S

[Dogon]

Fort de mon DS-209 et apr

[Dogon]

Permissions de dossiers et fichier de votre installation WP :

Root de votre installation : 755

wp-admin :idem

wp-content : idem

wp-include : idem

Fichiers du root de votre install : 777

sauf :

- votre htaccess que vous mettrez en 644

et qui contiendra le rewrite mod donné par WP

Si vous y ajoutez un autre htaccess il sera en 644, en revanche un htpasswd devra être mis en 640.

Dans wp-admin : le dossier js en 755

le reste des dossiers en 777

les fichiers en 777

Dans wp-content vous aurez les dossier plugins et themes en 755

et un index.php vide en 777

Dans wp-include fichiers et dossiers seront tous en 777.

C'est le meilleur compromis que j'ai pu trouver.

A charge pour vous quand vous vous authentifier de ne pas avoir gardé admin comme nom d'utilisateur root, d'avoir choisi un mot de passe fort et de ne vous connecter qu'en HTTPS.

En principe on évite le 777, dans mon cas j'ai plusieurs repertoires, pour accroitre la sécurité vous pouvez :

- rajouter un htaccess sur le fichier wp-login dans wp-admin afin de rajouter une couche d'authentification (testé et j'ai trouvé ça plutôt buggé mais bon)

- faire appel à un ou deux plugins WP fonctionnels et utiles (certains sont non fonctionnels ou buggé ayant passé 3 jours à tester et réinstaller n'hésitez pas à me demander avant et faite un backup ^^).

- mettez à la racine de web un robots.txt qui précisera aux robots d'indexation des moteur de recherche de ne pas indexer certains répertoires

- si vous sentez d'humeur geekesque n'hésitez pas à changer les nom de répertoires voir des fichiers mais gardez à l'esprit que vous devrez apporter des modification manuelles dans les codes sources des fichiers de WP ^^

- changer le préfixe des tables à l'installation

- créer un groupe avec un user dédié à WP sous le DSM disposant de droits limités.

Pour les htaccess je ne saurais que vous recommander :

le seul générateur à peu près correct que j'ai trouvé, il génére correctement les clés hashés si vous n'aveez pas une distribution linux à portée de main ou les connaisssances nécéssaires pour le faire

et

askapache (en anglais) pour les plus téméraires d'entre vous.

Gardez à l'esprit que les fichiers htaccess et htpasswd doivent être renommé pour les rendre moins facilement identifiables, ça ajoutera encore un peu de sécurité au prix d'un fichier donnant la correspondance.

Gardez aussi à l'esprit que la méthode htaccess comporte des vulnérabilités et ne fait pas le café.Donc à moins de vouloir y consacrer du temps opter pour la solution du back-up journalier + un back-up sain ailleurs.