La sécurité de WordPress est vraiment quelque chose d’indispensable. Etant de l’open source, il est rapide pour quelqu’un qui s’y connait un minimum, de trouver la belle petite faille pour plomber tout votre site !
Honnêtement il n’y a pas de solution miracle, un con un petit malin qui veut hacker votre worpress, avec un peu de temps et de patiente, il y arrivera surement. Oui, mais pourquoi devrions-nous lui faciliter la tache ? Autant leurs en faire baver…
SOMMAIRE :
I Les principes de bases
I.1 Mettre à jour votre version
I.2 Cacher votre version
Dans un soucis d’écriture, nous allons appeler notre hacker « Robert » (Mes excuse si c’est votre prénom.)
I – Les principes de bases.
I.1 Mettre votre version de WordPress à jour.
Avant tout, il faut que votre version de Wordpress soit à jour, toujours, toujours… et toujours ! Un wordpress pas à jour c’est un pousse au viole. Avec le temps, les failles se dévoilent, si vous ne faites pas d’update alors la faille n’est pas corriger.
Fatalement, Robert n’aura pas besoin de ce fouler pour l’exploiter, rentrer dans votre admin, et Robert va tout supprimer ! (qu’il est fourbe ce Robert)
Si vous vous demandez où est-ce que vous pouvez trouver à coup sur la dernière version de Wordpress stable, c’est ici : http://fr.wordpress.org. Elle sera toujours sur cette page, et ils vous expliques comment procéder.
Sinon, lors de la sortie d’une nouvelle version, votre admin vous proposera très vite de mettre à jour. Ne vous inquiétez pas, si une nouvelle version sort, vous serez forcement au courant. (Robert aussi)
I.2 – Cacher votre version de wordpress
Bon rassurez-vous, si jamais vous avez peur de mettre à jour, (avouons-le, leurs maj bug facilement) vous pouvez cacher votre version de WordPress.
De cette façon Robert risque de passer un petit moment à se demander si 1 : est-ce vraiment un WordPress ? (bon un petit /wp-admin et l’énigme est résolu) et 2 : sur qu’elle version de WordPress je m’aventure ?
Je m’explique ; chaque version ont leurs propres failles, (qui sont évidemment corrigées dans les versions qui suivent), Robert jette un petit coup d’œil à votre source, repaire la version, et sait directement qu’elle faille attaquer. En résumé « dit moi ta version, je te dirai tes failles », nous, nous ne donnerons pas notre version !
Voici ce dont je parle :
L’info ce trouver sur 2 fichiers, « header.php » et « footer.php ». Sur les version antérieure à wordpress 3.0, il suffisai de supprimer la ligne « », si vous en faites partie, pour vous le problème est réglé, pour les autres, il va falloir ruser.
Sur la version 3.0 (ou superieure) de wordpress, il y à deux methode :
La méthode brutal : consiste à aller dans le fichier « wp-include/general-template.php », dedans, remplacer toutes les lignes dans se style la :
Par :
Elles se situent vers les lignes 2200 (vous les trouverez facilement).
L’autre méthode est beaucoup plus douce et en mon sens beaucoup plus propre. Il s’agit de faire un replace(); en Jquery
L’idée est de remplacer la fameuse phrase « » par « « .
Pour cela, intégré dans votre header.php le js suivant :
<script type="text/javascript">
$(function(){
$("head").html( $("head").html().replace(/WordPress <?php echo get_bloginfo( 'version' )?>/g,"") );
});
</script>
Bien sur, si vous appelez déjà lalibrairi jquery vous pouvez enlever la premiere ligne.
Voila! maintenant Robert va pouvoir mettre bien plus de temps a chercher les failles sur votre WordPress. (Il commence à s’énerver Robert !)
La suite arrive dans un prochain article,
Stay Tune !
Amelie
7 décembre 2010 à 15 h 45 min
bonne information, merci.
- Amelie
benoit
1 août 2011 à 21 h 39 min
Utilisez javascript, pour masquer la version de wp dans les balises meta n’est pas du tout une bonne idée, et en plus n’est pas du tout propre ! D’ailleurs je vois pas en quoi cela permettrait de dissimuler la version de wp. Il y a beaucoup d’autres choses à faire pour sécuriser un site wp: par exemple ne pas laisser l’admin dans le répertoire wp-admin, empêcher l’accès direct aux fichiers sensibles (s’il y en a) du thème…