Support WordPress Francophone / Audit Sécurite WP

makasayo · 14-05-2008 12:29:04

Bonjour,

Ma configuration WP actuelle Wordpress 2.5
- Version de WordPress : 2.5
- Thème utilisé : multiflex
- Plugins en place : askimet, simple tag, wp-contact
- Nom de l'hebergeur : ovh
- Adresse du site :

Problème(s) rencontré(s) :
J'ai eu un audit par la société pour qui j'ai fait un blog, et qui ne valide pas celui ci du coup ils bloquent l'ouverture de celui ci
Voici les failles à améliorer
Des failles de sécurité importantes ont été identifiées :
- faiblesse de paramétrage ( possibilité de se connecter avec un compte administrateur )
- vulnérabilité de la version WordPress utilisée.
Comment puis je améliorer cela???

Du coup, ils m'ont demande de desinstaller un bon nombre de plugin, je n'ai garder que simpletag, askimet et wp-contact.

Si qq'un peut m'apporter une reponse sur le sujet. J'aimerais par la meme utliser un plugin pour gerer les acces a l'admin et gerer les db, mais je ne sias pas quel plugin 'fiable" utilise.
Merci

Dernière modification par makasayo (14-05-2008 18:07:02)

makasayo · 15-05-2008 10:04:08

J'ai mis à jour la version de wordpress apres avoir lu les failles de secu sur 2.5, je suis donc passe à 2.5.1, j'ai active le pugin wp-scanner, et la il me detecte une version vulnerable???!!! d'apres le site http://blogsecurity.net
WordPress Version Leak
Test Result
wp-version Version Leak: WordPress 2.5.1

This blog is running a vulnerable version of WordPress, please upgrade to the latest version available here.

Que puis je faire??

makasayo · 15-05-2008 10:16:33

Apparemment une des choses à faire pour sécuriser mon blog est de restreindre les acces
Pour cela il faut créer des fichiers .htacces
Si je comprends bien, je dois creer un fichier .htacces et copier coller le texte ci desous, le seulhic , c'est que les fichiers .htaccess sont invisible sur mon mac (10.4) et que je ne sais plus comment les rendre visible.
Pour créer un ficher sécurisé, il est mieux d'utiliser textedit ou dreamweaver?

Step 1 - Restricting wp-content and wp-includes

Using htaccess <files> directive, we can restrict all files accept images, CSS and JavaScript. The .htaccess file will look as follows:

Order Allow,Deny
Deny from all
<Files ~ "\.(css|jpe?g|png|gif|js)$">
Allow from all
</Files>

If we want to allow certain plugins such as Democracy, we can append the following to our wp-content/.htaccess file:

<Files "democracy.php">
Allow from all
</Files>

Put this into your .htaccess file within your wp-content and wp-includes directories. As a side note, you can also allow specific files to get your plugins and/or templates to work, if needs be. This is a much cleaner method to do it then discussed in a previous version of this document.

If you got through that, well done.
Step 2 - Restricting access to wp-admin

Now to restrict wp-admin you have two choices. Put a .htaccess file into your wp-admin directory with one of the two choices below.

You can resrict it by IP:

order deny,allow
allow from a.b.c.d # This is your static IP
deny from all

The above code will prevent browser access to any file in these directories other than "a.b.c.d" which you should change to be your static IP address.

OR restrict the directory with a password:

AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

OR improved version:

There is a bug where the above rules will cause a password box to appear to the user if they submit a comment without an e-mail address. This occurs, because some CSS and image files are located inside the wp-admin directory. To get around this we can wrap the above rule set in a file directive which disallows .PHP files but permits the rest. This still prevents alot of direct attacks and also provides alot of additional features.

<Files ~ "\.(php)$">
AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
</Files>

makasayo · 20-05-2008 14:13:54

Bonjour,
Apres avoir securise mon blog de la sorte :
- Changement des liens absolus en
- Placement de fichier .htaccess pour bloquer l'acces au dossier wp-content et wp-includes
- Placement de fichier robots.txt pour ne pas referencer les plugin et autre
- Placement d'un fichier index.html pour limiter l'acces plugin
- Ajout d'un plugin de controle en https de l'admin : Admin SSL
- Ajout d'un plugin ANTI Spam
- Suppression de la notification de la version utlisé de Wordpress
- Ajout et Suppression de plugin

Liste des plugins :
- Admin SSL : Permet un htttps au moment du login/inscrition
- Akismet : Antispams
- Simple Tag : gerer les tags et le nuage de mots
- SpamBam : antispam
- WordPress Database Backup : sauvegarder la bd
- Contact Form : formulaire de contact
- WP-DBManager : permet le management de la BD depuis Wp

Je viens de passer mon deuxième audit securite, et on me demande les choses suivantes :
-Directory Browsing
L’usage d’un fichier index.html corrige cette faille mais uniquement pour le dossier dans lequel il est placé (exemple dossier plugin).
Il est préférable de mettre en place une solution plus globale et applicable par défaut sur l’ensemble du site (configuration du serveur Apache).
-Faiblesse de paramétrage WordPress
Comme précisé dans le rapport, nous recommandons la configuration d’une clé secrète (paramètre SECRET_KEY)
pour protéger en profondeur les mécanismes d’authentification.

Comment puis je effectuer cela?
Merci d 'avance

Comme une image · 20-05-2008 17:04:07

Regarde le fichier wp-config-sample.php et recopie dans ton wp-config.php les lignes concernant la clé secrète.
Pour le point Directory Browsing, comme tu ne pourras pas modifier la configuration Apache d'OVH, je ne sais pas si c'est possible, je ne suis pas spécialiste.

makasayo · 20-05-2008 17:15:06

Il faut que je recopie la partie sur la cle secrete, c'est cela

// Modifier SECRET_KEY par une phrase unique. Vous n'avez pas besoin de la mémoriser pour plus tard.
// Elle doit être longue et complique. Vous pouvez aller sur le site http://api.wordpress.org/secret-key/1.0/
// afin de générer une phrase unique pour votre installation.
define('SECRET_KEY', 'put your unique phrase here'); // Modifier par une phrase unique.

Comme une image · 20-05-2008 18:27:58

Oui ! c'est ça.
Attention à ne pas glisser par mégarde d'apostrophe dans ta phrase secrète.

define('SECRET_KEY', 'j'aime wordpress'); => KO
define('SECRET_KEY', 'j\'aime wordpress'); => OK