins sécurisés (pour wp-content/uploads / / par exemple), vous n'avez pas un bon hôte .
Ne pas le faire ce qui suit ne signifie pas que votre blog sera piraté, cela signifie simplement qu'il est plus probable. Alors on y va:
.. Couvrez vos soldats (ou: «Belles-il culottes") ...
- Supprimer les fichiers inutiles et / wp-admin/install.php / wp-admin/upgrade.php ((Une fois que vous avez terminé avec l'installation ou la mise à niveau de ces fichiers ne seront pas nécessaires et ils seront remplacés lors de votre prochaine installation / mise à jour))
- Supprimer le message par défaut et comment ((promotion de "New Blog! Venez SPAM moi!"))
- Rendre plus difficile pour révéler votre SQL détails de connexion et aider à prévenir les utilisateurs parcourant où ils ne devraient pas:. Dans votre répertoire racine (où wp-config.php réside) Assurez-vous qu'il s'agit d'un fichier htaccess contenant les éléments suivants ((désactive ftp- navigation de style; reconnaître Seulement index.html index.php sous forme de fichiers d'index légitimes; Ne laissez aucun accès à distance à wp-config.php)):
Options -Indexes
DirectoryIndex index.php index.html
Order Deny,Allow
Deny from all - Modifier les autorisations pour wp-config.php à 600 (équivalent à rw ---) si possible ((L'une des rares exceptions à la règle standard 644))
- Empêcher la navigation des répertoires ne sont pas couverts par WordPress: Déposez un (0 octet) fichier vide nommé index.html dans / wp-content/plugins / ou / wp-content/uploads / (par exemple) ((La raison pour laquelle nous utilisons html. au lieu de. php est en cas pauses PHP sur le serveur, nous sommes encore couverts au niveau HTTP))
- Pour prévenir l'utilisation abusive, activer Akismet ((Akismet est très fort pour le désherbage des commentaires spam)) (livré avec WordPress) et installer / activer Bad Behavior ((Bad Behavior s'arrête beaucoup d'activité économique malveillant Spam / avant qu'il ne frappe jamais votre site)) Ces deux plugins sont le minimum en prévention du spam à mon avis, mais n'hésitez pas à expérimenter sur votre propre.
Autres considérations relatives à la sécurité sont votre choix dans un hôte. Je recommande un professionnel: 
Comme toujours: Commentaires bienvenus!
Sam,
Aimer le nouveau look de votre site!
Cordialement,
J. Pisano-mustech.net
Merci Joe! J'allais poster ce sujet, mais rattrapé dans le peaufinage, etc, etc
Éteint sans suivre de trop (je ne sais pas pourquoi je n'ai pas fait cela plus tôt).
grâce à cela, Je viens de terminer toutes les étapes que vous avez énumérés à l'exception de l'étape 3.
pourriez-vous me dire exactement où je dois insérer le texte suivant dans le fichier htaccess?
Options-Indexes
DirectoryIndex index.php index.html
Order Deny, Allow
Refuser de tous
Salut Martin:
Voici une copie de mon actuel htaccess sans gzip et un php5 AddHandler.:
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
merci Sam, je l'ai ajouté à mon htaccess.
Merci pour l'excellent "tutorial"
Avec ce fichier htaccess ci-dessus, je peux juste ajouter la partie inférieure à partir et être un peu plus en sécurité?
Belle tutoriel pour qui est nouveau pour WordPress.
Merci, je me sers habituellement mod_security pour gagner un maximum de sécurité pour tout site ... mais. Htaccess et d'autres outils sont toujours les bienvenus ... joli petit tutoriel, avec des étapes réalisables facile .... Cheers mate.
Y at-il des outils qui peuvent automatiquement vérifier si l'installation de WP a eu tous les fichiers de robots supplémentaires ajoutés etc Un de mes sites a été radiées de la cote à google car / fichiers de quelque 4152 spams url avaient été ajoutés dans les wp-includes/js / tinymce / themes / avancé / images / xp / répertoire.
Il serait bien s'il y avait une fonction diff de la bonne WP connu à la WP installé aussi une sorte de recherche par mot clé récursive sur l'ensemble de l'installation serait bien.
merci pour le tuto ..
Vérifiez mon guide étape par étape pour durcir WordPress 2.9.2
http://eyalestrin.blogspot.com/2010/05/hardening-guide-for-wordpress-292.html