Meta Generator Tag et flux RSS/Atom
Il y a deux endroits où la version de WordPress est facilement visible, le header avec

<meta name=”generator” content=”WordPress 3.1″ />

ainsi que les flux RSS avec

<generator>http://wordpress.org/?v=3.1</generator>

.

Beaucoup connaissent le

remove_action('wp_head', 'wp_generator');

pour enlever la version WP du header. Cependant, elle ne masque pas le numéro de WP dans les flux.
Pour tout masquer, la solution est aussi simple que celle au dessus, elle se résume en une ligne à insérer dans le fichier functions.php du thème.

add_filter('the_generator', create_function( '$a', "return null;" ) );

readme.html

Un autre indice permet de trouver facilement la version WP utilisée, le fichier readme.html. Il suffit de le supprimer, il se trouve à la racine de l'installation WordPress.

Cependant même si la version est masquée au plus grand nombre, il sera toujours possible de trouver la version de votre installation. Ainsi, il existe plusieurs moyens.

Les deux prochaines méthodes permettent de déterminer la version majeure de WP, pas les mise à jour mineures. Cela indiquera donc la version 3.1, pas la 3.1.3.

Fichier CSS

En regardant le code source de la page de login ou même wp-admin/upgrade.php et /wp-includes/js/tinymce/wp-mce-help.php, vous pourrez voir le numéro de la version de la CSS utilisée. Ce numéro correspond à une version de WP.

<link rel=’stylesheet’ href=’http://localhost/wordpress/wp-admin/css/login.css?ver=20081210′ type=’text/css’ media=’all’ />

Version WP correspondant au numéro CSS
2.6: 20080708
2.7: 20081210
2.8: 20090514
2.9: 20091010
3.0: 20100601
3.1: 20110121

Nouveaux fichiers

Une autre méthode consiste à vérifier la présence d'un fichier spécifique à la version. Ainsi à chaque nouvelle version de WordPress, un nouveau fichier fait son apparition, dû aux nouvelles fonctionnalités ajoutées.
2.2: /wp-includes/images/rss.png
2.3: /wp-includes/js/scriptaculous/sound.js
2.5: /wp-includes/js/jquery/suggest.js
2.6: /wp-includes/images/blank.gif
2.7: /wp-includes/js/comment-reply.js
2.8: /wp-includes/js/autosave.dev.js
2.9: /wp-includes/js/json2.dev.js
3.0: /wp-includes/js/wp-list-revisions.dev.js
3.1: /wp-includes/js/admin-bar.dev.js

Conclusion : Ce n'est pas en masquant la version de WordPress que votre installation sera sécurisée. Le Codex WP explique les démarches à suivre pour être le plus en sécurité possible.

Voici 5 étapes pour gagner plusieurs kilo-octets voire plusieurs mégas.

1. Suppression des révisions d'articles
Premièrement, éliminons les révisions des articles de WordPress, qui pour moi, ne me servent pas.
Dans phpmyadmin, effectuer la requête suivante:

DELETE FROM wp_posts WHERE post_type = "revision";

2. Limiter les révisions des articles
Pas la peine de garder un exemplaire de l'article à chaque MàJ, dans le fichier wp-config.php, ajoutez la ligne suivante:

define('WP_POST_REVISIONS',false);

3. Suppression des données RSS
Dans le tableau de bord du blog, des flux RSS sont affichés et ces stockés dans la base de données. Ces données sont inutiles et peuvent etre supprimées avec la ligne dans phpmyadmin:

DELETE FROM wp_options WHERE option_name LIKE 'RSS_%'

4. Suppression des données du type _last_edit
Lorsqu'on modifie un article, ces données restent dans la base mais si vous êtes le seul auteur de votre blog, ces informations sont inutiles avec la requête suivante:

DELETE a FROM wp_postmeta a WHERE a.meta_key = '_edit_last' OR a.meta_key = '_edit_lock'

5. Divers plugins permettent de nettoyer sa base de données

Clean Options : permet de nettoyer la base de données des informations non utilisées créer par les plugins.

Plugins Garbage Collector : permet de supprimer les tables laissées par les extensions qui ne sont plus utilisées.

source : Emmanuel Georjon

# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress

Laissé tel quel cela fonctionne très bien. Cependant JP Morgan du forum de WebmsterWorld a suggéré une modification et a réécrire le code afin d'accélérer WordPress.

