La sécurité wordpress – .htacces robots.txt et plugins

23 juillet 2014
Catégorie(s) Code, Outils
23 juillet 2014 Occitaweb

La sécurité est la première des priorités. 

Avant d’avoir le meilleur référencement ou le plus beau des design, vous devez vous assurer de la sécurité et de la stabilité de votre système, une fois n’est pas coutume ils vous faut prendre plusieurs critères en compte.


 

les bonnes pratiques.

Pour commencer sachez que la majeures parti des « piratages » sont dut à des erreurs humaines, session non clôturer, mot de passe récurant et/ou partager avec un tier. Chaque administrateurs de votre site doit posséder sont accès propres nominatif et unique, les mots de passes doivent impérativement être une combinaison de minuscules, majuscules et chiffres, les caractères spéciaux sont aussi les bienvenue.

Mises à jour régulières.

 

Les CMS, propose des mises à jours régulière à vous d’en profiter, elle affecte en priorité les fonctions de sécurité de votre sites, pour éviter aux utilisateurs mal intentionnés de prendre la main sur vos données. Les plugins de votre site ainsi que vos designs doivent aussi être mis à jours. Concernant les plugins il est fortement recommandé de porter attention au rythme des mises à jours de vos plugins quand vous décider d’en ajouter. Ces derniers peuvent être la porte d’entrer d’injection, ou autres manœuvres destiné à vous prendre la main sur votre site, pour y ajouter du contenu à votre insu.

les fichiers .htacces et robots.txt.

Vous devez aussi effectuer certains opérations essentielles dans la configuration de votre serveur, pour simplifier et éviter les configuration propres au différents hébergeurs, nous nous concentreront sur les fichiers .htacces et robots.txt.

Le fichiers htaccess est primordial aussi bien pour le référencement, la sécurité et les performances. La syntaxe est relativement simple, à mettre en place.

.htaccess

Premier point concernant le référencement. google recommande d’utiliser des URL lisible, contenant des mots identifiables par vos visiteurs plutôt qu’une succession de caractères abscons. Pour ce faire rendez vous dans les réglages wordpress>permaliens. Normalement vous n’aurez pas à ajouter de code wordpress le fera pour vous en créant le fichiers .htaccess mais si le réglage sus nommés défaille, c’est probablement du fait de l’absence d’un .htaccess à la racine de votre site web contenant le code suivant.

 # BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Concernant les performances vous pouvez ajouter le code suivant pour réger la mise en cache de vos données. ce qui économiseras de la bande passante pour vos visiteurs réguliers.

## EXPIRES CACHING ##
<IfModule mod_expires.c>
ExpiresActive On
# Valide un mois
ExpiresByType image/jpeg A2592000
ExpiresByType image/gif A2592000
ExpiresByType image/png A2592000
ExpiresByType image/x-icon A2592000
ExpiresByType text/plain A2592000
ExpiresByType image/svg+xml A2592000
# Valide une semaine
ExpiresByType application/x-javascript M604800
ExpiresByType text/css M604800
ExpiresByType text/html M604800
ExpiresDefault A2592000
</IfModule>
<ifModule mod_deflate.c>
<FilesMatch ".(js|css)$">
SetOutputFilter DEFLATE
</FilesMatch>
</ifModule>
## EXPIRES CACHING ##

La compression des données et aussi pertinente que performante car elle vous feras économiser prés de 80% de bande passante en moyenne.

<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file .(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>
<IfModule mod_deflate.c>
# Ajout des filtres
AddOutputFilterByType DEFLATE text/plain
AddOutputFilterByType DEFLATE text/html
AddOutputFilterByType DEFLATE text/xml
AddOutputFilterByType DEFLATE text/css
AddOutputFilterByType DEFLATE application/xml
AddOutputFilterByType DEFLATE application/xhtml+xml
AddOutputFilterByType DEFLATE application/rss+xml
AddOutputFilterByType DEFLATE application/javascript
AddOutputFilterByType DEFLATE application/x-javascript
AddOutputFilterByType DEFLATE application/x-httpd-php
AddOutputFilterByType DEFLATE application/x-httpd-fastphp
AddOutputFilterByType DEFLATE image/svg+xml

# Ignorer les navigateurs problématique
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSI[E] !no-gzip !gzip-only-text/html

# Valider l'user-agent
Header append Vary User-Agent env=!dont-vary
</IfModule>

Et pour finir on bloque l’accès aux connections libwww-perl, souvent utilisé par les malware, et inutile pour la majeures partie des site web.

<IfModule mod_expires.c>
RewriteCond %{HTTP_USER_AGENT} libwww-perl.*
RewriteRule .* – [F,L]
</ifModule>

Robots.txt

Le robots.txt va lui bloques l’accès ou au fichier sensible de votre système ici aussi la syntaxe et sommaire.

User-agent: *

# On empéche l'indexation des dossiers sensibles
Disallow: /cgi-bin
Disallow: /wp-login.php
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /category/*/*
Disallow: */trackback
Disallow: */feed
Disallow: */comments
Disallow: /*?
# On empéche l'indexation des fichiers sensibles
User-agent: Googlebot
Disallow: /wp-admin
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: /*.gz$
Disallow: /*.swf$
Disallow: /*.wmv$
Disallow: /*.cgi$
Disallow: /*.xhtml$
# Autoriser Google Image
User-agent: Googlebot-Image
Disallow:
Allow: /*
# Autoriser Google AdSense
User-agent: Mediapartners-Google*
Disallow:
Allow: /*
# On indique au spider le lien vers notre sitemap
Sitemap: http://www.occitaweb.fr/sitemap.xml //à remplacer par votre site map

les plugins anti spam.

banner-772x250Pour bloquer les spams wordpress propose par défault askimet, dont les performance sont tout à fait acceptable et la configuration simplissime. vous pouvez aussi utiliser des service comme cloudflare mais il vous faudrat modifier les réglages dns de votre serveur ce qui peut être contraignant voir impossible. Cloudflare propose une plugins pour wordpress disponible ici.

Le plugins Anti-spam et aussi une solutions si vous n’êtes pas satisfait d’askimet, relativement récent, il propose un système de filtrage performant sans recours au captcha, pour ne pas perturber les interactions avec les visiteurs.

bien entendu d’autres solutions sont disponible et je n’ai pas tester tout les plugins du marché, si vous souhaitez partager votre outils ou vos code favori n’hésitez pas à laisser des commentaires.

, , ,

Occitaweb

Passionné par internet et le design. je suis toujours en recherche de nouveauté, de concept originaux et efficace pour les interfaces.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Occitaweb création de site internet Albi

Création / formation / réseaux sociaux
18 rue dominique de florence
81000 albi