Sécurisez votre blog Wordpress !

L’installation par défaut de Wordpress pose quelques gênants problèmes de sécurité. Nous allons nous employer à les corriger.

Cachez le contenu des répertoires internes

Par défaut, Wordpress ne bloque pas l’accès à tous les répertoires nécessaires à son fonctionnement que le public ne devrait pas pouvoir consulter. C’est le cas du très sensible répertoire wp-content/plugins. Les plugins que vous installez peuvent avoir étaient développés par des programmeurs novices ou ne pas avoir été correctement audités et contenir des failles de sécurité. Par défaut, Wordpress permet à n’importe qui de lister les plugins que vous avez installé. Pour y remédier, entrez la ligne suivante dans votre fichier .htaccess, à la racine de votre répertoire :
Options -Indexes
Désormais, si un curieux tente d’accéder à des répertoires sensibles, il ne verra qu’une erreur 403.

Supprimez le numéro de version des meta-tags

De nombreux thèmes Wordpress dont celui par défaut affichent un vilain meta-tag :
<meta name="generator" content="WordPress 2.3.3" /> <!-- leave this for stats please -->
Le petit commentaire associé ni changera rien, ce meta-tag est une très mauvaise idée ! Il permet aux pirates de connaitre instantanément quelle version du logiciel vous utilisez et quelles sont les failles de sécurité qui la touchent. Il pourrait même permettre à un robot d’attaquer massivement les sites utilisant des Wordpress non mis-à-jour.

La aussi, la correction est simple, ouvrez le fichier header.php de votre thème (dans le répertoire wp-content/themes/default/ pour le thème par défaut) et cherchez :
<meta name="generator" content="WordPress <?php bloginfo('version'); ?>" /> <!-- leave this for stats -->
Si vous êtes sans états d’âmes pour les statistiques de Wordpress supprimez simplement la ligne, sinon remplacez-la par :
<meta name="generator" content="WordPress" /> <!-- leave this for stats -->
Espérons que Wordpress 2.5 corrigera ces problèmes.

Pour finir, quelques conseils en vrac

  • Bien-entendu, veillez à toujours tenir à jour votre Wordpress et tous ses plugins.
  • Désactivez et supprimez les plugins que vous n’utilisez pas.
  • N’hésitez pas à renforcer la protection du dossier wp-admin/ par un fichier .htaccess.
  • Masquez également la version d’Apache et de PHP utilisée en mettant ServerTokens à Prod.
Partager : Ces icones representent les sites de bookmarking social dans lesquels vos lecteurs peuvent partager et faire découvrir vos pages.
  • Blogasty
  • Scoopeo
  • Wikio
  • StumbleUpon
  • del.icio.us
  • Ma.gnolia
  • Digg
  • Slashdot
  • Zataz
  • Blinklist France
  • Technorati
  • blogmarks
  • YahooMyWeb
  • BlogMemes Fr
  • Le Ouizz
  • Reddit France
Tags : , , ,
17:58   PHP, Planet Libre, Programmation, Sécurité, Wordpress

TrackBack

URL de trackback pour cet article :
http://lapin-blanc.net/13/03/2008/securite-wordpress-blog/trackback/

Commentaires

Merci pour ce petit tuto de sécurisation !

Ecrit par : Ptitkarl | 13 mars 2008 18:07

[...] studio Sony BMG accusé de piratage de logicielsUtiliser le wifi de son voisin: futur délit ?Sécurisez votre blog Wordpress ! - Lapin Blanc !Ebay licencie 125 employés pour mieux sécuriser ses clientsSpamWars : antispam [...]

Ecrit par : Répéré chez zataz : at Les contrefacons ne valent jamais l’originale.com … | 25 mars 2008 06:24

La version 2.5 utilise la ligne de code que tu proposes comme quoi les grands esprits se rencontrent.
Amitié
Thierry

Ecrit par : Thierry Benquey | 5 avril 2008 17:22

Ecrire un commentaire

« Introduction au référencement | Anarchy in the UK… »