Sécurisez votre blog Wordpress !

L’installation par défaut de Wordpress pose quelques gênants problèmes de sécurité. Nous allons nous employer à les corriger.

Cachez le contenu des répertoires internes

Par défaut, Wordpress ne bloque pas l’accès à tous les répertoires nécessaires à son fonctionnement que le public ne devrait pas pouvoir consulter. C’est le cas du très sensible répertoire wp-content/plugins. Les plugins que vous installez peuvent avoir étaient développés par des programmeurs novices ou ne pas avoir été correctement audités et contenir des failles de sécurité. Par défaut, Wordpress permet à n’importe qui de lister les plugins que vous avez installé. Pour y remédier, entrez la ligne suivante dans votre fichier .htaccess, à la racine de votre répertoire :
Options -Indexes
Désormais, si un curieux tente d’accéder à des répertoires sensibles, il ne verra qu’une erreur 403.

Supprimez le numéro de version des meta-tags

De nombreux thèmes Wordpress dont celui par défaut affichent un vilain meta-tag :
<meta name="generator" content="WordPress 2.3.3" /> <!-- leave this for stats please -->
Le petit commentaire associé ni changera rien, ce meta-tag est une très mauvaise idée ! Il permet aux pirates de connaitre instantanément quelle version du logiciel vous utilisez et quelles sont les failles de sécurité qui la touchent. Il pourrait même permettre à un robot d’attaquer massivement les sites utilisant des Wordpress non mis-à-jour.

La aussi, la correction est simple, ouvrez le fichier header.php de votre thème (dans le répertoire wp-content/themes/default/ pour le thème par défaut) et cherchez :
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-- leave this for stats -->
Si vous êtes sans états d’âmes pour les statistiques de Wordpress supprimez simplement la ligne, sinon remplacez-la par :
<meta name="generator" content="WordPress" /> <!-- leave this for stats -->
Espérons que Wordpress 2.5 corrigera ces problèmes.

Pour finir, quelques conseils en vrac

• Bien-entendu, veillez à toujours tenir à jour votre Wordpress et tous ses plugins.
• Désactivez et supprimez les plugins que vous n’utilisez pas.
• N’hésitez pas à renforcer la protection du dossier wp-admin/ par un fichier .htaccess.
• Masquez également la version d’Apache et de PHP utilisée en mettant ServerTokens à Prod.

Comments

• FriendFeed

  Must create Twitter and Facebook plugins for Moodle.

  Thursday 8:27

  Two new Elgg plugins: http://github.com/dunglas/

  Wednesday 9:24

  Bookmarked 2 links

  jHtmlArea - WYSIWYG HTML Editor for jQuery

  Recettes | Guide du végétarien en herbe | PETAFrance.com

  Tuesday 11:09

  In the Twitter retweet beta !

  Monday 23:51

  Bookmarked 3 links

  Download eBatNs5

  jetueunami.com

  SonoVente.com : Achat / Vente Sono, Sonorisation, Deejay, DJ, Eclairage, HomeStudio, Instruments de musique, guitare, clavier, saxophone, percussion, platine, table de mixage ...

  Wednesday 13:48

  If you want to get your contacts synchronized between your iPhone and Google anyway, check "Contacts" again and tap "Delete local data".

  Thursday 17:12

  Double contacts using Google iPhone sync ? Settings > Mail, [...] > <Your Account> then uncheck Contacts and tap "Delete from my iPhone".

  Thursday 17:11

  YouTube down!

  Sunday 19:42

  DailyMotion down too!! 404 Not Found nginx/0.5.33

  Sunday 19:43

  @bnwr I don't plan to publish a review of Google Wave but i can invite you if your are interested.

  Tuesday 9:46

  My FriendFeed profile …

• Catégories

  • Ajax Syntax Highlighter
  • Android
  • Buzz
  • Coup de coeur
  • Délire
  • Django
  • English
  • Flash / Flex
  • Hébergement
  • hosting.py
  • Java
  • Mac
  • Musique du Jour
  • OS
  • Perso
  • PHP
  • Planet Libre
  • Programmation
  • Projects
  • Punk Rock
  • Python
  • Référencement
  • Rock'n'Roll
  • Scoopeo
  • Sécurité
  • Standards du web
  • Symfony
  • Ubuntu
  • Web 2.0
  • Web sémantique
  • Windows
  • Wordpress
  • XHTML / CSS

• Archives

  • septembre 2009
  • août 2009
  • juillet 2009
  • mai 2009
  • février 2009
  • janvier 2009
  • décembre 2008
  • novembre 2008
  • octobre 2008
  • septembre 2008
  • août 2008
  • juillet 2008
  • juin 2008
  • mai 2008
  • avril 2008
  • mars 2008

• 
  

• Présentation

  Kévin Dunglas, développeur freelance sur Lille et étudiant en master à l'USTL.

  • 
  • 
  • 
  • 
  • 
  • 

• Pour un internet libre et autogéré

  

• Mots-clefs

  Android Ankama Apache Blog Buzz Debian Design Digg-like Django Eclipse Fancy URL Feedburner Flash Gandi Google Hébergement Java Lille 1 Linux Mac Messagerie Instantanée Musique MySQL Open Source PHP Punk Rock Python Référencement Rock'n'Roll RSS Sécurité Security SEO Symfony Twitter Ubuntu UNIX Vulgarisation Web 2.0 Web standards Windows Live Messenger Wordpress XHTML XML XSS

• Agrégation

  • Galaxie PHP
  • Planet Linux62
  • Planet Ubuntu FR
  • Planete PHP FR
  • Symfony Community

• Blogoliste

  • Edgars Simsons
  • Edouard Simon
  • fightforblogiz.com
  • François-Henry Vasseur
  • Kakofony
  • Mon ancien blog
  • Philippe Mironov

• License

  
  Lapin Blanc by Kévin Dunglas est mis à disposition selon les termes de la licence Creative Commons Paternité-Pas d'Utilisation Commerciale-Partage des Conditions Initiales à l'Identique 2.0 France.
  Les autorisations au-delà du champ de cette licence peuvent être obtenues à http://lapin-blanc.net.