wpsecure-00

Protéger votre WordPress du grand méchant loup

Cela fait maintenant plusieurs années que j’utilise WordPress parce que Dotclear ça pue et depuis quelques temps, j’ai envie de rédiger un article traitant de la sécurité de cet outil de blogging devenu CMS. Et comme j’avais envie bah… je l’ai fait 😆 Bien que ce CMS voit sa sécurité améliorée de version en version, cette dernière ne se limitant pas au code source, j’ai jugé nécessaire de vous faire part de quelques petites « bidouilles » qui permettront à votre blog de ne pas se faire vulgairement poutrer par un zombie. C’est récemment arrivé au blog de Bastien et demandez-lui, ça fait mal 😡 Je vous souhaite une excellente lecture de cet article d’une vingtaine de pages que j’ai mis un certain temps à rédiger…

Préambule

Version actualisée le Mardi 11 Août 2009 !

Toutes les modifications évoquées dans la suite de cet article permettent de sécuriser votre installation de WordPress et ces dernières sont généralement applicables à la plupart des versions. Cependant quelques modifications ne pourront être effectuées sur des versions trop obsolètes de WordPress. Dans ce cas là je vais faire en sorte de préciser dans quel cas il est possible (ou non) d’appliquer telle ou telle modification. A noter que j’ai tout de même personnellement testé l’ensemble de ces modifications sur la version 2.8.4 qui supporte de facto ce qui suit. Si à la suite de cette lecture vous avez des questions, je reste à votre disposition par l’intermédiaire du système de commentaires ou du formulaire de contact.

Sommaire

Mettre à jour WordPress,
Utiliser le protocole HTTPS,
Renommer votre compte administrateur,
Bien choisir votre mot de passe,
Vérifier les autorisations des répertoires (CHMOD),
Changer le préfixe des tables,
Limiter l’accès à des répertoires,
Empêcher le listage des répertoires,
Refuser l’accès à des adresses ip,
Protéger le fichier wp-config.php,
Aller plus loin avec les .htaccess,
Masquer le générateur et la version de WordPress,
Empêcher les robots d’indexer des répertoires,
Effectuer régulièrement des sauvegardes,
Les 4 clés du fichier wp-config.php,
Déplacer et/ou renommer le répertoire wp-content,
Renommer/déplacer/cacher le répertoire wp-admin,
Limiter le nombre de tentatives d’identification,
Interdire l’accès aux logiciels de blogging,
Protéger son identification des « keyloggers » (enregistreurs de frappe),
Mot de passe à usage unique,
Cacher les erreurs d’identification,
Méfiez-vous de votre boîte mail,
Liens complémentaires et sources d’inspiration.

88 réflexions au sujet de « Protéger votre WordPress du grand méchant loup »

    1. Merci pour cette belle astuce !
      Pour protéger mes saisies de mot de passe afin d’améliorer la sécurité des authentification des back-ends, me permettre de créer des mots de passe à rallonge very strong :roll: et stocker tout ça d’une façon sécurisée j’utilise WebConfidential http://www.web-confidential.com/ qui stocke les mots de passe avec un cryptage à la fermeture, propose un générateur aléatoire de mot de passe plus ou moins complexe :shock:, lance l’URL et rempli automatiquement les inputs ID et pass sans que l’on n’ait rien à faire et évite d’exposer la saisie aux regards par dessus son épaule… Il en existe plein d’autres, mais perso j’aime bien ce petit soft très pratique, tourne très bien sur Mac moins de fonction sur Win, (il fonctionnait même sur palm, il y a bien longtemps… 😡 ) mais bon, à tester :)

  1. De toute façon c’est encore un bon billet, et très instrutif, pour ceux qui utilise WP ou qui désire l’utiliser. pour les autres je ne sais pas. Perso, j’ai mon fournisseur qui s’occupe de tout d’une main de maître. J’ai toute confiance donc aucun soucis ^^

    Ah … WP c’est bien quand même :)

