background preloader

Securité

Facebook Twitter

Sécuriser WordPress dans ce monde de brutes | Tuxonaute. Un thème vérolé, une extension mal développée, un oubli de mise à jour, un mot de passe facile (ex : « azerty ») et les mauvaises surprises commenceront à voir le jour. Sans compter que l’on n’est pas à l’abri de 0days ou d’un retard dans la sortie d’une mise à jour de sécurité !

Même si vous n’avez pas d’ennemis jurés qui vous veulent du mal, votre site WordPress est constamment harcelé par de petits programmes à la recherche de la moindre faille de sécurité exploitable. Dans notre cas, ces petits robots scannent des sites Web sur Google ou encore, scannent certaines plages d’adresses IP à la recherche d’installations WordPress. Une fois un site WordPress détecté, une batterie de tests d’intrusion est alors lancée afin de détecter et exploiter une éventuelle brèche ! Le plus courant sera l’installation à votre insu de pages de phishing dont les liens seront envoyés via e-mail afin de piéger madame ou monsieur tout le monde (fausses pages de banques par exemple).

Dans wp-config.php : Sélection de tutoriels essentiels sur WordPress en français et en anglais. Bloquer l'accès aux répertoires de votre installation de WordPress. Par défaut, WordPress stocke vos données multimédias dans un dossier /wp-content/uploads/ qui est accessible en saisissant l’URL dans un navigateur Internet. N’importe quelle personne mal avisée peut donc afficher le contenu de ces répertoires susceptibles de contenir des données personnelles. Réglons ce problème de sécurité sans plus tarder en intervenant dans le .htaccess. N.B : notez que cette astuce fonctionne pour n’importe quel serveur Apache et que le choix du CMS – WordPress en l’occurrence, n’a aucun rapport.

Cette astuce va nous permettre d’interdire le listage d’un répertoire et donc de son contenu présent sur votre serveur FTP. Notons toutefois que certains dossiers sensibles comme /wp-content/themes et /wp-content/plugins ne sont pas accessible via l’URL car ils contiennent un fichier index.html. A l’aide d’un client FTP comme FileZilla, Cyberduck ou Transmit, connectez-vous à la racine de votre installation de WordPress. En fin de fichier, rajoutez la ligne de code suivante : WordFence un Antivirus WordPress Efficace. La sécurité de votre site WordPress est primordiale. Tant de travail et d'articles sur votre blog et tout d'un coup, une simple attaque et...

Patatra! Tout est perdu, infecté, piraté:/ Ces derniers temps, j'ai vu augmenter des problèmes de sécurité sur des sites WordPress, des problèmes de scraping, d'injection de codes malicieux, de bannières publicitaires indésirables, etc... Même si rien n'est jamais sûr et que tout site est, dans l'absolu piratable si l'on s'en donne les moyens, voici un plugin WordPress que j'ai testé et adopté, qui n'a qu'un seul objectif: Sécuriser votre WordPress! Wordfence : Plugin de Sécurité WordPress Wordfence est un plugin freemium, c'est à dire que les options de base sont gratuites et certaines réservées aux utilisateurs premium.

Wordfence commence par vérifier si votre site est déjà infecté en faisant une analyse côté serveur de votre code source et en le comparant au référentiel WordPress officiel de base (thèmes et plugins compris). Le trafic en temps réel. 11 rappels de Sécurité pour WordPress | WP Formation. Nous savons tous qu’internet peut se révéler vulnérable.

Les plus grands groupes du web ont des attaques régulières de hackers et de pilleurs de données. WordPress n'est pas à l’abri. En avril 2013, plus de 90000 sites WordPress ont été attaqués... La sécurité de WordPress est un sujet crucial et essentiel pour tout administrateur système soucieux de préserver son site. Quand on réalise le temps de travail, d’écrits, et de réflexions que représente la création d’un site, il est dangereux d’être approximatif en ce qui concerne sa protection.

Les hackers sont toujours à la recherche de nouvelles failles. 15 Mesures de sécurité essentielles à WordPress 1- Le compte Admin : En premier lieu, quelque soit la méthode d'installation choisie, créez toujours un nouveau compte ADMIN avec un login + mot de passe ultra sécurisé. Si possible évitez de choisir un login avec votre prénom ou la racine de votre domaine. Installez une extension qui bloque les tentatives répétées d’une même adresse IP. Sécuriser Wordpress - Masquer les erreurs de login - Korben.

Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Maintenant qu'on a passé en revue les grands principes de la sécurisation WordPress, à savoir : Je vais partir dans une série de petites astuces à mettre en place sur votre WordPress pour en améliorer la sécurité. Et aujourd'hui, je vais vous expliquer comment masquer les erreurs de login. Sur la page de login (/wp-admin/ ou wp-login.php), il est relativement simple de savoir si vous vous êtes trompé au niveau de l'identifiant ou du mot de passe grâce au message d'erreur qui s'affiche. Par exemple, si je tape n'importe quoi comme login, j'obtiens le message suivant : Je sais donc que c'est le login qui n'est pas bon.

Je sais donc qu'il ne me reste plus qu'à trouver le mot de passe. Add_filter('login_errors', create_function('$a', "return null;")); Ainsi, impossible de savoir si c'est au niveau du login ou du mot de passe qu'on s'est planté. A bientôt pour la suite ! Aller sur l'article précédentAller sur l'article suivant. Sécuriser Wordpress - L'installation - Korben. Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Si vous êtes blogueur ou webmaster, vous connaissez surement ce sentiment de crainte lorsque vous voyez le site d'un ami se faire pirater. Vous vous dites "A quand mon tour ? " D'ailleurs, peut être que cela vous est déjà arrivé et c'est pour cela cette série d'articles vous intéresse. Avant toute chose, sachez que rien n'est in-piratable. Si vous êtes négligent, vous pouvez perdre en un claquement de doigts le travail de plusieurs années à cause d'un piratage (et d'une politique de sauvegarde mal fichue).

Voici grosso modo, le planning que j'ai prévu en terme de contenu : Introduction - Mise en bouche (l'article que vous êtes en train de lire)Premiers Conseils (Pour les débutants et qui concerne WordPress)Les plugins pour sécuriser WordPressLes techniques de sécurisation avancées (Pour aller un peu plus loin et qui concernent plus le serveur que WordPress en lui-même) Environnement Les fichiers Les risques.