pasunclou

tutoriaux et blogging

Conférence Open Source à Paris le 2 décembre

Table ronde sur l’économie des éditeurs Open-source le 2 décembre à 20h à Paris. Les raisons du choix de logiciels open-source par les utilisateurs sont clairs. Les motivations des développeurs regroupés au sein de groupes communautaires sont facilement compréhensibles également. En revanche, pourquoi des éditeurs de logiciels feraient-ils le choix de mettre à la disposition de [...]

Tester Intrepid Ibex - Ubuntu 8.10 - sous Windows avec Wubi

Pour aller plus loin dans la cohabitation de Windows et d’Ubuntu, j’ai décider d’installer Ubuntu avec Wubi (fonctionne sous Windows 98, 2000, XP et Vista, nécessite 5Go d’espace disque, 256Mo de RAM). Wubi permet d’installer la dernière version d’Ubuntu tout en ne partionnant pas le disque dur. Ubuntu est alors sur votre disque dur et se [...]

Piwik sur votre bureau avec Adobe Air

Après Google Analytics sur votre Bureau, c’est au tour de Piwik, le célèbre concurrent de ce dernier de s’envoyer en L’Air ! Piwik est une alternative Open Source n’envoyant pas vos données à des personnes tiers. Interface puissante et souple, il s’installe facilement sur votre serveur (nécessite php avec l’extension pdo ainsi que mysql). C’est Benoit [...]

Tester Intrepid Ibex - Ubuntu 8.10 - sous Windows

Si vous voyez de plus en plus de systèmes tournant sous Linux autour de vous, où que vous voulez vous entraîner avant de louer un serveur dédié ou semi-dedié, une solution simple consiste à installer un système Linux par le biais de la virtualisation. A noter, j’ai choisie délibérément Ubuntu, comme c’est une version assez bien [...]

Previous | Next

Category : actualité, cms, tutoriaux

Des astuces pour sécuriser votre Wordpress

ekevin septembre 5, 2008 — One comment

Nous ne sommes jamais à l’abri de quelqu’un qui puisse exploiter les failles de Wordpress pour récupérer un contenu sensible, ou tout simplement détruire quelques données. Dans cet article nous verrons quelques astuces pour sécuriser un peu plus son Wordpress. Bien sûr si vous avez la dernière version de Wordpress vous serez plus tranquille que les autres. Néanmoins quelques-unes des astuces présentes ici sont nécessaires, car savez-vous que Wordpress part du concept qu’il revient à l’utilisateur de son produit de sécuriser son serveur. Ces astuces sont aussi valables pour le développement en général.

Listing des répertoires

Il arrive souvent que celui qui veut s’attaquer à votre site essaye de lister les répertoires à l’aide simplement de leur navigateur Web.

À priori, il n’y a aucun problème à laisser lister les répertoires, sauf que : imaginez que le développeur de votre thème ou plugin, ait fait quelques erreurs de codage et laisse une porte ouverte à un accès non prévu…

Comment y remédier ?

Deux méthodes. La première consiste à placer un fichier index.html vide dans votre dossier, pour wordpress, il faudra le déposer dans le dossier suivant http://www.example.com/wp-content/plugins/ et dans http://www.example.com/wp-content/themes/. Ce qui afichera alors une page blanche pour celui voulant lister le contenu.

La deuxième méthode consiste à placer un fichier .htaccess avec le contenu suivant :

Options -Indexes

Ceci est suffisant pour empêcher alors le listing de vos répertoires. La méthode avec le fichier .htaccess vous redirigera vers une belle page 404.

Ayez un Wordpress à jour

C’est important de mettre à jour vos thèmes, plugims et Wordpress en général. Une solution facile consiste à souscrire aux flux des plugins et thèmes que vous utilisez. Les développeurs annoncent en général ce qui affecte la sécurité dans leur produit.

Pour garder Wordpress à jour, vous pouvez utilisez le plugin de mise à jour automatique. Ce plugin nécessite plus de ressources mais s’avère relativement pratique.

Privilégiez un accès avec un sFTP plutôt que FTP

Le problème avec le FTP est que vous envoyez votre login et votre mot de passe en clair sur le Web. Vous pouvez facilement le lire ! Une personne utilisant un sniffeur pourra facilement récupérer votre mot de passe.

Si vous êtes en hébergement mutualisé, regardez dans la documentation si vous avez un accès sFTP ou essayez tout simplement de le demander. Pour un hébergement dédié, cherchez comment installer sFTP en lancant dans un moteur de recherche sFTP + le nom de votre distribution.

En passant si vous cherchez un client sFTP, je vous recommande un logiciel Open Source du nom de WinScp sous Windows.

Utilisez des permissions correctes pour vos fichiers et répertoires

Vous n’avez peut-être pas touché aux permissions de Wordpress, mais au cas ou, voici une liste des permissions qu’il serait bon de vérifier.

Tout les répertoires doivent avoir la permission 755, les fichiers 644. Les fichiers que vous souhaitez éditer à l’aide de Wordpress devrait avoir la permission 666. N’utilisez jamais de permission 777, vous laisseriez alors toutes les permissions en écriture, lecture et exécution à tous les utilisateurs.

Désactivez l’enregistrement des visiteurs

Au cas où vous seriez le seul utilisateur de votre blog, il est bon de désactiver la fonction d’enregistrement des visiteurs. C’est notamment cette fonction qui était visée par les derniers exploits dans Wordpress, qui est maintenant fixée.

Pour vérifier si des utilisateurs peuvent créer un compte, allez dans réglages et vérifier que Tout le monde peut s’enregistrer est décoché.

Enlevez la version de Wordpress sur votre thème

Pour éviter grâce aux moteurs de recherches à des personnes de trouver des blogs avec telle version de Wordpress parce qu’ils contiennent une ou des failles, allez tout simplement dans votre thème et éditez le fichier header.php pour supprimer ce bout de code bloginfo(’version’).

En espérant que cet article vous aura aider, gardez aussi en tête de ne jamais divulger vos mots de passe, que ce soit pour votre e-mail, votre base de données ou encore votre CMS. Essayez au maximum d’utilisez des mots de passe complexes contenant ponctuation, chiffres et caractères. En enfin n’hésitez pas à faire un backup régulièrement.

Share and Enjoy:
  • RSS
  • Fuzz
  • del.icio.us
  • Facebook
  • Scoopeo
  • Google
  • Blogasty
  • Bluegger
  • Digg
  • Digg-Design
  • Digg France
  • MisterWong Fr
  • Nuouz
  • Pioche
  • Reddit France
  • Tapemoi
  • Technorati
  • Tutmarks
  • TwitThis
  • Wikio FR
  • Yoolink
Tags: ,

Un commentaire »

  1. By Arnaud Velten (business commando) 15:37 on 9/26/08

    le plugin de mise à jour automatique.
    Pensez Bien a garder vos backups :)
    Et exporter de temps en temps votre site avant un Update ;)
    On ne sais jamais , Pour l”avoir vécu une fois c’est toujjours bon d’avoir une double de vos contenus toute fois AUTOMATIC upgrade se releve etre un prodtui extrement stable ;)

    merci pour tes post passionants :)

Flux RSS des commentaires de cet article. URL de rétrolien

Laisser un commentaire

XHTML: Vous pouvez utilisez ces balises : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

 

Search

Recent Posts

Des astuces pour sécuriser votre Wordpress
septembre 5, 2008
By ekevin