web-dev-qa-db-fra.com

Est-ce un bon conseil de sécurité d’installer WordPress dans un sous-répertoire mais avec un lien vers la racine?

Est-il bon d'installer wordpress dans un sous-répertoire (avec un nom aléatoire), mais définir l'adresse "Page d'accueil" sur la racine du domaine? (basé sur donnant à WordPress son propre répertoire )

Puisque le wp-content est dans le sous-répertoire et que chaque lien vers des photos et d’autres fichiers (y compris les plugins css et js) de la page d’accueil, inclut le chemin complet du dossier de contenu.

securitydirectoryinstallation
1
jiun

Vous demandez donc si vous installez WordPress dans un sous-répertoire, tel que example.tld/secretwp/ et que le site pointe vers example.tld, empêchera les utilisateurs et les robots "pervers" de connaître le sous-répertoire?

Je ne pense pas que cela tiendra pour un avis de sécurité, car votre site peut donner le nom du sous-répertoire de plusieurs façons. Par exemple de:

  • l'utilisation de admin-ajax.php, les demandes seront faites dans le fichier example.tld/secretwp/wp-admin/admin-ajax.php.

  • le pingback , editURI et wlwmanifest balises de lien:

    <link rel="pingback" 
      href="http://example.tld/secretwp/xmlrpc.php" />

<link rel="EditURI" type="application/rsd+xml" title="RSD"
      href="http://example.tld/secretwp/xmlrpc.php?rsd" />

<link rel="wlwmanifest" type="application/wlwmanifest+xml" 
      href="http://example.tld/secretwp/wp-includes/wlwmanifest.xml" />

  • les fichiers jQuery inclus:

    <script type='text/javascript' 
        src='http://example.tld/secretwp/wp-includes/js/jquery/
             jquery.js?ver=1.11.1'></script>

  • les fichiers javascript de la playlist native inclus:

    <script type='text/javascript' 
        src='http://example.tld/secretwp/wp-includes/js/
             mediaelement/mediaelement-and-player.min.js?ver=2.15.1'></script>
 <script type='text/javascript' 
         src='http://example.tld/secretwp/wp-includes/js/
              mediaelement/wp-playlist.js?ver=4.1.1'></script>

etc.

Je ne pense pas que cela vaille la peine d'essayer de cacher cette information.

4
birgire

Pour ajouter à la réponse de @birgire, cochez cette publication expliquant comment masquer le fait que vous utilisez Wordpress .

Je pense aussi qu'aucun message ne couvre fondamentalement cela, mais cela n'aide vraiment rien de suivre et de tout appliquer pour cacher le fait que vous utilisez Wordpress et pour sécuriser Wordpress, et votre code en lui-même est un risque pour la sécurité.

Les pirates informatiques sont têtus et ont toujours le souci de prouver qu’ils peuvent pirater un site qu’ils se sont fixé. Les mesures mentionnées dans l'article lié sont là pour rendre la tâche difficile aux pirates, pas pour sécuriser votre site. Une fois que les pirates informatiques ont le code source sur votre site, ils peuvent utiliser un code incorrect et peu sécurisé contre vous. Pour cette raison, il est toujours très important de maintenir votre site à jour et d'utiliser uniquement le code le plus récent, comme indiqué dans la documentation, et de rechercher régulièrement tout code ou toute pratique susceptible de créer une faille pouvant être exploitée par les pirates.

4
Pieter Goosen