Chrooter apache
Matériel
Ajout disque dur
Ajout carte
Audit des disques durs
Gestion des peripheriques
Disquette d'installation
Ajout d'un scanner
Ajout d'une imprimante
Astuces
Astuces sous Linux
Réseau
Configuration reseau
Dns
Serveur cvs
Proxy squid 
Installation serveur ftp
Installation qmail 
Installation serveur courrier sous debian
Outil TCP/IP 
Le serveur samba
Connexion a distance securisee
Client/serveur vnc
Configurer apache
Dyndns
Installer un LAMP sous mandriva
Sécurité
Chiffrer un fichier/dossier
Securiser son poste
Mur pare feu pas a pas
Authentification ht-access
Surveillance de serveur CACTI
Snort
Snort-inline
Securiser Apache avec mod_security
Filtrage squid/squidguard/dansguardian
Auditer son site web
Sécuriser son linux
Installer un Lamp avec ssl
Contrer les scans de ports
Traitement anti-spam
Installer/Utiliser tripwire
Faire des sauvegardes incrémentales
Rsync
Nessus
Divers
Elisa, le multimédia facile
Utilisation de lilo
Les commandes Linux
Le multi-tache
Le crontab
Exploration de la configuration
Quotas
Messagerie
Installer une application
Debugger ses applications
Le format RPM
Mise a jour du noyau
Qemu
Tour d'horizon des principaux p2p
Récupération du système
Bips d'un pc
Astuces windows
Table Ascii
Lamerland
Conversion de fichiers musicaux
Compiler ses rpms
Graver en ligne de commande
Graver un fichier avi pour un dvd de salon
Récupérer des fichiers effacés
Gardez le contact avec Emesene
Liens
Notes php
hakin9
Secureroot.com
Hackerthreads.org
Defcon
Hackerlounge
Les derniers exploits
Tous les codes sources
Securite sous Linux
Les logiciels libres quotidiens
Ezine divers
Madchat
Textes divers
Archives
Tchat gratuit
 
Traductions LG
Toutes les traductions
Traductions Phrack
Toutes les traductions

Il y a actuellement 1 visiteurs connectés sur le site !

Google

Sécuriser son blog wordpress
Sécuriser son blog wordpress

 

Introduction
Mettre à jour
PLacez un fichier index.php
Le fichier .htaccess
Le fichier robot.txt
Sauvegardez vos bases de données
Scannez les fichiers de votre blog
Déplacez le fichier wp-config.php
Supprimer le compte admin
Choisir des mots de passe forts
Limiter les tentatives de connexion

Introduction

Wordpress qui est un des moteurs de blog les plus populaires n'echappe hélas pas à des failles de sécurité Vous pouvez être victime de piratage, de perte de données, voici donc quelques astuces pour sécuriser votre blog.

Mettre à jour

Toujours mettre à jour sa version de Wordpress ainsi que les plugins et le thème que vous avez installé avec, surtout quand il s’agit de la sortie d’une nouvelle version qui corrige un ensemble de bugs et de failles. La mise à jour d’un blog sous Wordpress est simple, et il suffit généralement de suivre les instructions fournies dans la documentation de leur site officiel.

Placez un fichier index

Placez un fichier index.php ou index.html à la racine de votre répertoire des plugins, afin d'éviter qu'un utilisateur ne consulte votre liste de plugins N’oubliez pas également de mettre à jour un plugin quand une nouvelle version de celui-ci est disponible.

Fichier .htaccess

Placer un fichier “.htaccess” dans le dossier “wp-admin”
Vous limiterez l'accès à votre répertoire. Enlevez aussi le fichier install.php de votre répertoire admin.

Placez un fichier robot.txt

Empêcher les robots indexeurs d’accèder aux répertoires “wp-admin” et “wp-includes” de votre blog
Il est possible de spécifier aux moteurs de recherche, de ne pas indexer les répertoires internes de votre blog. Pour cela, il faut éditer votre fichier “robots.txt” ou d’en créer un si vous ne l’avez pas encore fait.
Ouvrez le fichier “robots.txt”, et ajoute-y les lignes de codes suivantes :

# On spécifie que la règle est à appliquer à tous les moteurs de recherche
User-agent: *
# On bloque l’accès aux répertoires et les fichiers qui y sont inclus
Disallow: /wp-admin/
Disallow: /wp-includes/

Enregistrez et placez-le à la racine de votre blog Wordpres


Sauvegardez vos bases de données

Le plugin vous permettra de faire des sauvegardes régulières de vos bases de données . On peut aussi utiliser phpMyAdmin sur son serveur.

