background preloader

Securité

Facebook Twitter

Sécuriser WordPress dans ce monde de brutes. Un thème vérolé, une extension mal développée, un oubli de mise à jour, un mot de passe facile (ex : « azerty ») et les mauvaises surprises commenceront à voir le jour.

Sécuriser WordPress dans ce monde de brutes

Sans compter que l’on n’est pas à l’abri de 0days ou d’un retard dans la sortie d’une mise à jour de sécurité ! Même si vous n’avez pas d’ennemis jurés qui vous veulent du mal, votre site WordPress est constamment harcelé par de petits programmes à la recherche de la moindre faille de sécurité exploitable. Dans notre cas, ces petits robots scannent des sites Web sur Google ou encore, scannent certaines plages d’adresses IP à la recherche d’installations WordPress. Une fois un site WordPress détecté, une batterie de tests d’intrusion est alors lancée afin de détecter et exploiter une éventuelle brèche ! Le plus courant sera l’installation à votre insu de pages de phishing dont les liens seront envoyés via e-mail afin de piéger madame ou monsieur tout le monde (fausses pages de banques par exemple).

Sélection de tutoriels essentiels sur WordPress en français et en anglais. Bloquer l'accès aux répertoires de votre installation de WordPress. Par défaut, WordPress stocke vos données multimédias dans un dossier /wp-content/uploads/ qui est accessible en saisissant l’URL dans un navigateur Internet.

Bloquer l'accès aux répertoires de votre installation de WordPress

N’importe quelle personne mal avisée peut donc afficher le contenu de ces répertoires susceptibles de contenir des données personnelles. Réglons ce problème de sécurité sans plus tarder en intervenant dans le .htaccess. N.B : notez que cette astuce fonctionne pour n’importe quel serveur Apache et que le choix du CMS – WordPress en l’occurrence, n’a aucun rapport. Cette astuce va nous permettre d’interdire le listage d’un répertoire et donc de son contenu présent sur votre serveur FTP. Notons toutefois que certains dossiers sensibles comme /wp-content/themes et /wp-content/plugins ne sont pas accessible via l’URL car ils contiennent un fichier index.html.

WordFence un Antivirus WordPress Efficace. La sécurité de votre site WordPress est primordiale.

WordFence un Antivirus WordPress Efficace

Tant de travail et d'articles sur votre blog et tout d'un coup, une simple attaque et... Patatra! Tout est perdu, infecté, piraté:/ Ces derniers temps, j'ai vu augmenter des problèmes de sécurité sur des sites WordPress, des problèmes de scraping, d'injection de codes malicieux, de bannières publicitaires indésirables, etc... 11 rappels de Sécurité pour WordPress. Nous savons tous qu’internet peut se révéler vulnérable.

11 rappels de Sécurité pour WordPress

Les plus grands groupes du web ont des attaques régulières de hackers et de pilleurs de données. WordPress n'est pas à l’abri. En avril 2013, plus de 90000 sites WordPress ont été attaqués... La sécurité de WordPress est un sujet crucial et essentiel pour tout administrateur système soucieux de préserver son site. Quand on réalise le temps de travail, d’écrits, et de réflexions que représente la création d’un site, il est dangereux d’être approximatif en ce qui concerne sa protection. Les hackers sont toujours à la recherche de nouvelles failles. 15 Mesures de sécurité essentielles à WordPress 1- Le compte Admin : En premier lieu, quelque soit la méthode d'installation choisie, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé. Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine. Installez une extension qui bloque les tentatives répétées d’une même adresse IP.

Sécuriser Wordpress - Masquer les erreurs de login - Korben. Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula.

Sécuriser Wordpress - Masquer les erreurs de login - Korben

Maintenant qu'on a passé en revue les grands principes de la sécurisation WordPress, à savoir : Je vais partir dans une série de petites astuces à mettre en place sur votre WordPress pour en améliorer la sécurité. Et aujourd'hui, je vais vous expliquer comment masquer les erreurs de login. Sur la page de login (/wp-admin/ ou wp-login.php), il est relativement simple de savoir si vous vous êtes trompé au niveau de l'identifiant ou du mot de passe grâce au message d'erreur qui s'affiche. Par exemple, si je tape n'importe quoi comme login, j'obtiens le message suivant : Je sais donc que c'est le login qui n'est pas bon.

Je sais donc qu'il ne me reste plus qu'à trouver le mot de passe. Add_filter('login_errors', create_function('$a', "return null;")); Sécuriser Wordpress - L'installation - Korben. Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula.

Sécuriser Wordpress - L'installation - Korben

Si vous êtes blogueur ou webmaster, vous connaissez surement ce sentiment de crainte lorsque vous voyez le site d'un ami se faire pirater. Vous vous dites "A quand mon tour ? " D'ailleurs, peut être que cela vous est déjà arrivé et c'est pour cela cette série d'articles vous intéresse.

Avant toute chose, sachez que rien n'est in-piratable. Le hacker arrivera toujours à ses fins s'il est motivé et qu'il en a les moyens.