Ce blog a déménagé et parle maintenant uniquement anglais.

This blog has moved and now only speaks English.

blog.floriancargoet.com

See you there!

/home/florian

le blog de florian cargoet : du linux, du web et du logiciel libre



Bloquer l’accès à l’admin de WordPress

13 August, 2009 (12:22) | Wordpress | Florian Cargoet

Inspiré par la proposition de Gregory Colpart, j’ai décidé moi aussi de bloquer l’accès à l’administration de mon blog :

Dans le dossier wp-admin, j’ai mis un .htaccess très simple :

# restrict admin to my ip
        Deny from all
        Allow from MY.IP.ADD.RESS

Et voilà, personne ne peut accéder à l’admin sauf depuis chez moi. Peut-être un peu trop restrictif mais pour l’instant ça me va.

Commentaires

Commentaire de Christophe
le 14 August 2009, 9:08

A tout hasard…
- Que se passe-t-il si tu veux administrer depuis ton ordi de vacances ou depuis un cybercafé ?
- Que se passe-t-il si quelqu’un usurpe ton adresse IP ? Parvient-il jusqu’à l’écran de connexion ?
- Que se passe-t-il pour toi si ton adresse IP change ? Si par exemple ton FAI change soudainement le plan d’adressage IP ? Ou si la configuration de ton réseau local change (équipement réseau qui défuncte ou qui perd sa configuration) ?

Commentaire de Florian Cargoet
le 14 August 2009, 15:23

> – Que se passe-t-il si tu veux administrer depuis ton ordi de vacances ou depuis un cybercafé ?

Peux pas. Sur le coup, je m’étais dit que je le ferai que depuis chez moi mais là je suis au boulot par exemple.

> – Que se passe-t-il si quelqu’un usurpe ton adresse IP ? Parvient-il jusqu’à l’écran de connexion ?

J’avoue ne pas m’y connaitre en usurpation d’IP. Tu peux m’éclairer ?

> – Que se passe-t-il pour toi si ton adresse IP change ? Si par exemple ton FAI change soudainement le plan d’adressage IP ? Ou si la configuration de ton réseau local change (équipement réseau qui défuncte ou qui perd sa configuration) ?

Coincé. Coincé. Juste une freebox donc comme précédemment.
En IP fixe, ca ne m’est jamais arrivé qu’elle change mais c’est vrai que j’ai pas de contrôle dessus.

Je voulais pas mettre une auth http parce que j’avais la flemme d’enchainer deux mots de passe mais c’est vrai que l’IP c’est pas idéal…
Tu proposes quoi ?

Commentaire de хостинг
le 24 November 2009, 19:34

pourquoi pas:)

Commentaire de Christophe
le 4 December 2009, 0:50

Avec quelques mois de retard, désolé j’avais pas noté la page -_-’

>> – Que se passe-t-il si quelqu’un usurpe ton adresse IP ? Parvient-il jusqu’à l’écran de connexion ?
> J’avoue ne pas m’y connaitre en usurpation d’IP. Tu peux m’éclairer ?
La probabilité que ça arrive dépend du lieu où tu utilises ton ordinateur et du fait que l’adresse MY.IP.ADD.RESS soit connue (publique), mais l’idée est simple : quelqu’un envoie des trames sur le réseau qui arrivent jusqu’à leur destination : ton serveur, avec comme IP source MY.IP.ADD.RESS. Un premier scénario est que les paquets frauduleux arrivent à ton serveur et repartent vers ton véritable ordinateur. Un deuxième scénario est que les paquets frauduleux arrivent à ton serveur et repartent vers l’ordinateur de l’attaquant.

>> – Que se passe-t-il pour toi si ton adresse IP change ? Si par exemple ton FAI change soudainement le plan d’adressage IP ? Ou si la configuration de ton réseau local change (équipement réseau qui défuncte ou qui perd sa configuration) ?
> Coincé. Coincé. Juste une freebox donc comme précédemment.
> En IP fixe, ca ne m’est jamais arrivé qu’elle change mais c’est vrai que j’ai pas de contrôle dessus.
> Je voulais pas mettre une auth http parce que j’avais la flemme d’enchainer deux mots de passe mais c’est vrai que l’IP c’est pas idéal…
> Tu proposes quoi ?
Ben je sors du cadre, vu qu’on voulait, le plus simplement possible, se prémunir contre d’éventuelles vulnérabilités à venir de WordPress, mais j’aime bien les solutions à base de certificat qui authentifie l’utilisateur. En fait, cela vérifie la possession d’un fichier (le certificat) que tu peux stocker sur ton ordinateur, sur une clef USB ou sur une carte à puce. Du coup, tu peux éventuellement carrément enlever le formulaire de mot de passe de la page d’admin. Mais bon, je n’ai pas du tout idée si ce genre de solution peut s’interfacer bien avec WordPress et dans ton cas particulier.

Commentaire de Christophe
le 4 December 2009, 0:52

(quand je parle de paquets qui repartent, je voulais dire les paquets en réponse de ton serveur)