# BEGIN WordPress
RewriteEngine on
#
# Unless you have set a different RewriteBase preceding this point,
# you may delete or comment-out the following RewriteBase directive
# RewriteBase /
#
# if this request is for "/" or has already been rewritten to WP
RewriteCond $1 ^(index.php)?$ [OR]
# or if request is for image, css, or js file
RewriteCond $1 .(gif|jpeg|jpg|png|ico|css|js)$ [NC,OR]
# or if URL resolves to existing file
RewriteCond %{REQUEST_FILENAME} -f [OR]
# or if URL resolves to existing directory
RewriteCond %{REQUEST_FILENAME} -d
# then skip the rewrite to WP
RewriteRule ^(.*)$ - [S=1]
# else rewrite the request to WP
RewriteRule . /index.php [L]
# END wordpress

Vous pouvez enlever les phrases commencant par #.

En fait le gain d'accélération dépend de nombreux facteurs: taille du site, le serveur et des choses comme ça. Si vous avez un petit blog, l'accélération sera faible, mais dans de nombreux cas, vous serez en mesure de vous en apercevoir.

Source : Webmasterworld

Par défaut WordPress vide la corbeille tous les 30 jours. Il est possible de mettre un laps de temps plus court, genre 10 jours. Pour cela dans le fichier wp-config.php, il faut rajouter la ligne suivante:

define('EMPTY_TRASH_DAYS', 10);

Pour desactiver la fonction poubelle, dans le fichier wp-config.php, il faut mettre:

define('EMPTY_TRASH_DAYS', 0);

En faisant cela, le lien pour mettre à la corbeille est remplacé par celui de la suppression définitive.

Voici une solution simple et sans même de plugin.

Le code est à rajouter dans le fichier "functions.php" de votre thème.

Pour les versions de WP 2.3 à 2.7:

add_action( 'init', create_function( '$a', "remove_action( 'init', 'wp_version_check' );" ), 2 );
add_filter( 'pre_option_update_core', create_function( '$a', "return null;" ) );

WP 2.8 à 2.9:

remove_action( 'wp_version_check', 'wp_version_check' );
remove_action( 'admin_init', '_maybe_update_core' );
add_filter( 'pre_transient_update_core', create_function( '$a', "return null;" ) );

A partir de la version 3.0:

add_filter( 'pre_site_transient_update_core', create_function( '$a', "return null;" ) );

Lorsque votre WordPress a des soucis de connexion avec la base de données, WordPress retourne un sympathique Error establishing a database connection.
Au lieu de perdre des visiteurs, le fichier db-error.php s'avère utile.
En le personnalisant, on peut indiquer aux visiteurs que le site est momentanément indisponible de façon plus élégante. Ce fichier est à placer dans le dossier wp-content.

En collant ce simple code dans le fichier db-error.php que vous devez créer ;

<?php
// db-error.php
$host=$_SERVER['HTTP_HOST'];
$uri=urlencode($_SERVER['REQUEST_URI']);
header("Location: http://google.com/search?q=cache:$host$uri");
exit();
?>

le visiteur sera automatiquement redirigé vers le cache Google de la page demandée. Ainsi on évite de perdre un visiteur.

Une redirection 302 est automatiquement effectuée, évitant ainsi de retrouver des pages contenant ce fameux Error establishing a database connection indexées.

1 - Ne pas utiliser le compte par défaut admin.
Perso, je ne m'en sers pas mais je lui ai attribué le statut de simple éditeur. Ou supprimez le carrément.

2 - Sécuriser le login

Limit Login Attempts ou Login LockDown : Limitent les tentatives de login par ip ou cookies.

Stealth Login : Permet de customiser les url de login et d'enregistrement à votre blog. Plus difficile aux pirates de trouver la page de login.

3 - Sécuriser WP-Admin.
Si vous avez une IP fixe, vous pouvez mettre ce Htaccess dans le dossier wp-admin.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
allow from XXX.XXX.XXX.XXX # IP autorisée
allow from XXX.XXX.XXX.XXX # 2eme IP autorisée

Sinon vous pouvez mettre un Htaccess accompagné d'un Htpasswd. Ainsi un mot de passe sera demandé pour se connecter à wp-admin.
Voici un générateur de Htpasswd.

4 - Nettoyer les entêtes WordPress dont la version de WordPress.
Pas besoin de plugin pour nettoyer les entêtes de WordPress, il suffit de rajouter dans le fichier functions.php de votre thème, ceci :

#Supprimer le numéro de version
remove_action('wp_head', 'wp_generator');
#Enlever le lien Really Simple Discovery
remove_action('wp_head', 'rsd_link');
#Enlever le lien Windows Live Writer
remove_action('wp_head', 'wlwmanifest_link');

5- Bien remplir le wp-config.php
Depuis WordPress 2.5, l'équipe de développement a introduit les clés secretes pour augmenter la sécurité du blog.
https://api.wordpress.org/secret-key/1.1/
Ouvrez le fichier wp-config.php et ajouter les phrases générées.

