Cette lecture
6 étapes simples pour WordPress durcissement
Il ya quelques étapes de base que vous pouvez prendre pour aider à limiter votre exposition aux comportements malveillants dirigés à votre blog WordPress. Mon intention avec cette article n'est pas de rendre votre site Web pare-balles (si une telle chose existe), mais pour couvrir les exploits les plus courantes / faiblesses. Autorisations de fichier et de répertoire ont été discutés ailleurs , mais je vais poster un rappel concernant la règle-de-pouce de base: fichiers Set à 644 et les répertoires à 755. Si vous devez utiliser des paramètres moins sécurisés (pour / wp-content/uploads / par exemple) vous n'avez pas de bon hôte .
Le défaut de faire ce qui suit ne signifie pas que votre blog sera piraté, cela signifie simplement qu'il est plus probable. Alors nous y voilà:
.. Couvrez vos soldats (ou: «culottes de Nice il ya") ...
- Supprimez les fichiers inutiles / wp-admin/install.php et / wp-admin/upgrade.php ((Une fois que vous avez terminé avec l'installation ou la mise à niveau de ces fichiers ne seront pas nécessaires et ils seront remplacés par votre installation suivante / jour))
- Supprimer le message par défaut et de commenter ((publicité "Nouveau blog! Venez SPAM moi!"))
- Il est plus difficile à révéler vos informations de connexion SQL et aider à prévenir les utilisateurs de navigation où ils ne devraient pas:. Dans votre répertoire racine (où réside wp-config.php) s'assurer qu'il ya un fichier htaccess contenant les informations suivantes ((Désactive ftp- parcourant le style; seulement reconnaître index.html index.php que les fichiers d'index légitimes; Ne pas laisser AUCUNE accès à distance à wp-config.php)):
Options -Indexes
DirectoryIndex index.php index.html
Order Deny,Allow
Deny from all - Changer les permissions pour wp-config.php à 600 (équivalent à rw ---) si possible ((Une des rares exceptions à la norme 644 règle))
- Empêcher la navigation des répertoires ne sont pas couverts par WordPress: Drop une vide (0 octet) fichier nommé index.html dans / wp-content/plugins / ou / wp-content/uploads / (par exemple) ((La raison pour laquelle nous utilisons html. au lieu de. php est en PHP pauses de cas sur le serveur, nous sommes toujours couverte au niveau HTTP))
- Pour prévenir l'utilisation abusive, d'activer Akismet ((Akismet est grande au désherbage commentaires de spam)) (livré avec WordPress) et installer / activer Bad Behavior ((Bad Behavior s'arrête beaucoup de spam / malveillants activité avant qu'elle ne touche jamais votre site)) Ces deux plugins sont le minimum de prévention du spam dans mon opinion, mais n'hésitez pas à expérimenter sur votre propre.
Autres considérations pour la sécurité sont vos choix dans un hôte. Je recommande un professionnel: 
Comme toujours: Commentaires bienvenus!
15 Utilisateurs commentées sur le thème "6 étapes simples pour WordPress durcissement"
Sam,
L'amour le nouveau look de votre site!
Cordialement,
J.-Pisano mustech.net
Merci Joe! J'allais post à ce sujet, mais pris dans une petite retouche, etc, etc
Éteint sans suivre de trop (je ne sais pourquoi je n'ai pas fait cela plus tôt).
grâce à cela, je viens de terminer toutes les étapes que vous avez énumérés, sauf pour l'étape 3.
Pourriez-vous me dire exactement où je dois insérer le texte suivant dans le fichier htaccess?
Options-Indexes
DirectoryIndex index.php index.html
Order Deny, Allow
Deny from all
Salut Martin:
Voici une copie de mes cours sans htaccess gzip et un AddHandler php5.:
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
Options -Indexes
Options +FollowSymLinks
DirectoryIndex index.php index.html
# BEGIN WordPress
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Order Deny,Allow
Deny from all
merci Sam, je l'ai ajouté à mon htaccess.
Merci pour le grand "tutorial" 
Avec ce fichier htaccess ci-dessus, je peux juste ajouter la partie inférieure à partir et à être un peu plus en sécurité?
Tutoriel de Nice pour qui est nouveau dans WordPress.
Merci, j'utilise habituellement mod_security pour gagner un maximum de sécurité pour n'importe quel site ... mais. Htaccess et d'autres outils sont toujours les bienvenus ... belle mini tutoriel, avec étapes faciles faisable .... Compagnon acclamations.
Y at-il des outils qui peuvent automatiquement vérifier pour voir si l'installation a eu WP tous les fichiers de mails supplémentaire ajoutée etc Un de mes sites a été retiré à la Google car / url quelque 4152 mails dans les fichiers ont été ajoutés dans le wp-includes/js / tinymce / thèmes / avancé / images / XP / répertoire.
Il serait sympa s'il y avait une fonction diff de la WP connue bien au WP installé également une sorte de recherche par mot clé récursif sur toute l'installation serait bien.
Merci pour le tutoriel ..
Regarde mes étape par étape, guide pour le durcissement WordPress 2.9.2
http://eyalestrin.blogspot.com/2010/05/hardening-guide-for-wordpress-292.html
