Vous n'êtes pas identifié(e).

  • Contributions :
  • Vos boîtes de messages privés sont vides.

#1 2017-06-09 15:07:38

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Salut,

vu que je suis victime depuis plusieurs jours (depuis le début de semaine, et lundi plus précisément) de tentatives de piratage sur 1 de mes sites Wordpress, je me suis naturellement intéressé de plus près à la sécurité, chose que j'avais légèrement négligé jusqu'à maintenant.

Voici donc, d'après mon retour d'expérience, une liste des principaux points à effectuer pour protéger son site Wordpress, et ainsi mieux se prémunir contre toute tentative de HACK.

Mieux vaut prévenir que guérir.

##### Hyde My WP ######

1 / Installer le plugin Hyde My WP disponible ici https://codecanyon.net/item/hide-my-wp-amazing-security-plugin-for-wordpress/4177158

L'intérêt principal de ce plugin est de masquer votre installation Wordpress en effaçant un grand nombre de footprint spécifiques à Wordpress. Par exemple, quand vous lisez le code source d'un site tournant sur Wordpress, vous verrez la plupart du temps des urls de type /wp-content/, /theme/, /plugins/ etc...

Vu que les hackers sont friands de Wordpress dans la mesure où le nombre de sites tournant sur Wordpress repésente près d'1/3 du nombre de sites mondial (27,3% sur 10 millions de sites), on va éviter de leur donner sur un plateau et leur dire "regarde mon site tourne sur WP".

Pour la partie configuration, un excellent tutoriel vidéo est disponible sur YouTube ici https://www.youtube.com/watch?v=bKsW_zNVTjI

Le gros avantage aussi de Hyde My IP, c'est d'activer un pare-feu relativement véloce puisque vous risquez d'être bombardé d'alertes en cas de tentatives d'intrusion.

Vous pouvez aussi bannir des plages d'IP dans l'onglet "IDS Firewall" et aussi des pays tout entiers. C'est ce que j'ai fait à un moment donnée.

Plus d'infos ici https://wpformation.com/securiser-wordpress-hidemywp/

Vu que je prends la sécurité très au sérieux, et que j'ai pas envie de laisser la moindre chance à ces bandes de gros *****, j'ai pas décidé d'en rester là.

### Sucuri Scanner ####

2 / Installer le plugin Sucuri Scanner et lancer un scan du site.

Demander une clé d'API envoyée par mail pour activer toutes les fonctionnalités du plugin.

Aller ensuite sur le dashboard et analyer les Core Files.

Vous pouvez aussi ajouter votre IP dans l'onglet "Trust IP" de l'onglet "Settings"

Aller ensuite sur l'onglet "Hardening" et mettez en harden tous les éléments suivants :

- Verify WordPress version

- Verify PHP version

- Remove WordPress version

- Protect uploads directory (il est possible que votre site pète si vous activez cette option, je vous explique plus bas comment faire)

- Restrict wp-content access (il est possible que votre site pète si vous activez cette option, je vous explique plus bas comment faire)

- Restrict wp-includes access (il est possible que votre site pète si vous activez cette option, je vous explique plus bas comment faire)

- Security keys

- Information leakage (readme.html)

- Default admin account

Le plugin comporte une option Firewall puissante mais payante (vous allez voir, le prix fait rêver, donc laissez tomber)

Plus d'infos ici https://sucuri.net/guides/how-to-clean-hacked-wordpress

Revenons à nos moutons, vous allez voir quand hardenant les répertoires wp-content, wp-includes, et uploads, votre Wordpress risque de pas aimer et votre site risque de péter. Je vous rassure, ca m'est arrivé plusieurs fois, mais j'ai pas voulu lâché l'affaire, donc j'ai pété je ne sais combien de fois mon site mais j'y suis arrivé en faisant autrement ==> .htaccess est notre ami baby

### . HTACCESS ###

3 / On va maintenant blinder le .htaccess et ajouter les lignes suivantes (testé et approuvé suite à de nombreux plantages de mon site)

REMARQUE // REMPLACEZ "URLDUSITE"  PAR CELLE DE VOTRE NOM DE DOMAINE CONCERNANT LE FILTRE SUR LES HOTLINK D'IMAGES


# Activation du suivi des liens symboliques
Options +FollowSymLinks

# Protéger le fichier wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# Protéger les fichiers .htaccess et .htpasswds
<Files ~ "^.*\.([Hh][Tt][AaPp])">
order allow,deny
deny from all
satisfy all
</Files>