Dans le Htaccess, n'oubliez pas de rajouter :

# Empecher de lire ou accéder au fichier wp-config.php
<Files wp-config.php>
Order Allow,Deny
Deny from All
</Files>

Bonus - Sécurisez votre thème
Dans search.php ou searchform.php trouvez la ligne:

<?php echo $_SERVER ['PHP_SELF']; ?>

Et remplacez la par celle là:

<?php bloginfo ('home'); ?>

Au lieu de chercher sur le serveur, cela permettra de rechercher seulement sur le blog.

Vérifiez search.php, searchform.php et header.php pour cette ligne:

<?php echo $s; ?>

Cela permet des injections de codes malicieux, remplacez le par:

<?php echo wp_specialchars($s, 1); ?>

Important en cas de souci, pensez à faire un Backup de la base de données, quotidien ou au moins hebdomadaire.
WP DB Manager : Permet de sauvegarder et nettoyer votre base de données depuis l'interface d'administration.

Voici donc cette petite série consacrée à améliorer la protection de votre WordPress finie.

Il faut pour cela éditer un fichier, le fichier user.php dans /wp-admin/includes/.

Une fois user.php ouvert, rendez-vous à la ligne 172, à l’endroit où est écrit /* checking e-mail address */.

Sous la ligne:

if ( empty ( $user->user_email ) ) {

Sélectionnez les lignes suivantes:

$errors->add( 'empty_email', __( 'ERROR : Please enter an e-mail address.' ), array( 'form-field' => 'email' ) );
} elseif (!is_email( $user->user_email ) ) {
$errors->add( 'invalid_email', __( "ERROR: The e-mail address isn't correct." ), array( 'form-field' => 'email' ) );
} elseif ( ( $owner_id = email_exists($user->user_email) ) && $owner_id != $user->ID ) {
$errors->add( 'email_exists', __('ERROR: This email is already registered, please choose another one.'), array( 'form-field' => 'email' ) );
}

Et remplacez les par:

$errors->add( 'user_email', __( 'ERROR: Please enter an e-mail address.' ), array( 'form-field' => 'email' ) );
} else
if (!is_email( $user->user_email ) ) {
$errors->add( 'user_email', __( "ERROR: The e-mail address isn't correct." ), array( 'form-field' => 'email' ) );
} 

Voilà!

Source.

Dans cette première partie, nous allons d'abord voir le .htaccess, robots.txt, CHMOD...

1 - Mettre à jour
Avant tout, il faut mettre WordPress à jour ainsi que ses plugins et son thème.

2 - Avoir un mot de passe fort
N'hésitez pas à le changer périodiquement. Générateur de mot de passe online.

3 - Le .htaccess
A la racine de votre serveur, uploadez un fichier nommer .htaccess et notez ce qui suit.

# Empecher de lire ou accéder au fichier .htaccess
<files .htaccess>
order allow,deny
deny from all
</files>
# Empecher de lire ou accéder au fichier wp-config.php
<Files wp-config.php>
Order Allow,Deny
Deny from All
</Files>
# Au lieu de mettre un index.html dans chaque dossier que vous ne pas rendre visible mettez cette ligne
Options All -Indexes
# Désactive la signature du serveur
ServerSignature Off
# Empêche les attaques DDOS
LimitRequestBody 10240000
# Un hôte qui tente de se cacher dans une reverse DNS lookup
RewriteCond %{REMOTE_HOST} ^private$ [NC,OR]
# Un faux referrer souvent utilisé
RewriteCond %{HTTP_USER_AGENT} ^[^?]*iaea.org [NC,OR]
# Le referrer "addresses.com" est utilisé par un email address extractor
RewriteCond %{HTTP_USER_AGENT} ^[^?]*addresses.com [NC,OR]
# Bloque les navigateurs se dissimulants avec des lettres et chiffres aléatoires
RewriteCond %{HTTP_USER_AGENT} [0-9A-Za-z]{15,} [OR]
RewriteCond %{HTTP_USER_AGENT} ^[0-9A-Za-z]+$ [OR]

4 - Le robots.txt

Le robots.txt est utile pour éviter le duplicate content et éviter que les moteurs de recherche n'indexe des fichiers sensibles de WordPress comme wp-config.php, les dossiers wp-admin etc...
Placez le également à la racine du site.

