web-dev-qa-db-fra.com

Sécuriser mes fichiers et répertoires WordPress

Je suis nouveau sur WordPress et l’héberge en toute sécurité sur Amazon EC2. Ma question est la suivante: comment sécuriser correctement mes fichiers et répertoires WordPress?

Les autorisations de mon fichier sont définies sur 644 et mes répertoires sur 755.

[ec2-user@ip-xx-xxx-xxx-xx my_sub_directory]$ ls -l
total 160
-rw-r--r-- 1 ftpuser 65534   395 Jan  8  2012 index.php
-rw-r--r-- 1 ftpuser 65534 19929 May  6  2012 license.txt
-rw-r--r-- 1 ftpuser 65534  9177 Jun 21 17:26 readme.html
-rw-r--r-- 1 ftpuser 65534  4663 Nov 17  2012 wp-activate.php
drwxr-xr-x 9 ftpuser 65534  4096 Jul 23 23:12 wp-admin
-rw-r--r-- 1 ftpuser 65534   271 Jan  8  2012 wp-blog-header.php
-rw-r--r-- 1 ftpuser 65534  3522 Apr 10  2012 wp-comments-post.php
-rw-r--r-- 1 ftpuser root   3596 Jul 23 20:27 wp-config.php
drwxr-xr-x 5 ftpuser 65534  4096 Jul 23 17:44 wp-content
-rw-r--r-- 1 ftpuser 65534  2718 Sep 23  2012 wp-cron.php
drwxr-xr-x 9 ftpuser 65534  4096 Jun 21 19:39 wp-includes
-rw-r--r-- 1 ftpuser 65534  1997 Oct 23  2010 wp-links-opml.php
-rw-r--r-- 1 ftpuser 65534  2408 Oct 26  2012 wp-load.php
-rw-r--r-- 1 ftpuser 65534 29217 Jun 21 03:02 wp-login.php
-rw-r--r-- 1 ftpuser 65534  7723 Sep 25  2012 wp-mail.php
-rw-r--r-- 1 ftpuser 65534  9899 Nov 22  2012 wp-settings.php
-rw-r--r-- 1 ftpuser 65534 18219 Sep 11  2012 wp-signup.php
-rw-r--r-- 1 ftpuser 65534  3700 Jan  8  2012 wp-trackback.php
-rw-r--r-- 1 ftpuser 65534  2719 Sep 11  2012 xmlrpc.php

Et mon fichier .htaccess tente de protéger davantage le fichier wp-config.php

# PROTECT WP-CONFIG
<Files wp-config.php>
Order Allow,Deny
Deny from all
</Files>

Lorsque j'essaie d'accéder à mon fichier wp-config.php à partir du navigateur, par exemple:

http://ec2-xx-xx-xxx-xx.compute-1.amazonaws.com/my_sub_directory/wp-config.php

Je reçois cette erreur:

Interdit

Vous n'êtes pas autorisé à accéder à /my_sub_directory/wp-config.php sur ce serveur.

Mais lorsque j'accède à un autre fichier de mon répertoire, par exemple, wp-cron.php ressemble à ceci:

http://ec2-xx-xx-xxx-xx.compute-1.amazonaws.com/my_sub_directory/wp-cron.php

Je reçois une page blanche. Je pense que ça ne peut pas être sécurisé.

Ma question est donc la suivante: comment sécuriser correctement les fichiers suivants? 

[ec2-user@ip-xx-xxx-xxx-xx my_sub_directory]$ ls -a
.            wp-activate.php       wp-cron.php        wp-settings.php
..           wp-admin              wp-includes        wp-signup.php
.htaccess    wp-blog-header.php    wp-links-opml.php  wp-trackback.php
index.php    wp-comments-post.php  wp-load.php        xmlrpc.php
license.txt  wp-config.php         wp-login.php
readme.html  wp-content            wp-mail.php
securityamazon
2
Anthony

Pourquoi voudriez-vous les protéger tous? Tous n'ont pas besoin d'être protégés, à mon humble avis.

Quoi qu’il en soit, il est bon d’avoir ces informations dans votre fichier .htaccess:

1: restreindre l'accès à wp-config.php

<Files wp-config.php>
    order allow, deny
    deny from all
</Files>

2: restreindre l'accès à .htaccess lui-même

<Files .htaccess>
   order allow,deny
   deny from all
</Files>

3: mettez la protection de mot de passe sur votre wp-login.php

<FilesMatch "wp-login.php">
    AuthType Basic
    AuthName "Who are you?"
    AuthUserFile "/path/to/passwd"
    require valid-user
</FilesMatch>
2
montrealist