# Désactiver l'affichage du contenu des répertoires
Options All -Indexes

# Alternative pour empêcher le listage des répertoires
IndexIgnore *

# Masquer les informations du serveur
ServerSignature Off

### ON EVITE LE VOL D'IMAGES, VIDEO, SON, FEUILLE DE STYLE, PDF ET ZIP
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://[-a-z0-9.]*URLDUSITE\.com$ [NC]
RewriteCond %{HTTP_REFERER} !^https?://[-a-z0-9.]*URLDUSITE\.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^https?://.*(translate|paypal|google|bing|yahoo|yandex|baidu|facebook|qwant|duck|ixquick|pinterest|twitter).*$ [NC]
RewriteCond %{HTTP_REFERER} !^mobile?://.*$ [NC]
RewriteRule .*\.(gif|jpe?g?|jp2|png|svgz?|css|pdf|zip|gz|js|mp3|m4a|mp4|mov|divx|avi|wma?v?|wmp|swf|flv|docx?|xlsx?|pptx?|vbs|rtf|asf?x?|odt|ods|odp|odg|odb|eot|ttf|woff|woff2)$ - [NC,F]

###FILTRE CONTRE CERTAINS ROBOTS DES PIRATES
RewriteCond %{REQUEST_URI} !^/robots.txt
RewriteCond %{REQUEST_URI} !^/sitemap.xml
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^curl|^Fetch\ API\ Request|GT::WWW|^HTTP::Lite|httplib|^Java|^LeechFTP|lwp-trivial|^LWP|libWeb|libwww|^PEAR|PECL::HTTP|PHPCrawl|PycURL|python|^ReGet|Rsync|Snoopy|URI::Fetch|urllib|WebDAV|^Wget [NC]
RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{10,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,}|^[A-Za-z]{3,}\ [a-z]{4,}\ [a-z]{4,} [OR]
RewriteRule (.*) - [F]

### FILTRE CONTRE XSS, REDIRECTIONS HTTP, base64_encode, VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL, TEST DE FAILLE PHP, INJECTION SQL SIMPLE
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)(https?|ftp|mosConfig)(%3A|:)//(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(_encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(SELECT(%20|\+)|UNION(%20|\+)ALL|INSERT(%20|\+)|DELETE(%20|\+)|CHAR\(|UPDATE(%20|\+)|REPLACE(%20|\+)|LIMIT(%20|\+)|CONCAT(%20|\+)|DECLARE(%20|\+))(.*)$ [NC]
RewriteRule (.*) - [F]

### DES FAUX URLS OU VIEUX SYSTEMES OBSOLETES, ON LES NEUTRALISE
RedirectMatch 403 (\.\./|base64|boot\.ini|eval\(|\(null\)|^[-_a-z0-9/\.]*//.*|/etc/passwd|^/_vti.*|^/MSOffice.*|/fckeditor/|/elfinder/|zoho/|/jquery-file-upload/server/|/assetmanager/|wwwroot|e107\_)
# DESACTIVE LES METHODES DE REQUETES TRACE TRACK DELETE
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC]
RewriteRule ^.* - [F]

### SEUL LE FICHIER index.php EST SERVI COMME PREMIER FICHIER PAR DEFAUT. LES AUTRES SONT INTERDITS
DirectoryIndex index.php

### INTERDIRE LES AUTRES TYPES DE FICHIER INDEX
<Files ~ "^(index)\.(p?s?x?htm?|txt|aspx?|cfml?|cgi|pl|php[3-9]|jsp|xml)$">
order allow,deny
deny from all
</Files>

### INTERDIRE L'AFFICHAGE DE CERTAINS FORMATS DE FICHIER
<Files ~ "\.(inc|class|sql|ini|conf|exe|dll|bin|tpl|bkp|dat|c|h|py|spd|theme|module|mdb|rar|bash|git|hg|log|svn|swp|cvs)$">
deny from all
</Files>