Sitemap: http://www.nomdedomaine.tld/sitemap.xml

User-agent: *
Disallow: /wp-content/
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-
Disallow: /feed
Disallow: /comments/feed
Disallow: /feed/$
Disallow: /*/feed/$
Disallow: /*/feed/rss/$
Disallow: /*/trackback/$
Disallow: /*/*/feed/$
Disallow: /*/*/feed/rss/$
Disallow: /*/*/trackback/$
Disallow: /*/*/*/feed/$
Disallow: /*/*/*/feed/rss/$
Disallow: /*/*/*/trackback/$
Disallow: /trackback/
Disallow: /cgi-bin/
Allow: /wp-sitemap.php

User-agent: Googlebot
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.cgi$
Disallow: /*.xhtml$
Disallow: /*.php*
Disallow: */trackback*
Disallow: /*?*
Disallow: /wp-*
Disallow: /*.inc$
Disallow: /*.css$
Disallow: /*.txt$
Allow: /images/
Allow: /wp-sitemap.php

User-agent: Googlebot-Image
Disallow:
Allow: /*

Ce fichier est à modifier selon la configuration de votre installation.

5 - Les CHMOD
Via votre votre client FTP, changer les CHMOD des différents dossiers et fichiers sur le serveur.
Mettez tous les fichiers en 604 et tous les dossiers en 705 s'ils nécessitent des droits d'écriture. Sinon les fichiers seront en 404 et les dossiers en 505.
Inutile de faire le 777 qui donne les droits à tout le monde.
Ex : Les fichiers wp-config.php et .htaccess ont des droits 404.

La suite ici, 10 manières de protéger votre WordPress - Partie 2

Voici le post d'annonce :

Trois mois jour pour jour après la sortie de la Release Candidate, Dotclear 2.0 est enfin disponible. Oui, en version finale, prête à être installée et utilisée par toutes et tous.

Passons rapidement sur l'impressionnante liste de fonctions, je vous laisse, pour cela, consulter la nouvelle page présentant les caractéristiques et les inévitables captures d'écran.

Pour ceux qui ont suivi le développement et les différentes versions qui ont pu se succéder, voici les nouveautés depuis la version 2.0 RC2.1 :

* Un rafraîchissement de l'apparence de l'interface d'administration avec le nouveau logo ;
* Prévisualisation des billets directement en contexte ;
* Un nouveau gestionnaire de langues avec possibilité d'ajouter des langues très facilement ;
* Un nouveau plugin d'import/export avec le support de l'import pour Dotclear 1.2 ainsi que WordPress (d'autres à venir) ;
* Support de SQLite amélioré.

Les toutes premières lignes de Dotclear 2 ont été écrites il y a 1040 jours. On compte aujourd'hui plus de 2200 changements dans le code et 326 tickets fermés. Durant ce temps, la documentation a vu le jour, puis, au début de cette année, Dotaddict avec ses dépôts de thèmes et de plugins.

1040 jours qui n'auront pas toujours été de tout repos, dire que nous avons traversé de fortes périodes de doute est un euphémisme. Mais qu'importe, nous y sommes, la version 2.0 est là, elle fonctionne admirablement bien et c'est peu dire que nous en sommes très fiers.

À titre tout à fait personnel j'aimerais ici remercier tous les membres de l'équipe Dotclear ainsi que les modérateurs du forum. Ils font chaque jour un travail admirable, chérissent la documentation, ont lancé Dotaddict et contribuent en permanence à faire de Dotclear un outil toujours meilleur.

Merci à la toute jeune équipe de traduction avec une mention spéciale pour Takafumi qui a réalisé une traduction japonaise en un temps record.

Un grand merci également à tous les utilisateurs qui ont contribué, proposé des patchs ou ouvert des tickets depuis la Release Candidate. Je pense particulièrement à euskaraz, Chty, zeiram, sacha (et les autres que j'oublie sans doute).

Enfin, merci à celle qui m'accompagne dans la vie, m'a encouragé à de nombreuses reprises, m'a régulièrement donné son avis et a fait preuve d'une patience extraordinaire. Merci.

Cette version s'appelle Můstek et je vous laisse deviner ce que ça signifie

Dans quelques jours, nous vous annoncerons le programme pour la suite ; pour l'instant vous êtes invités à télécharger puis installer Dotclear 2.0.

Pour télécharger DotClear, c'est ici.