Dossier WordPress – Sécurisez votre site grâce à quelques astuces
Cet article a 492 jours. Il commence à dater, lisez-le donc en gardant son âge en tête ! Merci
publié le Lu 4 028 fois.
Il existe un certain nombre d’indices lors de l’exploration d’un site qui peuvent aider le hacker à dévoiler des failles de sécurité. Il existe également des choses basiques à mettre en place pour vous prémunir de ces quelques failles.
Ce dossier est issu de nombreuses recherches et implémentations des techniques au fil du temps (depuis environ 2010). N’étant pas un expert en sécurité web, je tâcherai tout de même de vous expliquer l’utilité de chacune des astuces fournies.
Certaines de ces manipulations ne se limitent pas au contexte d’une installation WordPress.
Quelques remerciement à mes différentes sources dont certaines sont listées ci-dessous. Merci aussi à Julio qui m’a signalé quelque faille dans certains codes liés à .htaccess, merci à lui pour les plugins cités dans ce dossier, puisque parmi ceux présentés il en a conçu !
Intégrateur et designer web, fondateur de Creative Juiz, il a trouvé marrant et juste de partager ses recherches, astuces et ressources sur les sujets comme CSS, HTML, JavaScript, PHP, WordPress, etc. grâce aux articles que vous trouverez sur ce blog.
Les astuces et préconisations pour sécuriser WordPress dans cet article ne sont pas mauvaises.
Attention par contre au niveau de « Limiter l’appel au script de commentaires ». Chez moi, cela bloquait certains de mes utilisateurs qui voulaient commenter sur mon blog car ils bloquaient volontairement leur referrer pour une navigation anonyme…
Cet article est trop long et le niveau requies pour réussir ces manipulations n’est pas le même partout. Aussi, une fois on touche à WordPress, une autre au .htaccess. Il aurait mieux valu découper l’article en « spécial htaccess », « special hooks » etc
Ensuite je te corrige concernant le banissement par IP, tu utilises un « LIMIT GET, POST, PUT », pourquoi limiter ? Et si je visite ta page avec le header « JULIO » que se passe t-il ? Et bien oui, je serais autorisé. Je t’invite à taper dans google 2 mots « faille htaccess » et de cliquer sur le résultat n°1
Ensuite, attention quand tu proposes un plugin dans un article sécurité, quand on sait que 60% des plugins sont vulnérables (ma stat sur l’année 2011) et que le plugin que tu proposes à été corrigé recement (regarde le changelog version 3.0.9 ), je ne peux que te dire d’éviter de proposer à tes lecteurs l’installation de failles web
Merci Julio pour ces précieux avertissements et conseils. Je vais me renseigner sur tout cela et suivre tes recommandations
Pour info j’ai tenté de me référer à tes audits quand c’était possible (notamment pour WP Security Scan qui semblait être bon en v3.0.2). Du coup si j’ai bien compris entre la 3.0.2 et la 3.0.9 il y a eu une version avec faille ?
Tout à fait, c’est pour cela qu’à aucun moment l’amalgame n’est fait
Laisser un commentaire
Certains codes HTML ne sont pas échappés automatiquement. Pour afficher du code dans votre commentaire, merci d'échapper vos chevrons en utilisant "<" et ">" en lieu et place de "<"" et ">".
Il est difficile de proposer un support pour tous les articles de ce blog. En ne fournissant pas un moyen de consulter votre code bogué, vous vous assurez de ne pas avoir de réponse adaptée.
Il existe un certain nombre d’indices lors de l’exploration d’un site qui peuvent aider le hacker à dévoiler des failles de sécurité. Il existe également des choses basiques à mettre en place pour vous prémunir de ces quelques failles.
Les astuces et préconisations pour sécuriser WordPress dans cet article ne sont pas mauvaises.
Attention par contre au niveau de « Limiter l’appel au script de commentaires ». Chez moi, cela bloquait certains de mes utilisateurs qui voulaient commenter sur mon blog car ils bloquaient volontairement leur referrer pour une navigation anonyme…
Bonjour Geoffroy,
Merci pour cette précision, je complète mon article en ajoutant un avertissement.
Cet article est trop long et le niveau requies pour réussir ces manipulations n’est pas le même partout.
Aussi, une fois on touche à WordPress, une autre au .htaccess.
Il aurait mieux valu découper l’article en « spécial htaccess », « special hooks » etc
Ensuite je te corrige concernant le banissement par IP, tu utilises un « LIMIT GET, POST, PUT », pourquoi limiter ? Et si je visite ta page avec le header « JULIO » que se passe t-il ? Et bien oui, je serais autorisé.
Je t’invite à taper dans google 2 mots « faille htaccess » et de cliquer sur le résultat n°1
Ensuite, attention quand tu proposes un plugin dans un article sécurité, quand on sait que 60% des plugins sont vulnérables (ma stat sur l’année 2011) et que le plugin que tu proposes à été corrigé recement (regarde le changelog version 3.0.9
), je ne peux que te dire d’éviter de proposer à tes lecteurs l’installation de failles web 
Bonne journée !
Hello,
Merci Julio pour ces précieux avertissements et conseils.
Je vais me renseigner sur tout cela et suivre tes recommandations
Pour info j’ai tenté de me référer à tes audits quand c’était possible (notamment pour WP Security Scan qui semblait être bon en v3.0.2).
Du coup si j’ai bien compris entre la 3.0.2 et la 3.0.9 il y a eu une version avec faille ?
Bonne journée également !
Article mis à jour dans son contenu.
Hacker != pirate informatique
Tout à fait, c’est pour cela qu’à aucun moment l’amalgame n’est fait