### INTERDIRE L'AFFICHAGE DE CERTAINS FICHIERS COMME config, option, login, setup, install, admin, home, default, xmlrpc.
<Files ~ "^(config(\.inc)?|install?|admin|user|login|configure|configuration|options?\.inc|option|settings?(\.inc)?|functions?(\.inc)?|setup(\.inc)?|readme|changelog|default|home|xmlrpc|bigdump|uploadTester|errors?|test|data|members?|hacke?r?d?|[-_a-z0-9.]*mafia[-_a-z0-9.]*|[-_a-z0-9.]*power[-_a-z0-9.]*|[-_a-z0-9.]*jihad[-_a-z0-9.]*|php|shell|ssh|root|cmd|[0-9]{1,6})\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml)$">
order allow,deny
deny from all
</Files>
 

Plus d'infos ici :

- https://legissa.ovh/internet-se-proteger-des-pirates-et-hackers.html
- https://wpmarmite.com/htaccess-wordpress/
- https://www.admin-linux.fr/securiser-son-cms-lexemple-wordpress/

### Cloudfare ###

4 / si vous passez par le CDN Cloudfare comme moi, allez dans l'onglet "firewall" et passer le security level en "high".

### MOD SECURITY ###

5 / si vous êtes sur OVH, comme moi, activer le mode security. Rendez vous sur votre manager et activez le firewall sur l'hébergement de votre site (dans l'onglet multisite).

Si vous voulez forcer le bouzins comme moi, rendez vous sur votre espace FTP et modifier le fichier .ovhconfig à la racine et modifiez la ligne http.firewall=none pour http.firewall=security


------------------------------------------------------------

voilà la fin du tuto est fini. Ce n'est pas parce que aurez mis toutes ces actions en place que la sécurité de votre Wordpress sera infaillible, et je suis loin d'être un expert en sécurité informatique, mais je pense qu'en mettant toutes ces actions en place, vous devriez limiter les dégâts.

EDIT // ATTENTION A LA RÈGLE CI-DESSOUS qui peut provoquer un conflit avec le plugin Sucuri

Je me suis rendu compte personnellement qu'il y avait un conflit entre la règle ci-dessous et le plugin Sucuri. Concrètement, lorsque j'uploadais le .htaccess, il se réécrivait "tout seul" et toutes les règles de sécurité sautaient.

Après avoir longtemps cherché, car je croyais que c'était encore un hack, j'ai finalement trouvé.

Il faut ajouter toutes les règles dans un module à part à la fin ET supprimer la règle ci-dessous (ou l'adapter en testant)


### INTERDIRE L'AFFICHAGE DE CERTAINS FICHIERS COMME config, option, login, setup, install, admin, home, default, xmlrpc.
<Files ~ "^(config(\.inc)?|install?|admin|user|login|configure|configuration|options?\.inc|option|settings?(\.inc)?|functions?(\.inc)?|setup(\.inc)?|readme|changelog|default|home|xmlrpc|bigdump|uploadTester|errors?|test|data|members?|hacke?r?d?|[-_a-z0-9.]*mafia[-_a-z0-9.]*|[-_a-z0-9.]*power[-_a-z0-9.]*|[-_a-z0-9.]*jihad[-_a-z0-9.]*|php|shell|ssh|root|cmd|[0-9]{1,6})\.(p?s?x?htm?l?|txt|aspx?|cfml?|cgi|pl|php[3-9]{0,1}|jsp?|sql|xml)$">
order allow,deny
deny from all
</Files>
 

Ce qui donne ce code là finalement


# SECURITE WORDPRESS
<IfModule mod_rewrite.c>
RewriteEngine On

# Activation du suivi des liens symboliques
Options +FollowSymLinks

# Protéger le fichier wp-config.php
<files wp-config.php>
order allow,deny
deny from all
</files>

# Protéger les fichiers .htaccess et .htpasswds
<Files ~ "^.*\.([Hh][Tt][AaPp])">
order allow,deny
deny from all
satisfy all
</Files>

# Désactiver l'affichage du contenu des répertoires
Options All -Indexes

# Alternative pour empêcher le listage des répertoires
IndexIgnore *

# Masquer les informations du serveur
ServerSignature Off

### ON EVITE LE VOL D'IMAGES, VIDEO, SON, FEUILLE DE STYLE, PDF ET ZIP
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^https?://[-a-z0-9.]*URLDUSITE\.com$ [NC]
RewriteCond %{HTTP_REFERER} !^https?://[-a-z0-9.]*URLDUSITE\.com/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^https?://.*(translate|paypal|google|bing|yahoo|yandex|baidu|facebook|qwant|duck|ixquick|pinterest|twitter).*$ [NC]
RewriteCond %{HTTP_REFERER} !^mobile?://.*$ [NC]
RewriteRule .*\.(gif|jpe?g?|jp2|png|svgz?|css|pdf|zip|gz|js|mp3|m4a|mp4|mov|divx|avi|wma?v?|wmp|swf|flv|docx?|xlsx?|pptx?|vbs|rtf|asf?x?|odt|ods|odp|odg|odb|eot|ttf|woff|woff2)$ - [NC,F]

