Accueil > WordPress > Sécurisez votre site WordPress

Sécurisez votre site WordPress

samedi 15 août 2020, par Philippe Donnart

Depuis la version 5.5 de WordPress il est possible d’automatiser la mise à jour des plugins et thèmes de votre site (EXIT les plugins de mises à jour).
Cependant pour sécuriser votre site il faut prendre un minimum de précautions.

On commence par la vidéo de Fabien
https://www.youtube.com/watch?v=IKcTodzMTgQ

1- XML-RPC


Soit le plugin Disable XML-RPC ou via le .htaccess

Dans l’article Protéger WordPress contre les attaques sur xmlrpc j’avais publié ceci (à écrire dans le .htaccess)

# protect xmlrpc
<Files xmlrpc.php>
	Order Deny,Allow
	Deny from all
</Files>

2- HTTP Headers

Security :
X-Frame-Options : On SAMEORIGIN
X-XSS-Protection : On 1 ; mode=block
X-Content-Type-Options : On
Strict-Transport-Security : On 2 years +cocher includeSubDomains et preload :
X-DNS-Prefetch-Control : On

Compression
Content-Encoding : On BROTLI ; DEFLATE et cocher

3- WPS Hide Login


Pour cacher l’URL de connexion à l’administration
(de mon côté j’utilise SF Move Login + Edit Author Slug)

4- Limit Login Attempts Reloaded

Limite les tentatives de connexion, une adresse Internet de faire d’autres tentatives après qu’une limite spécifiée de tentatives a été atteinte, ce qui rend une attaque par force brute difficile, voire impossible.

5- Options All -Indexes


Pour ne plus voir l’arborescence des répertoires (pas seulement pour les sites sous WordPress)

6- config.php


#bloquer attaques sur wp-config
<files wp-config.php>
   order allow,deny
   deny from all
</files>

https://sitecheck.sucuri.net/