WordPress
Installation / Configuration
- Télécharger la version de votre choix : http://www.wordpress-fr.net/telechargements/
- unzip du fichier sur votre serveur apache/mysql
- créer la base mysql avec compte et mot de passe
- se connecter sur le blog à partir du navigateur
- cliquer sur le lien et mettre les informations sur la base de données (changer la table_prefix par défaut)
Fixer les droits
Fixer les droits au niveau des fichiers dans ces répertoire: En considérant que le blog ce trouve dans le répertoire /var/www/blog
chown -R www-data:www-data /var/www/blog find /var/www/blog -type d -exec chmod 755 {} \; find /var/www/blog -type f -exec chmod 644 {} \; chmod 640 /var/www/blog/wp-config.php find /var/www/blog/wp-content/themes -type d -exec chmod 775 {} \; find /var/www/blog/wp-content/themes -type f -exec chmod 664 {} \;
Forcez une connexion sécurisée (SSL)
Dans le fichier wp-config.php rajouter la ligne suivante:
<?php define('FORCE_SSL_ADMIN', true); ?/>
Masquer pour l’indexation les dossiers et pages vulnérables
Dans le fichier robots.txt rajouter:
Disallow: /wp-*
Sécuriser votre admin wordpress
Déménager la page de Login
La page de login est accessible par défaut à cette adresse : site.com/wp-admin et donc pour éviter que les personnes malveillantes ou les robots puissent accéder à votre page de login, vous pouvez la déplacer.
Utiliser le plugin Stealth Login
Sécuriser WordPress
Protège le blog par rapport à l'installation par défaut.
Utiliser le plugin Secure WordPress ou dans le même esprit Better WP Security
Scanner son installation wordpress a la recherche de failles
Afin de repérer les vulnérabilités présentes sur le blog et proposer une solution pour régler ces problèmes.
Utiliser le plugin WP Security Scan
Limiter le nombre d’essais de login erroné
Utiliser le plugin Login Lockdown
Créez les clefs uniques d’authentification pour votre fichier wp-config.php
Générateur de lien secret-key
Protéger l’accès au wp-config.php via .htaccess
Rajouter les ligne suivantes:
# Secure wp-config.php <FilesMatch ^wp-config.php$> deny from all </FilesMatch> # ou mettre <Files wp-config.php> Order Deny,Allow Deny from all </Files> # ou encore # protection 404 wp-config.php RewriteEngine On RewriteBase / RewriteRule ^(.*)wp-config(.*)\.php$ [R=404,L]
Protéger les informations du fichier wp-config.php
But : mettre les informations sensibles dans un répertoire non accessible depuis internet!
# créer un fichier sur le serveur accessible à apache $ touch /home/yourname/config.php # déplacer les informations comme le mot de passe du fichier wp-config.php vers ce fichier # remplacer les informations par la ligne: $ include('/home/yourname/config.php');
Supprimer le fichier readme.html
Afin de caché le numéro de version du blog, il faut supprimer manuellement le fichier readme.html à la racine du blog.
Thèmes
Référencement / SEO
Utilisation du plugin All In One SEO
Installation de Google Analytics google-analytics-for-wordpress