###FILTRE CONTRE CERTAINS ROBOTS DES PIRATES
RewriteCond %{REQUEST_URI} !^/robots.txt
RewriteCond %{REQUEST_URI} !^/sitemap.xml
RewriteCond %{HTTP_USER_AGENT} ^-?$ [OR]
RewriteCond %{HTTP_USER_AGENT} ^curl|^Fetch\ API\ Request|GT::WWW|^HTTP::Lite|httplib|^Java|^LeechFTP|lwp-trivial|^LWP|libWeb|libwww|^PEAR|PECL::HTTP|PHPCrawl|PycURL|python|^ReGet|Rsync|Snoopy|URI::Fetch|urllib|WebDAV|^Wget [NC]
RewriteCond %{HTTP_USER_AGENT} ^[bcdfghjklmnpqrstvwxz\ ]{10,}|^[0-9a-z]{15,}|^[0-9A-Za-z]{19,}|^[A-Za-z]{3,}\ [a-z]{4,}\ [a-z]{4,} [OR]
RewriteRule (.*) - [F]

### FILTRE CONTRE XSS, REDIRECTIONS HTTP, base64_encode, VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL, TEST DE FAILLE PHP, INJECTION SQL SIMPLE
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^.*(%24&x).* [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(127\.0).* [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)(https?|ftp|mosConfig)(%3A|:)//(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^.*(_encode|localhost|loopback).* [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)(SELECT(%20|\+)|UNION(%20|\+)ALL|INSERT(%20|\+)|DELETE(%20|\+)|CHAR\(|UPDATE(%20|\+)|REPLACE(%20|\+)|LIMIT(%20|\+)|CONCAT(%20|\+)|DECLARE(%20|\+))(.*)$ [NC]
RewriteRule (.*) - [F]

### DES FAUX URLS OU VIEUX SYSTEMES OBSOLETES, ON LES NEUTRALISE
RedirectMatch 403 (\.\./|base64|boot\.ini|eval\(|\(null\)|^[-_a-z0-9/\.]*//.*|/etc/passwd|^/_vti.*|^/MSOffice.*|/fckeditor/|/elfinder/|zoho/|/jquery-file-upload/server/|/assetmanager/|wwwroot|e107\_)
# DESACTIVE LES METHODES DE REQUETES TRACE TRACK DELETE
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK) [NC]
RewriteRule ^.* - [F]

### SEUL LE FICHIER index.php EST SERVI COMME PREMIER FICHIER PAR DEFAUT. LES AUTRES SONT INTERDITS
DirectoryIndex index.php

### INTERDIRE LES AUTRES TYPES DE FICHIER INDEX
<Files ~ "^(index)\.(p?s?x?htm?|txt|aspx?|cfml?|cgi|pl|php[3-9]|jsp|xml)$">
order allow,deny
deny from all
</Files>

### INTERDIRE L'AFFICHAGE DE CERTAINS FORMATS DE FICHIER
<Files ~ "\.(inc|class|sql|ini|conf|exe|dll|bin|tpl|bkp|dat|c|h|py|spd|theme|module|mdb|rar|bash|git|hg|log|svn|swp|cvs)$">
deny from all
</Files>


# Éviter que l'on découvre l'identifiant d'un auteur
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* - [F]
</IfModule>

 


EDIT 28 / 06 / 2017  // Vous emmerdez pas la vie avec ces 2 plugins, optez comme moi pour l'excellent plugin de sécurité SECUPRESS, c'est de la bombe !

Dernière modification par superframboise (2017-06-28 13:57:42)


------------------
Consultant SEO .

Hors ligne

#2 2017-06-09 15:19:08

Mention hexagon3
Soldier
Lieu : Москва
Inscription : 2016-09-15
Messages : 709

Copywriting
Social Engineering
Rédaction
Netlinking

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

wow merci pour le tuto ^^

Le firewall OVH ne ralentit pas trop le site ?

