Protégez votre dossier d'administration dans n'importe quel site Web WordPress

Le dossier Admin dans WordPress contient la clé pour accéder à l'ensemble de votre site Web. Les pirates essaient toujours d'accéder au dossier Admin pour pirater un site. Il y a eu de nombreux cas de piratage de sites Web signalés où il a été constaté que les pirates avaient pris possession du dossier WP-Admin et, par conséquent, ils avaient accès au reste du site Web.

Par conséquent, certaines personnes réfléchissent à deux fois avant de créer un site Web sur WordPress. Mais si vous avez déjà un site Web WordPress, vous pouvez protéger votre dossier d'administration dans WordPress en limitant l'accès dans .htaccess.

Il existe différentes façons de protéger votre dossier d'administration dans WordPress en limitant l'accès dans .htaccess. Vous pouvez le faire en utilisant des plugins, mais la méthode recommandée consiste à configurer manuellement le fichier .htaccess.

Lorsque vous le faites manuellement, vous pouvez prendre diverses mesures de sécurité pour empêcher différents types de tentatives de piratage. Notez que .htaccess est un fichier très puissant qui non seulement vous aide en matière de sécurité, mais possède également les configurations nécessaires pour améliorer considérablement les performances du site.

Comment protéger votre dossier Admin dans WordPress en limitant l'accès dans .htaccess (par plugins)

WordPress est populaire pour ses plugins et il existe des plugins pour littéralement tout. WP Security Scan est un plugin dont vous aurez besoin pour protéger votre dossier d'administration dans WordPress en limitant l'accès au fichier .htaccess.

Accédez à l'option Plugins dans le menu de gauche du tableau de bord et cliquez sur l'option Ajouter un nouveau. Dans la zone de recherche, tapez le nom du plugin qui est WP Security Scan.

Une fois le plugin trouvé et installé, allez dans les paramètres du plugin. Vous trouverez .htaccess dans le rapport d'analyse de fichier et vous pouvez définir les paramètres d'autorisation du fichier et des sous-parties pour protéger votre dossier admin.

Même si le plugin n'a pas été mis à jour depuis quelques années, il est entièrement fonctionnel et le seul plugin sur le marché qui vous permet de modifier les paramètres du fichier .htaccess.

Il recommande les actions correctives que vous pouvez prendre et, par conséquent, vous n'avez pas besoin d'être un expert pour effectuer les modifications. Il cache la version de WordPress, assure la sécurité de la base de données et la protection de l'administrateur WordPress et les mesures de sécurité.

En dehors de cela, vous pouvez également installer des plugins de sécurité populaires tels que All In One WP Security & Firewall en tant que Wordfence Security.

Comment protéger votre dossier Admin dans WordPress en limitant l'accès dans .htaccess (manuellement)

Avec les plugins, vous avez des paramètres limités et si l'un de ces plugins lui-même est piraté, votre site Web deviendra également vulnérable.

Par conséquent, il est toujours recommandé de prendre les choses en main et de configurer vous-même le fichier .htaccess. De plus, il existe de nombreuses mesures de sécurité que vous pouvez prendre en insérant des extraits de code.

Accéder au fichier .htaccess

Vous auriez besoin d'un logiciel FTP pour accéder à vos fichiers et dossiers de votre site Web. FileZilla est le meilleur logiciel FTP. Installez-le et ouvrez-le, puis connectez-vous à votre compte cPanel. Notez que vous pouvez voir un fichier .htaccess différent dans différents dossiers ou dans le répertoire racine. Ne les modifiez pas du tout.

Vous devez modifier uniquement le fichier .htaccess résidant dans le dossier WP-Admin. Par conséquent, déplacez-vous dans le dossier WP-Admin et repérez le fichier .htaccess. Si vous n'en avez pas, vous devez le créer avec le nom .htaccess. Assurez-vous de faire une sauvegarde du fichier avant de le modifier. Voici à quoi ressemble .htaccess.

1. Restreindre l'accès administrateur

La première chose que vous devez faire est d'empêcher tout autre ordinateur ou appareil d'accéder à votre site Web en tant qu'administrateur autre que votre appareil ou votre ordinateur. Vous pouvez y parvenir en autorisant uniquement votre adresse IP. Si vous avez plusieurs appareils, vous pouvez autoriser l'adresse IP de chacun d'eux.

Du point de vue de la sécurité, il s'agit de la mesure la plus stricte que vous puissiez prendre, mais elle vous empêche également d'accéder à votre panneau d'administration à partir de l'ordinateur de quelqu'un d'autre.

Ajoutez le code suivant sous #END WordPress qui est la dernière ligne du fichier .htaccess. Placez vos adresses IP correspondant à l'instruction allow et vous pouvez avoir autant d'instructions allow que vous le souhaitez.

2. Protégez wp-config.php

Wp-config.php est le fichier le plus important et il contient des informations vitales sur votre site Web. Vous devez vous assurer que le fichier n'atteint pas les pirates par tout autre moyen que votre site Web est sûr d'être piraté.

Vous pouvez refuser l'accès à votre wp-config.php à toute personne autre que vous-même. Collez l'extrait de code suivant dans le .htaccess à la fin de toutes les lignes.

3. Interdire les utilisateurs malveillants par leur adresse IP

Certains utilisateurs sont des pirates potentiels et essaient d'utiliser des méthodes d'attaque par force brute et d'autres moyens de piratage. Vous devez interdire ces utilisateurs par leurs adresses IP.

Installez simplement n'importe quel plug-in de sécurité léger et vous recevrez des notifications avec l'adresse IP lorsque quelqu'un essaie de se connecter à votre site Web avec un système d'attaque par force brute. Utilisez l'extrait de code suivant pour atteindre cet objectif.

4. Désactiver l'exécution PHP

Parfois, certains thèmes ont des portes dérobées permettant aux pirates de pirater votre site Web si vous utilisez ces thèmes. La plupart des fichiers de porte dérobée sont stockés dans différents répertoires tels que wp-includes et uploads.

Même lorsque votre site Web est piraté et que vous vous en remettez, les pirates peuvent intelligemment créer des portes dérobées en plaçant des codes PHP dans certains fichiers ou en sauvegardant des dossiers indétectables. Vous pouvez arrêter cela en désactivant l'exécution de PHP dans certains dossiers. Utilisez l'extrait de code suivant pour y parvenir.

5. Désactiver la navigation dans l'annuaire

Les pirates informatiques parcourent différents répertoires de votre site Web WordPress et effectuent des travaux malveillants, comme placer des extraits de code pour créer des portes dérobées, supprimer des fichiers importants, etc. Vous pouvez désactiver l'accès à n'importe quel dossier avec l'extrait de code suivant.

6. Restreindre l'accès au contenu WP

Le dossier le plus important pour un site Web WordPress est WP-Content où toutes les images, les fichiers de thème, les fichiers de plugin sont stockés. Si quelqu'un accède à ce dossier et supprime tout et si vous n'avez aucune sauvegarde, votre site Web a disparu. De plus, les pirates peuvent placer des logiciels malveillants et des virus dans ce dossier et votre site Web peut s'effondrer.

Placez l'extrait de code suivant dans le fichier .htaccess et vous pouvez refuser à tout le monde l'accès au dossier wp-content.

En dehors de cela, vous pouvez désactiver les liens d'image pour empêcher quelqu'un d'autre de créer un lien vers vos images et de ralentir votre site Web. Vous pouvez également configurer la redirection générale et les redirections 301 via le fichier .htaccess pour informer les visiteurs que vous avez déplacé du contenu vers un nouvel emplacement.