Il existe un certain nombre d’indices lors de l’exploration d’un site qui peuvent aider le hacker à dévoiler des failles de sécurité. Il existe également des choses basiques à mettre en place pour vous prémunir de ces quelques failles.
Ce dossier est issu de nombreuses recherches et implémentations des techniques au fil du temps (depuis environ 2010). N’étant pas un expert en sécurité web, je tâcherai tout de même de vous expliquer l’utilité de chacune des astuces fournies.
Certaines de ces manipulations ne se limitent pas au contexte d’une installation WordPress.
Sommaire du dossier
Remerciements
Quelques remerciement à mes différentes sources dont certaines sont listées ci-dessous.
Merci aussi à Julio qui m’a signalé quelque faille dans certains codes liés à .htaccess, merci à lui pour les plugins cités dans ce dossier, puisque parmi ceux présentés il en a conçu !
Sources et liens utiles
Partager la publication "Dossier WordPress – Sécurisez votre site grâce à quelques astuces"
Les astuces et préconisations pour sécuriser WordPress dans cet article ne sont pas mauvaises.
Attention par contre au niveau de « Limiter l’appel au script de commentaires ». Chez moi, cela bloquait certains de mes utilisateurs qui voulaient commenter sur mon blog car ils bloquaient volontairement leur referrer pour une navigation anonyme…
Bonjour Geoffroy,
Merci pour cette précision, je complète mon article en ajoutant un avertissement.
Cet article est trop long et le niveau requies pour réussir ces manipulations n’est pas le même partout.
Aussi, une fois on touche à WordPress, une autre au .htaccess.
Il aurait mieux valu découper l’article en « spécial htaccess », « special hooks » etc
Ensuite je te corrige concernant le banissement par IP, tu utilises un « LIMIT GET, POST, PUT », pourquoi limiter ? Et si je visite ta page avec le header « JULIO » que se passe t-il ? Et bien oui, je serais autorisé.
Je t’invite à taper dans google 2 mots « faille htaccess » et de cliquer sur le résultat n°1 😉
Ensuite, attention quand tu proposes un plugin dans un article sécurité, quand on sait que 60% des plugins sont vulnérables (ma stat sur l’année 2011) et que le plugin que tu proposes à été corrigé recement (regarde le changelog version 3.0.9 ;)), je ne peux que te dire d’éviter de proposer à tes lecteurs l’installation de failles web 😉
Bonne journée !
Hello,
Merci Julio pour ces précieux avertissements et conseils.
Je vais me renseigner sur tout cela et suivre tes recommandations 🙂
Pour info j’ai tenté de me référer à tes audits quand c’était possible (notamment pour WP Security Scan qui semblait être bon en v3.0.2).
Du coup si j’ai bien compris entre la 3.0.2 et la 3.0.9 il y a eu une version avec faille ?
Bonne journée également !
Article mis à jour dans son contenu.
Hacker != pirate informatique
Tout à fait, c’est pour cela qu’à aucun moment l’amalgame n’est fait 🙂