Scannez les fichiers de votre blog

Scanner son installation Wordpress à la recherche de failles Pour cela, nous allons utiliser l'excellent plugin WP Security Scan qui va nous permettre de repérer les vulnérabilités présentes sur notre blog et nous proposera une solution pour régler ces problèmes. Cet excellent plugin permet entre autres de renommer les préfixes de tables, de tester votre mot de passe, de supprimmer le compte admin et de vérifier que les répertoires de votre blog ont bien les droits (chmod) nécessaires.

Déplacer le fichier wp-config

On peut déplacer ce fichier à un plus haut niveau. En effet, ce fichier contient des informations sensibles et touchant directement à la sécurité du blog, plus que n’importe quels autres.
De plus Wordpress va automatiquement chercher ce fichier à partir du plus haut niveau de votre hébergement, vous pouvez donc placer ce fichier dans un dossier parent, hors de votre installation Wordpress, ce qui le rend bien plus dur d’accès.
N'oubliez pas de protéger le répertoire où est situé ce fichier avec un fichier .htaccess
Rajoutez dans votre fichier wp-config.php des clés d'authentification en provenance de de ce site Il vous suffit de copier-coller les clés générées dans le fichier wp-config.php.

Supprimer le compte admin

Le compte admin a de grandes chances d'être testé par les robots et autres hackers de blog .
Pour le supprimer, rien de bien compliqué :
- Se loguer en admin,
- Créer un nouveau compte ayant les droits administrateur,
- Se deloguer de admin,
- Se loguer avec le nouveau compte
- Supprimer le compte admin.

Choisir des mots de passe forts

Le mot de passe c'est l'entrée dans votre blog donc il s'agit d'une étape cruciale pour la sécurité de votre système… Il faut au minimum des mots de plus de 7 caractères, composés de majuscules, minuscules, nombres, et des caractères spéciaux comme ” ^ % ? ou $.

Limiter les tentatives de connexion

Avec Wordpress, pas de limite ni de trace des mauvaises connexions, par conséquent l'administrateur ne peut en aucun cas être averti d'une éventuelle attaque par brute force (ou autres)
Mais heureusement on peut utiliser des plugins appropriés.
Les plug-in Login LockDown et Limit Login Attempts permettent en effet d'enregistrer les essais de connexions à votre blog, et ils permettent aussi de bloquer la possibilité de connexion pour un utilisateur donné, pendant un temps donné, et après un nombre d'essais infructueux donnés

Source de l'article


 
Le Blog
Le blog
Le Forum
Le Forum
Php/Mysql
Formulaire en php
Administrer un serveur Mysql
Session en php
Gerer ses bases mysql
Les bases php
Securiser ses scripts PHP
Controler ses programmes avec RATS
Convertir une base sql en utf8
Astuces php
Le fichier php.ini
Programmation
Python rapide
Tutorial Python
Tutorial Perl
Tutorial Perl complet
Tutoriel ruby
Tutoriel C
Introduction à gawk
Filtres et utilitaires
Find
Programmation Shell
Ecriture de scripts bash
Expressions regulieres
Vi
Introduction a Javascript
Compiler avec gcc
Astuces en Bash
Cracking
Tutoriel Assembleur
Guide du cracking pour débutant
Assembleur
Manual Unpacking
Techniques de Protection
Différentes failles Web
Arp spoofing dans un réseau switché
Les intrusions
Les attaques externes
Defacage
Defacage complet
Buffer overflow
Netcat
Injection sql
Injection sql(suite)
John the Ripper
Spoofer un email
Utiliser google
La faille system
Usurper une identité
Le rooting
Shellcode sous Unix
La faille race condition
La faille xss
La faille xss (2)
Attaques sur un routeur
P2P
Azureus pas-a-pas
News
Lire les news de Linux-pour-lesnuls.com au format RSS
Distros
Gestion des paquets debian
101 commandes debian
Jeu
Webtarot
Graphisme
Effet neon dans GIMP
Effet vapeur dans GIMP
Cours fonctionnalités de GIMP
Redimentionner une image avec GIMP
Redimentionner une photo pour en faire un cadre avec gimp
Morphing avec gimp
Détourer avec gimp
Réduire le poids d'une image avec gimp
Caricature avec gimp
Eclairage avec gimp
Mettre en évidence avec gimp
Pluie sur le château
Créer une onde de surface avec Gimp
Un aspect satiné avec Gimp
Impacts de balle avec Gimp
Humour
Ensemble
Divers