Protéger votre répertoire de plugins WP

Bonjour! Si vous êtes nouveau ici, peut être seriez-vous intéressé par une visite guidée ou vous abonner au flux RSS du blog afin d'être tenu à jour des nouvelles publications. Dans tous les cas merci de votre visite !

J’ai lu cette information il y a quelques jours sur un blog mais plus moyen de retrouver sur lequel (si vous le connaissez mentionnez-le moi en commentaire que j’ajoute la source à ce billet).

Sur le moment je n’ai pas relevé la chose comme importante pensant que cela ne devait concerner qu’une faible proportion des blogs, mais je me suis fais quelques tests qui se sont révélé positif dans 50% des cas.

Mais de quoi il parle vous direz vous ? Et bien pour faire simple et illustrer facilement ce que je dis, je vous propose un petit test. Dans votre barre d’adresse entrez l’url suivante :

http://url_de_votre_blog/wp-content/plugins/

(remplacez bien entendu url_de_votre_blog par votre propre adresse hein ;)).

Si vous obtenez une erreur 404, un page « cannot found » ou quoi que ce soit d’autres c’est ok vous pouvez arrêter de lire et passer à un autre de vos blogs préférés ;p Si par contre vous obtenez la liste de vos plugins utilisés, restez encore un peu ça pourrait vous aider.

Le fait que vous puissiez voir votre liste veut aussi dire que n’importe qui peut également la voir (en général tous les blogs WordPress sont conçu de la même façon avec la même arborescence donc rien de compliqué à deviner pour quelqu’un de mal intentionné). Or les plugins sont souvent développés par des membres de la communauté et non-officiellement reconnus par WP (c’est d’ailleurs mentionné très régulièrement que vous utilisez des plugins à vos risques et périls). Or dans ces codeurs certains ne sécurisent pas leurs plugins (soit parce qu’ils ne savent pas le faire, soit qu’ils ne jugent pas cela important, soit qu’ils n’ont tout simplement pas vu la faille). Tous vos plugins sont donc susceptibles de posséder des failles de sécurités exploitables.

Histoire d’être à l’abri un peu plus (il existe surement d’autres possibilités de hack, ici nous ne fermons qu’une des porte d’accès) je vous mentionne la solution que j’ai lue. Et elle est assez simple puisqu’il suffit de créer un fichier index.html et le placer dans votre répertoire de plugins (…/plugins/index.html donc). Voilà rien de compliqué du tout et si vous voulez vraiment ne rien devoir faire, copiez-collez ceci :

<html>
<head>
<title>Page WordPress Plugins</title>
</head>
<body>
Ce fichier permet de bloquer les personnes voulant visualiser ma liste de plugins installes.
</body>
</html>

Si vous voulez adapter la page à votre charte graphique ou en faire ce que vous voulez, libre à vous pour autant que vous ayez ce fichier dans votre répertoire. En exemple celle de H.S.I : http://www.logiste.be/blog/wp-content/plugins/

Voilà un bon petit truc plus préventif qu’autre chose mais toujours sympa à savoir (c’est fou le nombre de « gros » blogs qui n’ont pas cette sécurité ^^).

Catégorie(s) - Wordpress | Tag(s)

liste, plugins, protection, Wordpress |

Imprimer

Faites un lien vers cette news sur votre site :

D'autres lectures similaires ?

Flux RSS des commentaires

3 commentaires

Lorenzo le 1 juillet 2007 @ 5:02

Arf, même pas besoin d’éditer un fichier et tout. Ouvrez votre FTP dans le dossier ; clique droit ; créer un nouveau fichier ; renommer ce fichier en index.html
Voilà c’est tout pas besoin de remplir ce fichier…
Très bon blog au passage
Arkan le 1 juillet 2007 @ 11:08

C’est pas faux en effet, pourquoi faire compliqué quand on peut faire simple :lol:
Par contre l’avantage restant d’éditer soi-même son fichier est d’y placer ce que l’ont veux et pouvoir personnaliser les choses (oui je me rattrape à la première branche que je vois :p)
Content que tu aime le blog en tous cas :wink:
Lorenzo le 1 juillet 2007 @ 13:24

:lol:
Nan c’est vrai je trouve ce blog de très bonne qualité