web-dev-qa-db-fra.com

Staging Site: Made Public - Questions de sécurité

Auparavant, notre site intermédiaire était réservé aux accès locaux. Nous avons engagé un développeur tiers pour vous aider à résoudre un thème via notre "serveur de transfert intermédiaire" à distance. Afin de leur accorder l'accès, nous avons effectué la résolution externe du serveur de transfert avec un enregistrement A dans le DNS du sous-domaine de transfert.

À ma connaissance, il ne s’agit pas d’une pratique exemplaire et j’ai pensé que nous devions la sécuriser davantage. Est-ce que je restreins l'accès à l'ensemble du sous-domaine par IP ou par mot de passe, ou existe-t-il une meilleure méthode?

2
beta208

Que vous verrouilliez ou non un site intermédiaire dépend vraiment de l’importance que vous accordez au public qui voit accidentellement un site en cours de réalisation. Je considérerais généralement cela plus comme une décision de marque que de sécurité.

(Bien entendu, cela ne s'appliquerait pas si vous êtes en train de développer une application sécurisée qui pourrait être boguée, mais la thématisation de Wordpress - en particulier une fois qu'elle est arrivée sur le site de transit - risque peu risque de sécurité).

Une chose que je recommande de faire est dans Paramètres -> Lecture, en cochant l’option qui décourage les moteurs de recherche d’explorer le site. La dernière chose que vous voulez, c'est un site incomplet qui apparaît dans les résultats de recherche.

En dehors de cela, le seul moyen de trouver le site consiste à connaître l'URL. Pour un site intermédiaire temporaire, la sécurité est généralement suffisante.

Si cela vous inquiète, voici quelques moyens rapides de le limiter davantage:

  • Installez un plugin de maintenance (il y en a beaucoup dans le répertoire du plugin). Celles-ci fonctionnent en verrouillant votre site et en affichant une page de maintenance à tous les utilisateurs, à l'exception des utilisateurs connectés. Vous pouvez donc simplement créer des utilisateurs dans WP pour ceux à qui vous souhaitez donner accès.

  • Ajoutez un blocage IP ou une protection par mot de passe à .htaccess. C’est aussi assez facile à faire, cette réponse StackOverfow traite de l’administration IP et de cette réponse passe par la protection par mot de passe.

  • Comme alternative encore plus rapide à la première option, ajoutez if( !is_user_logged_in() ){ die(); } en haut de header.php dans le thème. Ensuite, tout visiteur inattendu ne voit qu'une page vierge. (Merci à @ shahar dans les commentaires)

Si vous découragez l'exploration par le moteur de recherche de cette option dans la page de lecture, créez-vous une note pour la réactiver lorsque vous serez en ligne. Il n'y a presque rien de pire qu'oublier ça!

3
Tim Malone