Accueil > WordPress > Sécurisez votre site WordPress
Sécurisez votre site WordPress
samedi 15 août 2020, par
Depuis la version 5.5 de WordPress il est possible d’automatiser la mise à jour des plugins et thèmes de votre site (EXIT les plugins de mises à jour).
Cependant pour sécuriser votre site il faut prendre un minimum de précautions.
On commence par la vidéo de Fabien
https://www.youtube.com/watch?v=IKcTodzMTgQ
1- XML-RPC
Soit le plugin Disable XML-RPC ou via le .htaccess
Dans l’article Protéger WordPress contre les attaques sur xmlrpc j’avais publié ceci (à écrire dans le .htaccess)
# protect xmlrpc
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>
2- HTTP Headers
Security :
X-Frame-Options : On SAMEORIGIN
X-XSS-Protection : On 1 ; mode=block
X-Content-Type-Options : On
Strict-Transport-Security : On 2 years +cocher includeSubDomains et preload :
X-DNS-Prefetch-Control : On
Compression
Content-Encoding : On BROTLI ; DEFLATE et cocher
3- WPS Hide Login
Pour cacher l’URL de connexion à l’administration
(de mon côté j’utilise SF Move Login + Edit Author Slug)
4- Limit Login Attempts Reloaded
Limite les tentatives de connexion, une adresse Internet de faire d’autres tentatives après qu’une limite spécifiée de tentatives a été atteinte, ce qui rend une attaque par force brute difficile, voire impossible.
5- Options All -Indexes
Pour ne plus voir l’arborescence des répertoires (pas seulement pour les sites sous WordPress)
6- config.php
#bloquer attaques sur wp-config
<files wp-config.php>
order allow,deny
deny from all
</files>