il faut penser à faire ses mises à jour jeune jedi

Et oui je vivais serein avec mon Wordpress 2.5 sans avoir trop peur des failles de sécurité existantes. La réinitialisation de mon mot de passe admin (sans trop de conséquence vu que j’ai reçu par mail la demande de confirmation) m’a un peu fait réagir (pour cette faille, cf  ce site notamment)

J’ai fait les choix suivant :

- Ajouter un .htaccess

moi@serveur:~/www/blog/wp-admin$ more .htaccess
#restrict admin to my ip
<LIMIT GET POST>
Order deny,allow
Deny from all
Allow from MES_IPS_SEPAREES_PAR_UN_ESPACE
</LIMIT>

- Créer un user autre que admin pour être l’administrateur

- Mettre à jour mon Wordpress vers la version 2.8.4
J’ai suivi la mise à jour manuelle et franchement modulo le temps nécessaire de sauvegarde de la base pour éviter le drame, ceci prend peu de temps et les plugins se mettent à jour assez facilement et en deux clics.

- Ajouter les 4 clés de sécurité de Wordpress (AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY) dans le wp-config.php (pour rendre presque impossible l’autogénération de cookies d’après ce que j’ai compris)

Voilà me voici un peu plus protégé du monde