[Wordpress] La vraie bonne manière de supprimer le numéro de version. Dès qu’un blog commence à avoir un peu de succès, il devient la cible des spammers, puis plus tard des hackers.
![[Wordpress] La vraie bonne manière de supprimer le numéro de version](http://cdn.pearltrees.com/s/pic/th/wordpress-websourcing-10883859)
WordPress est l’une des plateforme de blogging les plus populaires. A ce titre, elle concentre bon nombre d’attaques. Par défaut, WordPress publie sur votre site la version du moteur (par exemple 2.9.1) qui le propulse. Ceci a pour but de compter le nombre de blog utilisant la plateforme et dans quelle version.
Mais cette publication a un gros inconvénient : un hacker peut connaitre la version que vous utilisez et se servir de failles connues de la dite version pour prendre le contrôle de votre blog, surtout si elle n’est pas à jour. Il est donc recommandé de supprimer cette information. Suppression dans le header On voit parfois une technique simple qui permet, a priori, de supprimer la version dans le code HTML produit. Suppression de l’insertion dans le header D’autres recommandent de supprimer l’insertion de la ligne ci-dessus, en utilisant un hook.
Limites de ces techniques. [Wordpress] WP-Scanner, un plugin pour tester la sécurité de votre blog. Lorsqu’un blog commence à avoir du succès, la rançon de la gloire arrive vite.
![[Wordpress] WP-Scanner, un plugin pour tester la sécurité de votre blog](http://cdn.pearltrees.com/s/pic/th/wordpress-securite-websourcing-10884012)
Tout d’abord il est la cible des spammeurs, qui s’en donne à cœur joie pour pourrir les commentaires des billets. Dans ce cas, installer Askimet doit être le premier réflexe. Ensuite, c’est au tour des voleurs de contenus, qui sans aucune vergogne, utilisent tel quel le flux RSS ou pire copient mot pour mot dans leur propre blog . Il existe plusieurs méthodes pour s’en prémunir qu’il serait trop long d’expliquer. FairShare ou CopyGator sont des bons outils pour détecter ce type de vol. Dernière étape, le hacking du blog lui-même. Avez vous déjà pensé a tester la sécurité de votre blog?
Writing a Plugin. Languages: English • العربية • বাংলা • Español • Italiano • a Plugin 日本語 한국어 • Português do Brasil • Русский • ไทย • 中文(简体) • (Add your language) WordPress Plugins allow you to easily modify, customize, and enhance a WordPress site.
Instead of changing the core program code of WordPress, you can add functionality with WordPress Plugins. Here is a basic definition. A WordPress Plugin is a program or a set of one or more functions written in the PHP scripting language, that adds a specific set of features or services to the WordPress site. You can seamlessly integrate a plugin with the site using access points and methods provided by the WordPress Plugin Application Program Interface (API). Wish that WordPress had some new or modified functionality? This article assumes you are already familiar with the basic functionality of WordPress and with PHP programming.
Resources To understand how WordPress Plugins work and how to install them on your WordPress blog, see Plugins. Plugin Name Home Page. [Wordpress] Login LockDown, protégez votre blog des hackers. Lorsqu’on édite un blog et qu’on y met toute son énergie, l’une des choses les plus redoutées et de se faire hacker.
![[Wordpress] Login LockDown, protégez votre blog des hackers](http://cdn.pearltrees.com/s/pic/th/wordpress-lockdown-websourcing-14433832)
L’attaque la plus commune consiste à usurper l’identité de l’administrateur en trouvant son mot de passe par « bruteforce ». Cette technique consiste, en gros, à essayer toutes les combinaisons de mots de passe possibles jusqu’à tomber sur le bon. Sur les blogs WordPress, il n’existe, par défaut, aucune méthode pour empêcher ce genre d’attaques. Il est possible de tenter de se loguer autant de fois qu’on le souhaite. Pire, WordPress ne donne même pas la possibilité d’enregistrer les adresses IP qui tentent une identification. Login LockDown est un plugin qui permet de définir un nombre maximum de tentatives de login avec une adresse IP donnée et dans un laps de temps donné. Une fois installé, il suffit de se rendre dans l’interface d’administration de votre blog et de cliquer que le menu Login Lockdown.
Bien entendu, ce plugin ne vous protègera pas à 100%. InformatiWeb v2 - Autoriser toutes les balises dans TinyMCE (TinyMCE est un Editeur WYSIWYG en javascript) 354 vues Publié le : 20 mars 2011 à 17:05 Si vous avez une fois testé "TinyMCE" dans votre site web, vous avez peut-être remarqué que certaines balises comme la balise "marquee" était automatiquement supprimée lorsqu'elle était insérée dans le code source.
Ceci pour une raison de sécurité, car dans le cas où vous mettez cet éditeur disponible à tous les utilisateurs de votre forum, par exemple, elles sont considérées comme potentiellement dangereuses car elle peuvent modifier l'aspect de votre site web ou forum. Le problème, c'est que lorsque l'on veut l'utiliser dans l'administration de son site web, par exmple, ou dans une partie du site web ou forum réservée aux admins, on aimeraient bien des fois de mettre certaines balises qui ne sont pas habituellles. Le moyen le plus simple, c'est de remplacer une toute petite partie du code dans ce fichier : "tinymce\jscripts\tiny_mce\tiny_mce.js" Remplacer : extended_valid_elements:"0" Par : extended_valid_elements:"*[*]"