  2. Je suis content de voir que ce billet intéresse quelques personnes :W Néanmoins je reconnais avoir un peu baclé certains passages comme la sécurisation de l’identification par .htaccess et .htpasswd mais je n’étais pas sûr que ce billet intéresserait beaucoup de monde alors je ne voulais pas broder pour rien 😳 Si l’article plaît alors je procéderai à une actualisation de ce dernier lors de la sortie de WordPress 2.7 (certaines choses vont un peu changer) et j’en profiterai pour aborder une manière de lutter contre le hotlinking. Une version .pdf est également envisageable/envisagée. Merci pour vos commentaires en tous cas et je suis à votre disposition si vous rencontrez quelque problème que ce soit avec votre installation WordPress :nickel:

  3. Salut,
    Avec wordpress 2.7, il y a une quatrième clé qui s’est rajoutée mais mon problème principal, c’est que je ne trouve pas de fichier wp-config. Faut dire que je n’y connais pas grand chose.
    As-tu une idée de ce que je dois faire?(a part me bourrer la gueule).

  4. @Sky : Bonne lecture 😉


    @Vilay : Le fichier wp-config.php est à la racine de ton blog. Je pense que tu cherches ce fichier afin d’y ajouter la quatrième clé de cryptage qui a été introduite dans la version 2.7 de WordPress 😀 Je t’ai envoyé un mail si jamais ^^

  5. @Mr Xhark : Merci pour le lien, pas mal la technique de masquer la présence de wp-config.php en plus d’interdire son accès. Je l’avais testé et je n’étais pas arrivé à la mettre en oeuvre sur ce blog. Bon je n’y avais pas passé énormément de temps ou alors un problème dans la configuration de mon serveur Apache : I don’t know! A titre indicatif, « interdire totalement l’accès (erreur 403) » est traité en page 11 (protéger le fichier wp-config.php) et « masquez le contenu de vos répertoires » est traité en page 9 (empêcher le listage des répertoires). Quoiqu’il en soit c’est une excellente initiative de réunir le maximum de documentation autour de ce sujet : Merci! :-)

  6. Bonjour,

    Bon billet… Intéressant avec des conseils fort utiles ! mais je n’ai pas vu la réponse à la question que je me pose… ;-(
    Avec WordPress j’ai créé des pages organisées hiérarchiquement (niveau 1, 2, etc.)… les niveaux 1 correspondent à mes menus principaux et je voudrais justement restreindre l’accès au contenu du menu Espace Client… Dans le .htaccess j’ai renseigné où se trouvait mon .htpassword
    AuthUserFile /home/user/html/espaceclient/.htpasswd
    Mais comment renseigner le répertoire concerné qui correspond à cette URL : http://www.mondomaine.com/espace-client/ ?
    car bien sûr tant que ce n’est pas renseigné cela ne peut pas marcher 😉
    Merci pour vos lumières !

  7. @Sandrine : Merci pour le commentaire et on va peut être se tutoyer ❓ Si j’ai bien compris, « espace-client » est une page de niveau hiérarchique 1 qui englobe plusieurs sous-pages de niveaux hiérarchiques inférieurs ? :ooo Si tel est le cas alors /espace-client/ est un lien symbolique (permalien) et non un répertoire réel (présent sur le FTP). Il n’est de ce fait pas possible d’utiliser dans ce cas les méthodes des .htaccess et .htpasswd. En fait tu veux mettre un mot de passe sur ta page « espace-client » ? Mais la page « espace-client » ainsi que ses sous-pages ne sont-elles pas listées dans ta « sidebar » ? Tu comptais donc mettre un mot de passe sur la page « espace-client » ainsi que sur toutes les pages d’un niveau hiérarchique inférieur ? 😯

  8. On est bien d’accord :-) /espace-client/ n’est pas un répertoire physique présent d’où le problème 😉
    Espace Client est listé dans les menus avec les sous-pages. Voir : http://www.webperformancetools.com/
    « Tu comptais donc mettre un mot de passe sur la page « espace-client » ainsi que sur toutes les pages d’un niveau hiérarchique inférieur ? » -> Eh oui ! Tu as tout compris.