Hors ligne

#3 2017-06-09 16:06:31

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Franchement non mais je t'avoue que je me suis pas posé la question sur le moment la sécurité est ma priorité


------------------
Consultant SEO .

Hors ligne

#4 2017-06-09 16:09:41

Mention Dreammy
Scout
Inscription : 2015-03-15
Messages : 506

Comunity Management
Marketing

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Oh le bête de tuto ! je te comprends, securi ne ralentie pas trop le site ? (Je fais la guerre au plugin)

Hors ligne

#5 2017-06-09 16:27:16

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

@Dreammy non ca a pas l'air moi aussi je fais la guerre au plugin mais pour le coup je ne pouvais pas passer à côté. J'ai ajouté les 2 plugins Hyde My WP + Securi mais en même temps j'en ai viré quelques uns, ce qui fait qu'au final, même si j'ai ajouté ces 2 plugins, je me retrouve au final avec moins au total.

Dernière modification par superframboise (2017-06-09 16:53:26)


------------------
Consultant SEO .

Hors ligne

#6 2017-06-09 16:47:57

Mention Dreammy
Scout
Inscription : 2015-03-15
Messages : 506

Comunity Management
Marketing

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Merci à toi de ton retour, je commence aussi à réfléchir à cela du coté de la sécurité, même si pour le moment j'ai des sauvegarde tous les jours en auto sur un serveur externe donc je me dis que je suis protégé. (pour le MS)

Hors ligne

#7 2017-06-09 20:28:43

Mention Yeurl
Scout
Inscription : 2014-08-20
Messages : 490

Audit et Analyse
Automatisation Web
C#
Social Engineering
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

superframboise a écrit :

@Dreammy non ca a pas l'air moi aussi je fais la guerre au plugin mais pour le coup je ne pouvais pas passer à côté. J'ai ajouté les 2 plugins Hyde My WP + Securi mais en même temps j'en ai viré quelques uns, ce qui fait qu'au final, même si j'ai ajouté ces 2 plugins, je me retrouve au final avec moins au total.

Pour la perf, t as passé un coup de P4 dessus (ou autre commande sur la conso memoire / cpu ? ) Ça donne quoi ?

La règle sur le wp-config ne va pas porter préjudice ?


Mon blog de geek SEO: http://www.moise-le-geek.fr/

Hors ligne

#8 2017-06-10 08:19:16

Mention Onice
Scout
Inscription : 2016-05-14
Messages : 154

Marketing
Copywriting
Netlinking

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Merci la franboise !
Quelque ligne de htaccess que je ne connaissais en plus ne feront pas de mal.

Hors ligne

#9 2017-06-10 08:35:30

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Yeurl a écrit :

Pour la perf, t as passé un coup de P4 dessus (ou autre commande sur la conso memoire / cpu ? ) Ça donne quoi ?

Alors là très bonne question, je n'en sais rien du tout pour la simple et bonne raison que je suis une bille en technique, alors tout ce qui touche de près ou de loin au Sys Admin, je suis une quiche. P4, P5, P6, ca me parle pas. Je suis sur un hébergement mutualisé OVH. J'imagine que ce genre de commandes ne sont accessibles que sur un dédié ?

Yeurl a écrit :

La règle sur le wp-config ne va pas porter préjudice ?

non pas à ma connaissance, pourquoi elle porterait préjudice ? On interdit juste l'accès direct au répertoire wp-config, ce qui n'empêche pas le serveur d'effectuer des requêtes. Enfin je pense. A confirmer par des développeurs, experts en sécurité ou Sys Admin.

EDIT : la règle sur le wp-config est problématique si on utilise un plugin de mise en cache comme WP Rocket

Ce plugin a en effet besoin d'avoir les droits de réécriture. Plus d'infos ici http://docs.wp-rocket.me/article/99-pages-are-not-cached-or-css-and-js-minification-are-not-working et là http://docs.wp-rocket.me/article/626-how-to-make-system-files-htaccess-wp-config-writeable

Dernière modification par superframboise (2017-06-10 18:19:54)


------------------
Consultant SEO .

