Sécurité et .htaccess

UPDATE: Lorsque j'ai posté ma réponse pour la première fois, j'ai raté l'essentiel de la question; Ma réponse portait sur la sécurité de .htaccess en général et figure maintenant sous la ligne double (regardez si cela vous intéresse.) Malheureusement, je n'ai pas d'expérience spécifique en matière de sécurisation de /wp-admin/ avec .htaccess et je vais donc simplement énumérer les deux ressources que je vais poursuivre. quand et si j'en ai besoin:

• Durcissement de WordPress avec .htaccess
• Protection par mot de passe AskApache, pour WordPress

Le premier recommande ce qui suit (et voici quelques discussions à ce sujet .)

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

Ce dernier contient de nombreuses informations, notamment dans les commentaires, mais vous fournir une liste à lire n’est certes pas la réponse que vous recherchiez.

Désolé je n'aurais pas pu être plus utile sur celui-ci.

=======================================

Typiquement, WordPress ne gère que le traitement permalien et n’est pas lié à la sécurité:

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Récemment, j'ai trouvé le plugin WP htacess Control qui gère beaucoup de .htaccess pour vous et je l'aime plutôt beaucoup. Après avoir peaufiné ses paramètres, il a ajouté les options suivantes:

# WPhtC: Disable ServerSignature on generated error pages
ServerSignature Off

# WPhtC: Disable directory browsing
Options All -Indexes

# WPhtC: Protect WP-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# WPhtC: Protect .htaccess file
<files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
</files>

Il a également ajouté ces options qui concernent les performances plutôt que la sécurité:

# WPhtC: Setting mod_gzip
<ifModule mod_gzip.c>
mod_gzip_on Yes
mod_gzip_dechunk Yes
mod_gzip_item_include file \.(html?|txt|css|js|php|pl)$
mod_gzip_item_include handler ^cgi-script$
mod_gzip_item_include mime ^text/.*
mod_gzip_item_include mime ^application/x-javascript.*
mod_gzip_item_exclude mime ^image/.*
mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*
</ifModule>

# WPhtC: Setting mod_deflate
<IfModule mod_deflate.c>
AddOutputFilterByType DEFLATE text/html text/plain text/xml application/xml application/xhtml+xml text/javascript text/css application/x-javascript
BrowserMatch ^Mozilla/4 gzip-only-text/html
BrowserMatch ^Mozilla/4.0[678] no-gzip
BrowserMatch bMSIE !no-gzip !gzip-only-text/html
Header append Vary User-Agent env=!dont-vary
</IfModule>

Au-delà de celui-ci, il existe des plugins que je n'ai pas encore essayés mais qui sont centrés sur la sécurité et qui interagissent avec .htaccess - vous pouvez les essayer chacun pour voir ce qu'ils font dans le fichier .htaccess:

• WP htaccess super sécurisé et rapide ( aussi )
• BulletProof Security
• Le silence est la garde d'or
• WP-BlockYou
• Connexion furtive
• Authentification HTTP
• AskApache Password Protect

Au-delà, si vous souhaitez connaître la ressource experte (OMI) # 1 sur Sécurité Apache liée à WordPress vous pouvez le trouver sur AskApache.com ; mec est hardcore! Son blog ne résoudra pas votre problème "trop d'informations} _" mais vous pouvez au moins le voir comme une ressource faisant autorité!

Voici quelques exemples (bien que tous ne soient pas directement liés à WordPress, ils sont tous applicables):

• WordPress avancé wp-config.php Tweaks
• Exemple .htaccess pour WordPress
• Advanced WordPress 404
• Mod_Security astuces .htaccess
• Le plugin .htaccess bloque le spam, les pirates et le mot de passe protège le blog

Quoi qu'il en soit, espérons que cela aide.