jeudi 21 Nov 2013

Protéger l'administration de WordPress

Les sites basés sur des produits tout fait, comme WordPress, ont cet inconvénient que les pirates savent où se trouve l'administration et l'URL pour s'y connecter.

Ayant lu quelques articles expliquant comment protéger son administration que je n'ai pas trouvé satisfaisant, je vous présente ma méthode qui est basée sur un mot de passe.

~

Les articles que j'ai lu étaient tous basés sur une adresse IP ce qui vous empêche de vous connecter ailleurs que chez vous ou alors autorise trop de monde (comme tous les .fr).

Vous aurez donc 2 mots de passe à rentrer: celui du .htaccess et celui de la page de connexion à WordPress. Ils peuvent être identiques ou le premier très simple et bien sûr mémorisé dans votre navigateur: ce sont des robots qui essayent automatiquement de se connecter, donc le premier mot de passe les bloquera car ils ne sont pas prévus pour le traiter, aussi simple soit-il. ;-)

Je ne protège aussi que le fichier wp-login.php, donc si vous êtes déjà identifié et que le cookie est toujours là, le double mot de passe ne sera pas demandé. Voici le code à rajouter dans votre fichier .htaccess:


<Files wp-login.php>
    AuthType Basic
    AuthUserFile /var/www/kiao.net/[votre vrai chemin]/.htmdp
    AuthName "Administration"
    <Limit GET POST>
    require valid-user
    </Limit>
</Files>

~

Il faut ensuite créer un fichier .htmdp avec vos identifiants, ou réutiliser celui d'un autre site. (La syntaxe est [utilisateur]:[mot de passe crypté en MD5]...)


café Cet article vous a aidé? 
Offrez-moi un café!
Agrégateur informatique

Laisser un commentaire

Azur Dev