background preloader

Sécuriser Wordpress - Verrouiller l'éditeur de code

Sécuriser Wordpress - Verrouiller l'éditeur de code
Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. La grande saga de l'automne / hiver et plus si affinité sur la sécurité WordPress continue avec cette fois un petit conseil concernant l'édition de fichiers à l'intérieur même de WordPress. Si vous vous rendez dans Apparence -> Editeur, vous verrez que par défaut, il est possible de modifier le code des fichiers de thèmes. Même chose en allant dans Extensions -> Editeur sauf que cette fois, ce sont le code des plugins que vous pouvez éditer. Vous l'aurez compris, laisser active cette possibilité est une mauvaise idée, car si un attaquant arrive à se logger sur votre WordPress, il pourra alors injecter du code sur votre serveur via cet éditeur. Il vaut mieux séparer les accès CMS (WordPress) des accès fichiers (code source). Oui, je sais, c'est bien pratique d'éditer son code directement depuis l'interface de WordPress... define('DISALLOW_FILE_EDIT',true); Aller sur l'article précédentAller sur l'article suivant

http://korben.info/securiser-wordpress-verrouiller-lediteur-de-code.html

Related:  Sécurité informatiqueWordpress TutoriauxDéveloppement

Regin, un logiciel espion redoutable vient d’être découvert Voici la structure en cinq étapes du virus Regin telle que décrite par Symantec. Après avoir été injecté (dropper) via un site Web ou une clé USB infectée, le malware se déploie à la manière d’une cascade de dominos où chaque étape chiffrée prépare la suivante. Il faut réunir les cinq étapes pour comprendre le fonctionnement de Regin. Et même dans ce cas, Symantec souligne qu’il est « très difficile de savoir ce qu’il fait ». © Symantec Regin, un logiciel espion redoutable vient d’être découvert - 2 Photos Sommes-nous face à une menace de l’ampleur des virus Stuxnet et Flame voire pire ? Sécuriser Wordpress - Attention au fichier wp-config.php Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Le fichier wp-config.php contient toutes les informations confidentielles dont WordPress a besoin pour accéder à votre base de données et chiffrer les cookies. Il est donc primordial de correctement protéger ce fichier.

Chiffrez vos sauvegardes avant de les envoyer dans le cloud - Korben On le sait tous, utiliser des services de cloud comme Skydrive ou Google Drive nous expose à une violation de notre vie privée par des organismes tel que la NSA mais aussi à de simples piratages qui pourraient rendre publics nos fichiers. Si vous voulez vraiment utiliser ce genre de services, il n'y a qu'un seul moyen de protéger efficacement ses données : Les chiffrer. Et pour chiffrer ses données avant de les envoyer là-bas loin, dans les data centers américains, il existe un soft gratuit baptisé Duplicati pour vous aider. Duplicati est un outil pour Windows, OSX et Linux qui vous permet de programmer des sauvegardes chiffrées des répertoires de votre choix et d'envoyer tout ça sur votre serveur (via SCP ou FTP), ou sur Skydrive, Box, Amazon S3, Google Drive, Rackspace...Etc. Le chiffrement se fait en AES-256.

Sécuriser Wordpress - Masquer les erreurs de login Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Maintenant qu'on a passé en revue les grands principes de la sécurisation WordPress, à savoir : Je vais partir dans une série de petites astuces à mettre en place sur votre WordPress pour en améliorer la sécurité. Et aujourd'hui, je vais vous expliquer comment masquer les erreurs de login. Sur la page de login (/wp-admin/ ou wp-login.php), il est relativement simple de savoir si vous vous êtes trompé au niveau de l'identifiant ou du mot de passe grâce au message d'erreur qui s'affiche. Par exemple, si je tape n'importe quoi comme login, j'obtiens le message suivant :

NoSQL Un article de Wikipédia, l'encyclopédie libre. En informatique, NoSQL désigne une famille de systèmes de gestion de base de données (SGBD) qui s'écarte du paradigme classique des bases relationnelles. L'explicitation du terme la plus populaire de l'acronyme est Not only SQL (« pas seulement SQL » en anglais) même si cette interprétation peut être discutée[1]. Accéder à une page web sans laisser de trace Lorsque vous cliquez sur un lien pour accéder à une page web, le serveur qui l'héberge et les scripts qui s'y trouvent, enregistrent votre passage. Dans certains cas, cela peut, peut-être, vous gêner. Alors, comment faire pour accéder facilement à un contenu au travers d'un proxy qui protégera votre identité / infos de navigateur ? Et bien il suffit de télécharger Unvisit, une petite extension Firefox qui se loge dans le menu de clic droit de votre souris. Lorsque vous faites un clic droit sur un lien, vous pouvez choisir l'option Unvisit et le lien en question s'ouvrira à travers le proxy d'Unvisit.