  9. @Sandrine : OK je cerne un peu mieux le « problème » désormais :-) Es-tu obligée de passer par cette étape « d’identification par mot de passe » pour afficher l’espace client ? Il n’est pas envisageable par exemple de rentrer l’ensemble des clients dans la base de données ? A partir de cet instant, quand un client sera connecté à son compte sur le blog, le menu « espace client » s’affichera… En fait je veux savoir s’il est possible d’utiliser ou non le système de permissions intégré à WordPress ou si un mot de passe global (ou spécifique à chaque page) est obligatoire ?

    Ce que je n’ai pas compris, c’est pourquoi lors de l’édition de la page, tu ne vas pas en haut à droite dans la boîte « Publier » et que tu ne choisis pas « Visibilité : Protégé par mot de passe » ? 😕

  10. 1 – Je voulais utiliser .htaccess/.htpassword car il paraît que la sécurité WordPress est moyenne… voire bof…
    2 – Je veux en fait créer un login/mot de passe global pour CHAQUE client (tout le monde ne peut pas être client) valable pour la rubrique Espace Client (donc les pages sous-jacentes)… et créer un login/mot de passe générique pour les évaluateurs.
    3 – « Visibilité : Protégé par un mot de passe »… je n’ai pas affiné de ce côté mais j’ai l’impression que cela ne répond pas à mon besoin…
    En tout cas merci pour ton aide… car j’en suis à mes « débuts » avec WordPress et je me pose pas mal de question… et dans la communauté (forum) je ne trouve pas forcément les réponses à mes questions… c’est vrai que dans mon cas j’utilise WordPress dans un contexte au-delà du blog :-)

  11. @Sandrine : Le plugin Global Post Password te permet de mettre un mot de passe global sur tes pages, ça évite d’éditer toutes les pages les unes après les autres. Regarde aussi du côté du plugin Show User Level Content pourrait être une alternative « simple ».

    Sinon tu mets toutes tes pages relatives à l’espace client, en « Visibilité:privé » et ainsi, seuls les utilisateurs qui disposent d’un compte sur le blog (et qui sont connectés) pourront consulter ces « pages privées ». Pour afficher la liste de tes pages privées uniquement aux utilisateurs enregistrés et connectés, tu utilises ce bout de code dans le fichier de thème approprié (disons header.php par exemple) :

      < ?php wp_list_pages('depth=1&title_li=0&sort_column=menu_order'); if(current_user_can('read_private_pages')) : ?>
    • ">For Authors only
    • < ?php endif; ?>
  12. @Sandrine : Oups, j’ai un peu foiré le code au niveau de la ligne 6. Voici le code rectifié :

      < ?php wp_list_pages('depth=1&title_li=0&sort_column=menu_order'); if(current_user_can('read_private_pages')) : ?>
    • For Authors only
    • < ?php endif; ?>

    Le 10 représente l’identifiant (ID) de la page ou du billet qui doit être s’afficher lorsque le visiteur va cliquer sur « For Authors Only ». Cela ne s’affichera qu’aux utilisateurs enregistrés et connectés, cette condition est posée à la ligne 4. Tu trouveras plus d’informations sur la fonction get_permalink() sur cette page.

    PS : Mon bout de code était bon mais c’est WordPress qui avait foutu le bordel avec son formatage à la noix 😡

  13. @Sandrine : Il n’y a pas de raison que le bout de code ne fonctionne pas dans header.php et pour être sûr je viens de tester. Je pensais plutôt à un problème d’intégration du bout de code… Le code ne t’affiche strictement rien ? 😯

  14. Excellent dossier ! Je connaissais une partie de ces astuces, mais j’avoue qu’il en reste quelques unes à mettre en place pour avoir un WP en béton armé.

    Par rapport à l’idée de renommer wp-admin pour changer l’adresse par défaut de l’interface d’admin, tu as des retours sur tes « expérimentations » dans le domaine ?

