Sécuriser Wordpress, les bases

Je vois que trop souvent des wordpress (et plus generalement blog, CMS et autres joyeusetés) sans aucune sécurité autre qu’un simple login/mdp (bah oui, c’est facile de foutre un chmod -R 777 sur ton /var/www mais c’est pas vraiment très “secure” comme manipulation…), alors aujourd’hui on applique quelques consignes simples, histoire d’éviter de foutre le dawa sur une plateforme d’hébergement mal administrée/sécurisée.

Donc… attardons nous sur wordpress.

Avant il y eu…

Si vous n’avez pas encore installé votre wordpress, veillez à ne pas utiliser le préfixe wp_ (qui est celui par défaut et donc très simple à trouver) prenez par exemple un blougi_ ou kwak_, bref quelque chose qui vous passe par la tête, qui n’est pas trop long et qui (si possible) est en rapport avec votre blog.
Sinon… nous ferons avec.

Puis vint le commencement

Tout d’abord comme vous avez du le constater wordpress arrive avec un login “admin” qui dans la plupart des cas sera utilisé aussi comme rédacteur, si c’est le cas, et afin de ne pas faciliter l’emploi d’attaques type bruteforce (il est toujours plus difficile d’effectuer un bruteforce sans connaitre le login) nous allons le changer.

Prenez donc 100g de PhpMyAdmin ou alors un terminal sql puis rendez vous dans votre wordpress database et repérez la table users, vous devriez trouver un colonne user_login avec un champ “admin”, éditez donc ce champ et remplacez admin par votre login (ou mieux encore login+3digit).

En SQL ça devrait donner ça:

UPDATE `XX_users` SET `user_login` = 'NEW_LOGIN' WHERE CONVERT( `XX_users`.`user_login` USING utf8 ) = 'admin' LIMIT 1 ;

XX est le préfixe donné à votre DB, par défaut wp_ et bien entendu NEW_LOGIN est votre nouveau login.

De plus veillez à ne pas faire apparaitre ce login dans vos post, pour ca je vous invite à consulter les options utilisateurs dans wordpress.

Je passe le chapitre concernant le mot de passe, je pense que tout le monde sait à quoi s’en tenir.

Et il dit: Ceci est mon corps, protégez le

Finissons par du chmod en masse, c’est tout bête, appliquez simplement un chmod -R 755 sur votre racine puis appliquez un chmod 644 sur les .htaccess de la racine et de wp-admin (s’ils n’existent pas faites donc un touch .htaccess) et enfin un chmod 644 sur l’index.php de la racine.

Voila, votre Wordpress est un minimum sécurisé, veillez juste à le maintenir à jour.

Commentaires

• 
  

• Les cat'z

  Choisir une catégorie BSD*  (1) En vrac  (2) Le reste  (4) Linux  (7)    Debian  (7) Ma vie de merde  (3) Network  (2) Sysadmin  (6) Tuto  (6)

• Les vieux trucs

  Choisir un mois octobre 2008  (4) septembre 2008  (1) août 2008  (10) juillet 2008  (3)

• Ce que je lis

  • Binary Brain
  • C0ma
  • Open Blog

• Gribouillages

  • Cha ! o/
  • Fortuworld
  • Sombrebizarre

• Machins utiles (ou pas)

  • Bloody Proxy