Hors ligne

#10 2017-06-10 23:09:00

Mention Yeurl
Scout
Inscription : 2014-08-20
Messages : 490

Audit et Analyse
Automatisation Web
C#
Social Engineering
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

merci @Framboise pour les précisions


Mon blog de geek SEO: http://www.moise-le-geek.fr/

Hors ligne

#11 2017-06-12 16:23:17

Mention elyard
Scout
Inscription : 2017-04-20
Messages : 263

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Super tuto pour la sécurité. Avec cette base, ça limitera déjà les risques

Dernière modification par elyard (2017-06-12 16:23:47)

Hors ligne

#12 2017-06-13 07:26:02

Mention DubarSEO
Soldier
Inscription : 2014-11-19
Messages : 616

Audit et Analyse
Marketing
Netlinking
Automatisation Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Merci pour le tuto. J'ai aussi entendu grand bien de Secupress (payant).

Hors ligne

#13 2017-06-13 09:20:21

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

@DubarSEO avec plaisir, justement, je pense que je vais tester Secupress car je viens d'avoir une discussion avec le mec de WP Rocket et ca m'a fait hurler.

Hide My WP par exemple, tu peux le détecter en 2 minutes avec l'extension Wappalyzer... et Sucuri + Hyde My WP, c'est bien mais c'est anti-ergonomique au possible, en plus je pense que ca me détecte pas mal de faux positifs. Le pare-feu a l'air bien, mais j'ai peur qu'ils se bouffent la gueule entre eux.


------------------
Consultant SEO .

Hors ligne

#14 2017-06-13 09:52:55

Mention Dukofo
Soldier
Inscription : 2015-07-21
Messages : 1 180

Netlinking
Networking SEO

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Il serait intéressant de connaitre l'avis de @Julien_G concernant que est le plugin le plus sécuritaire ou efficace.

Dernière modification par Dukofo (2017-06-13 09:54:21)


Intéressé par de l'article Sponso  -> Skype : seo.leadfr

Hors ligne

#15 2017-06-13 14:28:39

Mention Jacques_Arago
Scout
Lieu : Ardennes
Inscription : 2013-10-13
Messages : 165

Netlinking

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Attention aussi aux paramétrages trop bloquants, ainsi bloquer l'API REST , bloque maintenant l'envoi de mail depuis la dernière version de contact form7


être dans le seo c'est un peu comme être dans un mmo qui serait passé du PVE au PVP

Hors ligne

#16 2017-06-14 07:24:47

Mention ciboulette
Scout
Inscription : 2015-11-01
Messages : 390

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Jacques_Arago a écrit :

Attention aussi aux paramétrages trop bloquants, ainsi bloquer l'API REST , bloque maintenant l'envoi de mail depuis la dernière version de contact form7

oui normal car de base wordpress a pour but de tout passé leur soft en REST , (ce qui est génial je trouve), donc de plus en plus de plugin etc s'y prepare , j'attend vraiment la version 5.

Hors ligne

#17 2017-06-14 11:29:55

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

@Jacques_Arago @ciboulette en effet vous avez raison, et je crois d'ailleurs que c'est le problème que je rencontre actuellement...

Je crois que les retours de paiements déconnent à plein tube. J'ai par exemple une cliente qui a passé une commande, elle a réglé par Paypal, le statut de paiement sur Paypal est marqué comme terminé, mais pas dans le BO du site : le statut de commande marque "Commande impayée annulée – temps limite atteint. État de la commande modifié de Attente paiement à Annulée."

En plus, je sais pas quel est le couillon qui a désactivé la fonction IPN sur Paypal.... je l'ai remise...

Je me demande si les requêtes Woocommerce sont pas bloqués. Hide My WP a l'air d'avoir un pare-feu tellement "puissant" qu'il filtre tout, et beaucoup de faux positifs je pense.

Pareil, j’utilise l'API Rest pour communiquer avec celle de LET IT Bill pour gérer ma comptabilité. Comme par hasard, ca marchait nickel avant, et maintenant plus du tout, la syncho se fait pas, j'ai le message "connexion à l'API a échoué" pourtant les clés d'APIS que j'ai généré sont bonnes....

Sur un autre site, je suis en train de tester Secupress, une vraie petite bombe qui remplace à l'aise les 2 plugins Hide My WP + Sucuri : il a pleins de modules et surtout le gros gros plus où les autres peuvent aller se rhabiller, c'est l'ergonomie. Vous pouvez pas savoir comment ca fait plaisir d'avoir une belle interface où l'utilisateur est guidée (le but d'un logiciel ou plugin à la base est de pas avoir à s'emmerder avec la technique, et malheureusement au combien de fois je suis tombé sur des usines à gaz techniquement mais de grosses daubes ergonomiquement parlant).