  15. @Bruno M : Il n’y a pas un plugin en particulier. Ce billet renferme un ensemble de solutions (dont des plugins) pour accroître la sécurité de WordPress. Merci pour ton commentaire 😛


    @Sandrine : Mais de rien, content d’avoir pu te rendre service et merci pour ton lien 😉


    @Vince : J’ai pas mal avancé quant au déplacement du répertoire wp-admin cependant je ne suis pas convaincu par les modifications apportées bien qu’elles soient fonctionnelles. Pour l’heure le résultat le plus probant provient de la méthode décrite ici (en anglais). Le principal problème, et pas des moindres, étant que le répertoire wp-admin contient une partie de ce que l’on pourrait appeler le « core » de WordPress. Partant de là, toutes les modifications envisagées pour « déplacer » wp-admin, pourraient poser des problèmes à l’avenir. Je pense notamment lors de profondes mises à jour. Merci pour le com :roll:

  16. Bonjour, déja merci pour ce super récapitulatif des méthodes permettant de protéger WordPress. Très instructif et très formateur.
    Pour ce qui est du wp-admin, personnellement j’ai juste renommé le dossier (en « modifier » par exemple, « login » et « admin » étant trop facile à trouver) et j’ai éditer tous les fichiers de WordPress pour remplacer « wp-admin » par « modifier » (avec Dream’ 2 minutes montre en main), ainsi que dans la base de donnée via phpmyadmin. Comme ça le pirate mettra 1 poil plus de temps à trouver la page de connexion au PA.

    voilà, j’espère que aidera quelqu’un :)

  17. @Jack NUMBER : Je ne doute pas le moins du monde de la méthode que tu utilises, cependant je ne pense pas qu’elle puisse être appliquée par le plus grand nombre. Il n’y a rien de compliqué dans ta démarche mais cela risque de poser d’importants problèmes lors de futures mises à jours. Personnellement je ne préfère pas la conseiller au plus grand nombre, mais peut être à des personnes qui font des modifications en « connaissance de cause » 😛 Modifier des fichiers en dehors du répertoire wp-content n’est jamais très bon à terme :mrgreen: Merci pour ton commentaire :roll:

  18. je suis tout à fait d’accord avec toi sur les mise à jour et les problèmes possibles (plug-in, requêtes…).
    c’est en effet une méthode assez « radicale » qui demande certaines précautions d’usage, surtout pour l’évolution du blog.
    à quand un plug-in « Total Security » ? 😀

  19. Bonjour,

    Merci pour ces conseils mais j’ai un problème…

    J’ai ajouté ce code dans le fichier function.php

    et depuis j’ai cette erreur :

    Warning: Cannot modify header information – headers already sent by (output started at /homez.307/motocros/www/wp-content/themes/mxa/functions.php:13) in /homez.307/motocros/www/wp-includes/pluggable.php on line 865

    Impossible d’accéder à l’interface d’administration…

    Merci de votre aide

  20. Merci pour les liens! Je suis en train de réfléchir pour refondre mon site et mon blog sous wordpress… et là, ça va commencer à me faire peur. Je vais peut-être attendre un peu…

  21. Bonjour,
    Je me joins aux commentaires précédants pour remercier NightAngel de la foultitude de conseils que meme des nazouilles comme moi pouvons appliquer…
    J’ai une question par rapport au passage en https:// sur la page de connexion.

    J’ai suivi pas a pas les indications de la p.3: j’ai copié le code donné et l’ai collé dans un .txt que j’ai mis dans le répertoire wp-content/plugins.

    Ma premiere observation est que le plugin n’apparait pas dans la liste des plugins paramétrables via l’interface administrateur de WP.

    Ma deuxieme question me dérange plus: suite à cette manip, mon site entier est passé en https, ce qui fait que la visite du site nécessite d’accepter un certificat de sécurité temporaire patati patata… ce qui n’est pas du plus accessible, en terme de facilité d’acces pour les visiteurs…
    Est il possible de modifier quelquechose quelque part?
    J’ai commencé par simplement effacer le .txt du répertoire plugin, ce qui n’a rien changé du tout…

    Merci pour tout!

  22. @léo : Désolé pour ma réponse tardive mais tu as du laisser des lignes vides dans ton fichier functions.php, d’où cette erreur. Généralement il s’agit d’une ligne vide au début et/ou à la fin du fichier je pense. Tu peux m’envoyer le fichier par mail si tu veux : webmaster@nightangel.fr.


