site:wordpress

WordPress

Installation / Configuration

  • Télécharger la version de votre choix : http://www.wordpress-fr.net/telechargements/
  • unzip du fichier sur votre serveur apache/mysql
  • créer la base mysql avec compte et mot de passe
  • se connecter sur le blog à partir du navigateur
  • cliquer sur le lien et mettre les informations sur la base de données (changer la table_prefix par défaut)

Fixer les droits

Fixer les droits au niveau des fichiers dans ces répertoire: En considérant que le blog ce trouve dans le répertoire /var/www/blog 

chown -R www-data:www-data /var/www/blog
find /var/www/blog -type d -exec chmod 755 {} \;
find /var/www/blog -type f -exec chmod 644 {} \;
chmod 640 /var/www/blog/wp-config.php
find /var/www/blog/wp-content/themes -type d -exec chmod 775 {} \;
find /var/www/blog/wp-content/themes -type f -exec chmod 664 {} \;

Forcez une connexion sécurisée (SSL)

Dans le fichier wp-config.php rajouter la ligne suivante: 

<?php define('FORCE_SSL_ADMIN', true); ?/>

Masquer pour l’indexation les dossiers et pages vulnérables

Dans le fichier robots.txt rajouter: 

Disallow: /wp-*

Sécuriser votre admin wordpress

Déménager la page de Login

La page de login est accessible par défaut à cette adresse : site.com/wp-admin et donc pour éviter que les personnes malveillantes ou les robots puissent accéder à votre page de login, vous pouvez la déplacer.

Utiliser le plugin Stealth Login

Sécuriser WordPress

Protège le blog par rapport à l'installation par défaut.

Utiliser le plugin Secure WordPress ou dans le même esprit Better WP Security

Scanner son installation wordpress a la recherche de failles

Afin de repérer les vulnérabilités présentes sur le blog et proposer une solution pour régler ces problèmes.

Utiliser le plugin WP Security Scan

Limiter le nombre d’essais de login erroné

Utiliser le plugin Login Lockdown

Créez les clefs uniques d’authentification pour votre fichier wp-config.php

Générateur de lien secret-key

Protéger l’accès au wp-config.php via .htaccess

Rajouter les ligne suivantes: 

# Secure wp-config.php
<FilesMatch ^wp-config.php$>
 deny from all
</FilesMatch>
 
# ou mettre
 
<Files wp-config.php>
Order Deny,Allow
Deny from all
</Files>
 
# ou encore
 
# protection 404 wp-config.php
RewriteEngine On
RewriteBase /
RewriteRule ^(.*)wp-config(.*)\.php$ [R=404,L]

Protéger les informations du fichier wp-config.php

But : mettre les informations sensibles dans un répertoire non accessible depuis internet! 

# créer un fichier sur le serveur accessible à apache 
$ touch /home/yourname/config.php
 
# déplacer les informations comme le mot de passe du fichier wp-config.php vers ce fichier
 
# remplacer les informations par la ligne:
$ include('/home/yourname/config.php');

Supprimer le fichier readme.html

Afin de caché le numéro de version du blog, il faut supprimer manuellement le fichier readme.html à la racine du blog.

Thèmes

Référencement / SEO

Utilisation du plugin All In One SEO

Installation de Google Analytics google-analytics-for-wordpress

  • site/wordpress.txt
  • Dernière modification: 2018/10/13 14:59
  • (modification externe)