Pareil, impossible de se connecter à l'API. D'un côté l'API REST est quasi indispensable car la majorité des plugins l'utilisent et d'un autre côté ca fait peur quand tu vois l'énorme faille de sécurité qu'il y a... https://secupress.me/fr/blog/wordpress-rest-api-vulnerabilite-471/

Si vous avez des conseils pour mon problème avec l'API REST + Woocommerce + Paypal, je suis preneur sad

Dernière modification par superframboise (2017-06-14 11:31:18)


------------------
Consultant SEO .

Hors ligne

#18 2017-06-15 15:16:53

Mention Jacques_Arago
Scout
Lieu : Ardennes
Inscription : 2013-10-13
Messages : 165

Netlinking

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

@Superframboise  @ciboulette décoche dans Hide My WP et dans Secupress la désactivation de l'API REST, bien sûr il ne faut pas être en WP 4.7.1 où  existe la faille REST . A noter que HMWP nécessite une maj manuelle pour la dernière version.
A checker aussi si tu es en PHP7 d'éventuels problèmes de compatibilité de certains plugins.


être dans le seo c'est un peu comme être dans un mmo qui serait passé du PVE au PVP

Hors ligne

#19 2017-06-15 15:38:43

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

@Jacques_Arago l'API REST n'est pas désactivé dans Secupress. J'utilise la dernière version de Wordpress (V8), je suis en PHP 5.6 environnement de production Stable.

Pour Stripe, c'est ok désormais, c'était l'environnement de production qui était sur Legacy, je l'ai changé sur Stable.


------------------
Consultant SEO .

Hors ligne

#20 2017-06-16 06:49:06

Mention chn16000
Soldier
Inscription : 2017-04-07
Messages : 1 092

Marketing
Audit et Analyse
Automatisation Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Excellente info et tuto. Merci Superframboise


Soyez vous-même, les autres sont déjà pris

Hors ligne

#21 2018-03-10 01:30:09

Mention dustnbones
Scout
Lieu : Montpellier
Inscription : 2016-04-23
Messages : 185

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Merci infiniment @superframboise !
J'ai test quelques bouts de codes foireux pour se prémunir du hotlink, et le tiens à fonctionné direct lol

Pour ceux qui souhaitent ensuite vérifier que tout est bien locké : hxxp://coldlink.com/htm/tool.htm

Hors ligne

#22 2018-03-10 08:05:16

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

@dustnbones avec plaisir smile


------------------
Consultant SEO .

Hors ligne

#23 2018-03-13 08:38:17

Mention chn16000
Soldier
Inscription : 2017-04-07
Messages : 1 092

Marketing
Audit et Analyse
Automatisation Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Je ne sais pas pourquoi mais cette partie me plante mon serveur et donne un code 500

# Éviter que l'on découvre l'identifiant d'un auteur
RewriteCond %{QUERY_STRING} ^author=([0-9]*)
RewriteRule .* - [F]
</IfModule>

Avez-vous eu le cas ?


Soyez vous-même, les autres sont déjà pris

Hors ligne

#24 2018-03-13 08:54:42

Mention superframboise
Soldier
Lieu : A l'autre bout du monde
Inscription : 2017-03-10
Messages : 1 106

Netlinking
Networking SEO
Audit et Analyse
Netlinking Auto
Site Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

@chn16000 avec certaines règles ça m'est arrivé mais pas avec celle là. Tu l'as mis à la fin du .htaccess ? Dans le module rewrite ? Faut pas le mettre dans le module WordPress


------------------
Consultant SEO .

Hors ligne

#25 2018-03-13 10:14:12

Mention chn16000
Soldier
Inscription : 2017-04-07
Messages : 1 092

Marketing
Audit et Analyse
Automatisation Web

Re : SÉCURITÉ WORDPRESS : liste des actions à faire pour se protéger

Je l'ai mis à la fin du script. Mais je vais retester. En tout cas, c'est un super tuto. Encore mille mercis à toi. smile


Soyez vous-même, les autres sont déjà pris

Hors ligne

Pied de page des forums