    @pocpoc : Je suis désolé mais pour l’instant je n’ai plus de serveur qui supporte le https:// et il me sera donc difficile de te répondre… Je viens de lire le plugin que je cite dans le billet et des modifications ont été apportées à WordPress entre temps. Je te conseille d’essayer ce plugin qui est beaucoup plus d’actualité : HTTPS for WordPress. Je sais qu’il est compatible avec la version 2.5 mais au premier abord je ne vois pas pourquoi il ne marcherait pas avec la 2.8. Désolé de ne pouvoir mieux te renseigner… :(

  23. merci pour toutes vos astuces et vos conseils ! Parfois, je trouve cela compliqué, car je ne suis pas informaticienne et le php c’est une langue étrangère pour moi ! j’en suis encore au bon vieux dhtml !
    et encore !
    j’ai compris comment cela fonctionne ces langages comme le php, les flux rss et autres joyeusetés, mais franchement j’ai beaucoup de mal à appliquer.
    Petite question : mon site à été piraté. Via google, j’ai suivi les conseils mais maintenant, je crains toujours une nouvelle attaque.
    Il m’a semblé que ce hacking est arrivé alors que je venais de changer de theme wordpress. Est-ce qu’un theme wordpress gratuit peut-être vérolé ? Comment le reconnaître ?
    Merci
    Caroline

  24. Bonjour merci pour ce dossier, malheureusement la partie qui m’intéresse n’existe plus et cela fait un moment qu’il est notifié :
    « Il n’est pas évident, mais pas impossible non plus, de manipuler le répertoire wp-admin. En effet cela peut poser des problèmes à plusieurs niveaux, je suis actuellement en train de tester une méthode et de vérifier son bon fonctionnement. Dès qu’une solution accessible est trouvée, je viens éditer cette page. Merci pour votre compréhension ! »
    Alors j’en conclu que tu n’as pas réussis à le faire ?
    Comment déplacer et renommer wp-admin ?
    Merci

  25. @dd : Pour l’instant je ne suis toujours pas très satisfait de mes essais et c’est pour cette raison que je n’ai rien publié. Ce n’est pas impossible mais je me refuse catégoriquement de toucher au « core » de WordPress, je veux qu’il reste pleinement possible de le mettre à jour sans problème, etc… Pour l’instant la solution la plus concluante se trouve ici. Je vais continuer mes essais dès que je trouve un peu de temps. Voilà :)

  26. Bonsoir, super merci infiniment pour ce lien, je cherchais comment résoudre ce problème depuis un moment 😉
    Bravo aussi pour ton site, très intéressant 😉
    Finalement tu peux peut-être me renseigner, car mon problème est identique à celui décrit ici : http://forum.webrankinfo.com/cacher-les-repertoires-url-css-dans-code-source-t122729.html#p1136079
    La seule solution est donc de déplacer le dossier wp-admin alors ? Mais donc d’après ce que tu dis si on fait ça on touche au core de wordpress ? C’est donc pour ça que d’après le lien que tu m’as donné il est préférable de faire une redirection de l’accès à la partie admin de wordpress, est-ce bien ça, dis-moi si j’ai bien tout compris ? 😉

  27. Bonjour,

    Alors toujours un plaisir de lire les conseils dispensés ici. Cependant voilà mon soucis. Je pensais avoir réglé mon problème de hacking sauvage sur mon wordpress et voilà que cela recommence. Je ne suis pas la seule, car pour mon travail, nous administrons un site wordpress qui est une radio podcast pédagogique. Que ce soit mon wordpress ou un autre, il semble que le hacking sauvage sévit. Nous recevons des commentaires bizzares avec des adresses bizzares et comme par hasard, même si vous les supprimez définitivement ou cochez indésirables, à ce moment là, problème. Du coup google, annonce votre site comme étant malveillant ! J’ai beau effectuer toutes les démarches pour y remédier c’est une vraie galère ! please help me ! merci beaucoup !

  28. @dd : Cette méthode est plutôt intéressante cependant la première partie sous-entend que vous ayaez une adresse ip fixe car seule votre connexion pourra accéder au répertoire « wp-admin ». Le problème étant que, comme la plupart des internautes, vous devez avoir une adresse ip dynamique allouée par votre fournisseur d’accès. En d’autres termes, votre adresse ip ne doit pas être la même aujourd’hui que dans 3 jours par exemple.