Sécuriser WordPress – Les thèmes Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Pour faire écho à mes recommandations de la dernière fois sur les plugins, abordons aujourd'hui le sujet des thèmes et de la sécurité. Vous le savez, les pirates ne manquent pas d'imagination pour prendre le contrôle de votre serveur. Et pour cela, ils ont trouvé un moyen assez simple d'infecter votre site : Les thèmes gratuits.

Un générateur de dégradés en CSS (gradient CSS) - Korben Un générateur de dégradés en CSS (gradient CSS) Je mâchouillais de la CSS depuis ce matin et tout se passait bien, quand SOUDAIN, j'ai eu la subite envie de faire un petit dégradé. Rien de plus en simple en théorie puisqu'il y a tout ce qu'il faut en CSS3 pour faire ça. Seulement, voilà...

Faire disparaitre les popups overlay Si vous fréquentez des sites à haute médiocrité ajoutée, vous êtes surement déjà tombé sur une overlay, c'est à dire une div qui s'affiche en popup au-dessus du contenu pour vous raconter de la merde. En général, on peut la fermer avec la petite croix qui va bien, mais parfois ce n'est pas possible. Heureusement, il existe une extension pour Chrome qui va vous permettre de casser de l'overlay à grands coups de poing dans la gueule. Ça s'appelle Overlay Blocker et une fois installé, il suffit de faire un clic droit sur la div overlay qui vous gène et cliquer sur "Kill all overlay".

Sécuriser Wordpress - Les plugins Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. Une des règles à respecter lorsqu'on souhaite ajouter une nouvelle extension à WordPress, c'est de ne pas aller la télécharger n'importe où. Pensez bien à toujours récupérer l'extension sur le site officiel WordPress. Les montres connectées peuvent aussi être piratées Pour sécuriser la connexion Bluetooth entre un objet connecté et un smartphone, un code de six chiffres s’affiche lors du premier jumelage. Il faut moins d’une seconde pour trouver le bon code parmi un million de combinaisons possibles. Le pirate peut ensuite récupérer l’ensemble des notifications, des messages et même des données biométriques, qui transitent entre les deux appareils. Reste un problème de taille, ou plutôt de distance… En raison de la faible portée du Bluetooth, le pirate doit se trouver à moins de dix mètres de la victime ciblée ! © Bitdefender Les montres connectées peuvent aussi être piratées - 1 Photo

Sécuriser Wordpress - Les mises à jour Ce travail sur Wordpress a été rendu possible grâce au soutien d'Ikoula. S'il y a un aspect à ne pas négliger lorsque vous utilisez WordPress, ce sont les mises à jour. Bien faire les mises à jour de son WordPress est la règle de sécurité N°1 ! En effet, dès qu'une faille est détectée dans le CMS, les développeurs de WordPress la colmatent et publient une nouvelle version. Let's Encrypt vous permettra dès le mois prochain, d'avoir un certificat SSL reconnu par tous les navigateurs Si vous voulez un certificat SSL pour votre serveur web, qui soit reconnu officiellement par la plupart des navigateurs, c'est possible et gratuitement avec Let's Encrypt. Annoncé l'année dernière, ce service proposé par Mozilla, l'EFF, l'Internet Society, Cisco, Automatic...etc va permettre d'améliorer grandement la sécurité des sites web en permettant à tous de se créer un certificat reconnu par la société IdenTrust (autorité certifiante). Pour le moment, Let's Encrypt est en beta privée mais notez la date du 16 novembre dans votre calendrier, car à ce moment-là, chacun pourra générer son propre certificat. Cette initiative existe uniquement grâce au soutien de volontaires et aux dons faits par les gens et les sociétés qui pensent que cela est important.

Related: