Ce module de recherche instantanée vous permet de rechechez en une seconde ce que vous avez besoin. L'ensemble des données du blog y sont répertoriés. De ce fait, vous trouverez les articles, dossiers, codes sources, découvertes et les professionnels du web de notre annuaire.
Ultimate Security Checker est une extension vous permettant d’analyser la sécurité de votre installation WordPress. Dans les options de l’extension, un premier scan est effectué, de façon automatique. Une note vous est alors attribuée selon le niveau de sécurité de votre installation. Allant de 0 à 104 et de A à D, réparties sur six thèmes, cela permet de se faire une idée de l’optimisation effectuée au niveau de la sécurité.
Ultimate Security Checker explique également les marches à suivre pour améliorer ce résultat. Un point important pour cette extension, sortant ainsi du lot. Voici un récapitulatif des différents points mentionnés, ainsi que quelques conseils.
Il est important d’effectuer régulièrement les mises à jour vos extensions, thèmes et en priorité… de votre installation WordPress. Récemment, la version 3.1.2 de WordPress corrige principalement une faille de sécurité. Il est donc nécessaire de tenir à jour votre blog.
Par défaut, depuis le panel d’administration de WordPress, il vous est possible d’éditer les fichiers de vos thèmes et extensions. Pour des raisons de sécurité, il est préférable de le désactiver avec la fonction DISALLOW_FILE_EDIT. Pour cela, il vous suffit de coller le bout de code suivant dans le fichier “wp-config.php” de votre installation WordPress.
define('DISALLOW_FILE_EDIT', true);
Bien que cette information peut être récupérée autrement, il est quand même recommandé de la masquer, un minimum. Ce numéro de version est disponible dans le fichier “readme.html” présent à la racine de votre blog, dans les flux d’informations, dans le haut de page (header.php) de votre thème, etc. Pour masquer le numéro de version de WordPress, il vous suffit de coller le bout de code suivant dans le fichier “functions.php” de votre thème.
function GkGenerator() {
return '';
}
add_filter('the_generator', 'GkGenerator');
Dans une installation par défaut de WordPress, certains fichiers sont inutiles et il est préférable de les supprimer. Le fichier “readme.html” (présent à la racine du blog), cité un peu plus haut en fait partie, ainsi que le fichier d’installation de WordPress (install.php) présent dans le dossier “wp-admin”.
Le code de Perishable Press est présenté comme une bonne solution pour se protéger contre les requêtes malveillantes. Le code est à placer dans le fichier “functions.php” de votre thème.
if (strpos($_SERVER['REQUEST_URI'], "eval(") ||
strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
strpos($_SERVER['REQUEST_URI'], "base64"))
{
@header("HTTP/1.1 400 Bad Request");
@header("Status: 400 Bad Request");
@header("Connection: Close");
@exit;
}
Petit rappel concernant les permissions autorisées des dossiers de votre installation WordPress. Notons que pour changer les permissions d’un dossier, il vous suffit de faire clic droit (depuis le navigateur FTP) sur le dossier, puis “Informations”.
Ce dossier doit avoir une permissions 755. Mais si une extension vous demande une permissions 777 (temporaire), il n’y a pas de risque.
Ces dossiers doivent avoir une permissions 755
Ces dossiers doivent avoir une permissions 755
Il doit avoir une permission 400 ou 440
Il doit avoir une permission 644 ou 664
5 commentaires !
Azed from office says:
avr 29, 2011
Merci pour cet article très instructif.
Pour ma part, j’ai appliqué plusieurs recommandations de ce plugin “Ultimate Security Checker”, et ça a bien marché, sauf pour bloquer les requêtes des URL malicieuses où même après avoir placé le code de Perishable Press dans le fichier “functions.php” ou encore l’installer comme plugin, le test me montre toujours que je suis encore vulnérable de ce côté!
En tous cas, très bon plugin, et très bon article.
Pierre from référencement annuaire says:
mai 3, 2011
Merci pour cet article fort intéressant !
Je ne connaissais pas toutes ces astuces pour la sécurité…
Dès lors j’ai mis en place ces paramètres et tout marche nickel chrome.
valentin says:
mai 3, 2011
Merci val pour ces infos !
Je me suis fais prendre mon ancien site à cause de faille, avec ça j’espère être en sécurité :)
Tchupa says:
mai 8, 2011
Bonjour, j’aurais aimer un peu plus d’explication concernant certaine faille comme celle de désactiver l’édition des templates via le panel d’administration worpdress.
Merci.
Cordialement.
Murielle from daletale says:
mai 14, 2011
Merci pour cet excellent post.
Les explications nécessaires pour bien suivre les recommandations du plugin Ultimate Security Checker sont vraiment bienvenues.
Qu'est-ce que vous en pensez ? :)