    @caro : Il me faudrait davantage de précisions, vous pouvez me joindre par mail ( webmaster@nightangel.fr ), MSN ( fatal1ty@wanadoo.fr ) ou skype ( nightangel46 ). Par rapport aux commentaires, utilisez-vous le plugin (extension) « akismet » ? Il y a de toutes façons d’autres problèmes si je me base sur le site openbooks.fr En effet il y a des bouts de codes étranges. Ce sont probablement les fichiers de thème « header.php » et « footer.php » qui sont impactés, voire « functions.php ». Merci pour votre commentaire et vous savez où me joindre si nécessaire.

  29. Bonsoir, voulant retourner sur le lien donné dans le post plus haut, je ne peux accéder, Kapersky me bloque cette page avec un gros avertissement rouge, c’est étonnant le lien semble infecté par un « Trojan-Clicker.JS.Agent.ma » selon Kapersky 2010 ?

  30. il est bien ce tuto, bravo!

    une idée juste comme ça (n’ai pas testé)
    si on ne peux pas déplacer wp-admin, on peux déplacer, (et renomer?) wp-login.php

    l’emplacement de ce fichier est définit dans general-template.php par wp_login_url()
    la même fonction dans le theme, modifiée pour fournir la bonne url selon certaine condition (une variable ou le referer par ex.) pourrait fonctionner
    …heu, c’est jouable?

    1. Concernant ma question qui avait été posée pour la Création d’un espace restreint sur un site WordPress… j’avais donc mis en oeuvre cette solution…

      Commençons par les utilisateurs. Ils sont créés par l’administrateur du site.
      Dans WordPress Options -> Réglages -> Général
      Inscription : l’option « Tout le monde peut s’enregistrer» est décochée
      Par défaut tout nouvel utilisateur a pour rôle « Abonné» (l’abonné a des droits minimum avec aucun droit d’édition).
      L’administrateur crée ses utilisateurs.
      Le Widget Meta est utilisé (Options -> Apparence -> Widgets) afin que le visiteur ait accès au bouton Connexion et Déconnexion sur le site… Dommage que seul le nom de ce widget soit modifiable (éditez le Titre en renseignant Accès Client par exemple)… On ne peut pas par exemple enlever l’option Admin. du Site… Par défaut quand l’utilisateur se connecte il est dirigé sur son profil, or on préférera rediriger l’utilisateur directement sur le site/blog après la connexion. Pour cela on ajoute un bout de code dans le fichier functions.php qui se trouve dans le répertoire wp-content/themes
      Au début du fichier functions.php juste après
      has_cap( ‘edit_posts’ ) === false ) {
      return get_bloginfo( ‘siteurl’ );
      }
      return $redirect_to;
      }
      add_filter( ‘login_redirect’, ‘loginRedirect’, 10, 3 );

      Il existe un plugin, wpNamedUsers, qui va permettre de gérer les utilisateurs par groupe. Il faut installer ce plugin dans le répertoire wp-content/plugins et l’activer. Puis dans Options -> Réglages -> WPNamedUsers groups on crée un ou des groupes d’utilisateurs et pour chaque groupe on leur attribue des utilisateurs.
      On crée par exemple le groupe Clients et on lui attribue les utilisateurs voulus (ceux créés au préalable).
      Il ne nous reste plus qu’à créer nos pages ou posts qui ne pourront être accessibles que pour certains utilisateurs (par exemple pour ceux appartenant au Groupe Clients), en veillant à laisser l’option Visibilité à Publique, et à paramétrer l’option WPNamedUsers groups en cochant le groupe Clients.

      Donc cela marchait très bien en version WordPress 2.x… et patatra avec la 3.0.4… ma RUBRIQUE ESPACE CLIENT s’affiche…. avec une erreur 404 quand l’internaute n’est pas connecté.

      Comment faire pour que ma rubrique ne soit visible qu’aux utilisateurs dûment connectés et avec les bons droits avec la version 3.0.4 ?

      Merci !

