De nombreux site donne des aides pour ameliorer la sécurité de wordpress.
La premiere toujours avoir une version à jour de wordpress.
J’ai ensuite suivis les differents conseil donnée par ce site : http://www.smashingmagazine.com/2010/07/01/10-useful-wordpress-security-tweaks/ je n’ai pas suivis tous les conseils. Attention, ce ne sont que des conseils pour certaines attaque, cela ne protege en rien de maniére infaillible.
- Utiliser le .htaccess pour proteger wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files> - Proteger contre les injections de script avec le .htaccess
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L] - Changer le login admin, ayant utilisé une instalation avec la 2.8 d’un wordpress MU, je possede un compte admin de même lors de la migration vers wordpress 3.0, cet admin est automatiquement reconnue comme super admin. Si vous suivez le conseil de remplacer ce login par le votre avec la commande SQL :
UPDATE wp_users SET user_login = 'Your New Username' WHERE user_login = 'admin';WordPress 3.0 ne vas plus vous reconnaitre comme super admin. Le plus simple, créer un compte temporaire auquel vous lui donnez les droits de super admin. Faite le changement de login, connectez vous sous le compte temporaire pour redonner les droits de super admin à votre compte. Connecter vous avec votre nouveau login et supprimer le compte temporaire. Et voila, le login admin n’existe plus. - Supprimer l’exploration de vos dossier avec .htaccess
Options -Indexes