      1. Le problème vient visiblement du plugin wpNamedUsers qui n’est plus à jour :( D’ailleurs cette discussion semble confirmer ce que j’avance. Ne serait-il pas possible de le remplacer par Role Manager qui remplissait très bien son rôle quand je l’avais utilisé il y a quelques années ? Je pense que wpNamedUsers utilise d’anciennes fonctions de WordPress qui ont évolué, ont disparu ou ont été remplacées au fil des versions. Il faudrait que je regarde le code du plugin pour voir ce qu’il en est…

      1. Oui c’est bien ça 😀 Et je m’excuse pour cette réponse tardive mais j’ai tenté par tous les moyens de contacter le développeur du plugin wpNamedUsers qui fait la sourde oreille 😡 Pas évident à contacter et aucune réponse de sa part. Après lecture du code il faudrait que je passe vraiment beaucoup trop de temps pour comprendre techniquement le fonctionnement du plugin et le réécrire en grande partie. Réutiliser ce plugin me parait donc bien compromis :( Il fait effectivement appel à certains fonctions dépréciées de WordPress et se base sur une architecture de base de données utilisée par d’anciennes versions de WP…

        1. Bonsoir,

          J’ai solutionné le problème tout simplement avec le plugin WordPress Access Control qui permet de rendre accessible des pages à des membres (et d’affiner en fonction des rôles).

          C’est simple et efficace.

          Sur un site j’ai pu implémenté exactement ce que je voulais… l’inscription par l’internaute en tant que membre (par défaut abonné avec des droits de lecture et de gestion de ses inscriptions newsletter) avec une redirection après connexion sur la page d’accueil… et le membre une fois connecté voit s’afficher la rubrique Espace Membre.

          Sur un second site tout fonctionne sauf que k’utilisateur s’inscrit une belle page d’erreur est généré :
          SAFE MODE Restriction in effect.
          Mais l’inscription se fait bien.
          Je tourne le pb dans tous les sens sans comprendre car sur le 1er site le mode SAFE est activé et aucune erreur n’est généré. J’aimerai vraiment pouvoir résoudre cet affichage d’erreur… de même sur cesecond site impossible de trouver le widget Login…

          Le premier est en WP 3.0.4
          Le second était en WP 3.0 et le pb se posait… en 3.1.2 il persiste…

          Merci par avance.

  31. Bonjour,

    Peut on changer le préfixe si le site est déjà en ligne ? Y’aura t-il des répercussions en cas de ce changement pour un site déjà en ligne ?

    Merci

  32. Bonjour :)

    Merci pour ces informations sur la sécurisation de son WP! Ca va m’être super utile pour le projet que je suis en train de faire. Cependant, j’ai du mal à comprendre ce qu’est le protocole HTTPS et les fichier htacess et htpassword et comment ils fonctionnent :( J’ai peur de faire une bêtise en les modifiant ^^’

    J’ai lu sur comment ça marche que HTTPS était géré par l’hébergeur, vrai? Il suffit que j’active ce protocole si mon hébergeur le propose? Je pose surement des questions de noob mais du coup l’adresse http://blabla.com ne fonctionnera pas? Il faudra absolument taper https://blabla.com pour pouvoir aller sur le site?

    Merci d’avance pour les réponses :nickel:
    Blooddy

    1. Le protocole https permet de chiffrer les données qui transitent entre l’ordinateur du « client » (administrateur ou visiteur) et le serveur. En utilisant le protocole https le mot de passe ne circule par exemple pas « en clair » entre les deux machines… il y a un chiffrement. Pour le mettre en place, si l’hébergeur accepte le https, il suffit d’installer et activer le plugin cité dans l’article.

      Les fichiers htaccess et htpasswd (non htpassword) sont utilisés pour différentes choses, ce lien donne un exemple assez bon.

      L’adresse http fonctionnera toujours, il ne sera pas nécessaire de taper https.

  33. Bonjour, merci pour cette niche d’informations sur la sécurité wordpress! je viens de supprimer mes compte admin en utilisant la 3eme méthode et tout c’est bien passé.
    Vos article sont vraiment claire :lover:, soignés et pédagogue!
    Je m ’empresse de lire la suite pour sécuriser aux mieux mes blogs!

    Un grand merci! 😛

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *