SlideShare a Scribd company logo

Sécuriser un site Wordpress

Download as PPTX, PDF
k. Nour el houda SLIMANI
k. Nour el houda SLIMANI
Technology
1 of 54
La Semaine Du Web - 2013 WordPress Algérie Sécuriser un site WordPress SLIMANI Nour El Houda
WordPress Algérie La Semaine Du Web - 2013 Sommaire • • • • Introduction Raisons pour pirater un site Les risques les plus connus Techniques de base pour sécuriser un site WordPress – Lors de l’installation – Après l’installation – Plugins requis • Conclusion
WordPress Algérie La Semaine Du Web - 2013 Introduction • Saviez-vous que WordPress est le CMS open source le plus utilisé au monde ? • Environ 15% des sites internet dans le monde s’en servent. • Qui dit succès, dit revers de la médaille! Il est donc nécessaire de se protéger le mieux possible. • WordPress est un logiciel de gestion de contenu très sécuritaire mais qu’aucun système même très protégé n’est infaillible. • La sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans n’importe quel domaine.
La Semaine Du Web - 2013 Le problème du hacking est sans fin ! WordPress Algérie
La Semaine Du Web - 2013 WordPress Algérie The web site whose URL is written in this note shall be hacked !
La Semaine Du Web - 2013 WordPress Algérie Si mon site se fait pirater, je le saurai assez rapidement ??
La Semaine Du Web - 2013 WordPress Algérie Les causes les plus fréquentes de la vulnérabilité des blogs Wordpress • • • • • Version Wordpress obsolète Installation de thèmes et plugins douteux. Le niveau de sécurité faible du mot de passe. Accès FTP volés. Problèmes de sécurité avec l’hébergeur
La Semaine Du Web - 2013 WordPress Algérie Raisons pour pirater un site • La redirection du trafic vers d’autres sites. • L’utilisation du site pour voler les informations critiques. • L’insertion de liens de spams dans le contenu du site en question (articles et commentaires) pour améliorer le référencement de leurs sites. • Tant que vous avez un site wordpress, il y aura toujours des raisons de vous faire pirater. • Just for the fun :p
Sécuriser votre site WordPress n’est pas une affaire de spécialiste !
Tout le monde n'a pas forcément les compétences techniques pour trouver les failles de son site ni savoir les combler afin de dormir sur ses 2 oreilles. SÉCURISER WORDPRESS : COMMENT FAIRE ?
La Semaine Du Web - 2013 WordPress Algérie Sécuriser Wordpress: Quelques clefs pour améliorer la protection de votre plate-forme Web.
Niveau=0; Niveau Facile
WordPress Algérie La Semaine Du Web - 2013 Sécuriser Wordpress: Dès l’installation : il faut se préparer au pire ! Mieux vaut prévenir que guérir !
La Semaine Du Web - 2013 Compte Admin : Eliminer le maillon faible! Virez moi ce « Admin » WordPress Algérie
WordPress Algérie La Semaine Du Web - 2013 Compte Admin • Admin est le maillon faible des utilisateurs de Wordpress. • Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre des bâtons dans les roues à ceux qui veulent vous nuire ! • Si vous manquez d'inspiration : Le plugin Wordpress Google Authenticator ;)
WordPress Algérie La Semaine Du Web - 2013 I.2 Mot de passe • Disposer d’un mot de passe d’au moins 8 caractères incluant : – Majuscules & Miniscules – Des chiffres ; – Des symboles spéciaux ; • Blindez le mot de passe dans le genre « jesuis_*_sur=que@tu&nele|trouveras$pas » • Laissez faire votre imagination ou un générateur de mot de passe! • Évitez toute donnée faisant référence à votre vie personnelle • Plugin Limit Login Attempts : limiter le nombre de tentatives dans un temps donné (ex : 3 tentatives toutes les 10minutes.
La Semaine Du Web - 2013 WordPress Algérie I.3 Préfixes de tables : Protéger sa base de données • Modifiez vos préfixes de tables à l’installation, au lieu de wp_ préférez un truc du genre : « commenttuvasgalerer_ » • Renforcer la sécurité de votre BDD d’injections SQL qui peuvent transformer votre blog en ferme de lien. • Plugin WP Security Scan permet de renommer le préfixe.
La Semaine Du Web - 2013 WordPress Algérie Once the installation process is complete there is still quite a bit of work to be done securing WordPress.
La Semaine Du Web - 2013 Archivez, Archivez, Archivez ! WordPress Algérie
La Semaine Du Web - 2013 WordPress Algérie Archivage et sauvegarde • Même si on a beau bien se protéger, notre vie peut prendre une tournure différente ! Backup, Backup, Backup ! • Faut toujours avoir un plan de sauvegarde et de restauration. • Avant toute intervention, faites des backup régulièrement de votre site WordPress – Votre base de données MySQL ; – Votre compte FTP ;
La Semaine Du Web - 2013 WordPress Algérie Archivage et sauvegarde : WP-DB-Backup • • • • Sauvegarder la base de données WordPress Choisir les tables à sauvegarder, Recevoir les tables par eMail, La base de données pourra être réinjectée à distance elle aussi.
More ?
WordPress Algérie La Semaine Du Web - 2013 Si seulement … • • • • • Sauvegarder Wordpress dans son intégralité (Base de données+ fichiers), L’envoyer par mail Sur FTP ( dans un dossier de sauvegarde) Soit dans un autre FTP (plus malin je trouve ^^) Vers DropBox: Recevoir chaque {mois|semaine|jour|heure} une sauvegarde du FTP sur mon bureau dans le dossier DropBox de mon Ordi donc même si le pirate met le feu chez moi, OSEF :p je pourrai tjrs récupérer ma sauvegarde. • Et pourquoi pas d’autres options en plus :p ? Juste pour la beauté de mes yeux , hein ?? J’ai le droit de rêver au final :p • Avant que j’oublie … Faut qu’il soit gratuit comme on les aime ;)
Tout est désormais possible Don’t worry ! :p
WordPress Algérie La Semaine Du Web - 2013 BackWPup • • • • • • • Plugin de sauvegarde le plus complet Sauvegarde de la Base de données Export articles et pages en XML Optimisation et réparation de la Base de données Sauvegarde des fichiers et répertoires Backup aux formats zip, tar, tar.gz, tar.bz2 Sauvegarde envoyée sur votre serveur FTP, Amazon S3, Google Storage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync... • Envoi des logs et backups sur votre email
What else ?
La Semaine Du Web - 2013 WordPress Algérie Installation des extensions & plugins • N’installez pas n’importe quoi sur votre site : • Préférez les extensions proposées par le site officiel de WordPress • Favoriser ceux qui ont des mises à jours régulière et faites les ces mises à jour, • Choisissez les extensions qui ont un nombre de vote (et de votant) très bon • Un plugin qui n’est pas souvent mis à jour peut contenir des failles de sécurité. • Informez-vous sur les rapports de bug et failles de sécurité desdits plugins.
La Semaine Du Web - 2013 WordPress Algérie Mise à jour extensions et version Wordpress La mise à jour de son blog peut donner quelques sueurs froides mais le piratage de votre blog pourrait vous donner un mal de tête bien plus conséquent !!! • Tenir à jour votre architecture WordPress et vos extensions, • Tenez vous également au courant des mises à jour de votre thème…Et appliquez les ;)
La Semaine Du Web - 2013 WordPress Algérie Protéger les accès à Wordpress et ses répertoires • Avoir un mot de passe digne de ce nom. • Sachez convenablement organiser votre thème • Protéger repertoires sensibles – Regle générale : 755 pour les folders & 644 pour les files, – .htaccess : Options All –Indexes • Améliorer encore la sécurité avec le plugin «Ask Apache ». – Protéger le dossier wp-admin par une authentification au niveau du serveur. – Désactiver les liens malveillants et l’accès direct aux répertoires wpcontent et wp-includes
Niveau ++; Niveau Intermédiaire
La Semaine Du Web - 2013 WordPress Algérie Niveau intermédiaire • Prendre toutes les précautions nécessaire à la protection de votre site, c’est bien. Mais • Ne pas exposer vos données sensibles aux grand soleil, c’est encore mieux.
La Semaine Du Web - 2013 WordPress Algérie Suppression du fichier readme.html • Placé à la racine de votre site, ce fichier contient la version WordPress de votre site, (testez avec www.votresite.com/readme.html).
La Semaine Du Web - 2013 WordPress Algérie Chouchoutez vos fichiers sensibles ! • “wp-config.php” • “.htaccess”
La Semaine Du Web - 2013 WordPress Algérie Protéger wp-config.php • Erreurs PHP qui offrent l’accès au fichier wp-config.php • Le fichier wp-config.php peut-être protégé par des clés de sécurité alors pourquoi s’en priver ? • Générer et y insérez les grâce au lien :https://api.wordpress.org/secret-key/1.1/salt/ • Reconnecter sur vos bloc après cette manipulation
La Semaine Du Web - 2013 WordPress Algérie Exemple de clefs d’authentification et salage
WordPress Algérie La Semaine Du Web - 2013 Protéger .htaccess • Restreindre les droits d’accès au seul propriétaire – A partir d’un navigateur FTP ( ex: Filezilla)« Droit d’accès au fichier » => 644 – Grâce à WP Security Scan • Protégez votre fichier .htaccess
WordPress Algérie Masquez votre version !! Mais pourquoi ?
La Semaine Du Web - 2013 WordPress Algérie Masquez votre version • Editer le fichier functions.php : présent dans votre thème (dans /wp-content/themes/VotreTheme) et ajouter: • Editer le fichier header.php en supprimant la ligne : • Autre alternative : l’extension Better security WP. • Jouer avec vos assaillants en leur mentant sur la version que vous utilisez avec le plugin Replace WP-Version ;)
La Semaine Du Web - 2013 WordPress Algérie Empêcher les attaques par Brute Forcing : • Bloquer les tentatives multiples de connexions au panneau d’administration • Remédier à cela en utilisant le plugin Login LockDown .
La Semaine Du Web - 2013 WordPress Algérie Limiter le nombre de tentatives de connexions • Blocage par adresse IP ne sera pas efficace • Une meilleure alternative consiste à activer une authentification en 2 temps (2-factor authentication) : • Plugin pour le mettre en place rapidement sur votre site : Google Authenticator.
La Semaine Du Web - 2013 WordPress Algérie Désactiver Windows Live Writer ) : • WordPress vous offres la possibilité de publier vos articles via Une ligne de Windows Live Writer. code suspecte • Supprimer les lignes indésirables se cache ici ! • Editer le fichier functions.php:
La Semaine Du Web - 2013 WordPress Algérie Attention à failles TimThumb • Script TimThumb . • Ré-écrire le fichier .htaccess • Le plugin TimThumb Vulnerability
La Semaine Du Web - 2013 WordPress Algérie Quelques précautions supplémentaires • Ne laisser aucune donnée sensible dans wp-content ! – Ex: L’archive de base de données que certains plugins comme WPbackup le stockent dans wp-content. • Supprimer tous les utilisateurs inactifs à fort pouvoir (administrateur).
La Semaine Du Web - 2013 WordPress Algérie Des plugins à votre secours ! • Better WP Security • WP-Scurity Scan • TAC (Theme Authenticity Checker)
Niveau ++; Niveau Expert
La Semaine Du Web - 2013 WordPress Algérie Masquer les erreurs de connexion • Renforcer la sécurité en masquant les erreurs de connexion affichés lors de tentative infructueuse. => Eviter de divulguer les messages aux yeux de tous • Editer le fichier functions.php de votre thème et d’y ajouter: • Recommencer cette manipulation Si vous changiez de thème.
Autres plugins
La Semaine Du Web - 2013 WordPress Algérie Antivirus pour Wordpress: Wordfence • • • • Gratuit & Puissant Analyse en profondeur un site Wordpress Accès au fichier incriminé pour rapidement faire le ménage Visualiseur géolocalisé et en direct du trafic de votre site
La Semaine Du Web - 2013 WordPress Algérie Anti-Malware (Get Off Malicious Scripts) • Anti-Malware/Anti-virus Plugin • Solution prometteuse !
WordPress Algérie La Semaine Du Web - 2013 Theme check • Utilitaire simple et efficace pour analyser votre thème • Un très bon outil
La Semaine Du Web - 2013 WordPress Algérie WordPress Firewall 2 • • • • • • • Bloquer les directory traversals Bloquer les requêtes d’injection SQL Bloquer les termes spécifiques ( wp_, user_login, etc.) Bloquer l’upload de fichier .exe, .php Avertir par mail en cas de tentatives d’attaques Rediriger les attaques vers une page 404 ou la page d’accueil Et bien d’autres fonctionnalités que je vous laisse découvrir….
WordPress Algérie La Semaine Du Web - 2013 C’est la vie ! • En dépit de toutes précautions le risque ne sera jamais nul ! le risque zéro n'existe pas... • Pour prévenir toute mauvaise surprise, il convient de faire des backups régulièrement. • Le plugin WP-Database Backup est une bonne solution !
La Semaine Du Web - 2013 WordPress Algérie SLIMANI Nour EL Houda  PhD Student at Laboratory of Research in Artificial Intelligence LRIA, USTHB.  Wordpress Member  Web developper  Just Me ;) WordPress

Recommended

Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueMaxime Jobin
 
WordPress Jurassique
WordPress JurassiqueWordPress Jurassique
WordPress JurassiqueJean-Francois Arseneault
 
Wordpress : Attaque, Audit et Protection | Hackfest 2015
Wordpress : Attaque, Audit et Protection | Hackfest 2015Wordpress : Attaque, Audit et Protection | Hackfest 2015
Wordpress : Attaque, Audit et Protection | Hackfest 2015Harvey Francois
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webIZZA Samir
 
Sécuriser un site Wordpress
Sécuriser un site WordpressSécuriser un site Wordpress
Sécuriser un site Wordpressbestyuna
 
Atelier WordPress - Freelance fair tour - La cordée Rennes
Atelier WordPress - Freelance fair tour - La cordée RennesAtelier WordPress - Freelance fair tour - La cordée Rennes
Atelier WordPress - Freelance fair tour - La cordée Renneswpalex
 
Le meilleur pour votre site WordPress
Le meilleur pour votre site WordPressLe meilleur pour votre site WordPress
Le meilleur pour votre site WordPressAurélien Denis
 
Démarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listDémarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listKaylynne Johnson
 

Recommended

Sécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueSécurité: Ne soyez pas à risque
Sécurité: Ne soyez pas à risqueMaxime Jobin
 
WordPress Jurassique
WordPress JurassiqueWordPress Jurassique
WordPress JurassiqueJean-Francois Arseneault
 
Wordpress : Attaque, Audit et Protection | Hackfest 2015
Wordpress : Attaque, Audit et Protection | Hackfest 2015Wordpress : Attaque, Audit et Protection | Hackfest 2015
Wordpress : Attaque, Audit et Protection | Hackfest 2015Harvey Francois
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webIZZA Samir
 
Sécuriser un site Wordpress
Sécuriser un site WordpressSécuriser un site Wordpress
Sécuriser un site Wordpressbestyuna
 
Atelier WordPress - Freelance fair tour - La cordée Rennes
Atelier WordPress - Freelance fair tour - La cordée RennesAtelier WordPress - Freelance fair tour - La cordée Rennes
Atelier WordPress - Freelance fair tour - La cordée Renneswpalex
 
Le meilleur pour votre site WordPress
Le meilleur pour votre site WordPressLe meilleur pour votre site WordPress
Le meilleur pour votre site WordPressAurélien Denis
 
Démarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listDémarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listKaylynne Johnson
 
64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPress64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPressAurélien Denis
 
Les 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressLes 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressNicolas Richer
 
Optimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressOptimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressDaniel Roch - SeoMix
 
Bien débuter dans la conception d'un thème WordPress
Bien débuter dans la conception d'un thème WordPressBien débuter dans la conception d'un thème WordPress
Bien débuter dans la conception d'un thème WordPressAurélien Denis
 
Découverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites ApacheDécouverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites ApacheChristophe Avonture
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementChristophe Avonture
 
Nice meetup
Nice meetupNice meetup
Nice meetupValérie Galassi
 
Protéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesProtéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesKiwi Backup
 
10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPress10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPressAurélien Denis
 
Meetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalMeetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalAurelien Navarre
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
Word Press Intro
Word Press IntroWord Press Intro
Word Press IntroCENTRAFRIQUE WORLD COMMUNICATE
 
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesDrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesAurelien Navarre
 
Optimiser WordPress
Optimiser WordPressOptimiser WordPress
Optimiser WordPressChi Nacim
 
Optimiser wordpress
Optimiser wordpressOptimiser wordpress
Optimiser wordpressJean-François Vial
 
WordPress + HTTPS
WordPress + HTTPSWordPress + HTTPS
WordPress + HTTPSBrice Capobianco
 
Formation WordPress
Formation WordPressFormation WordPress
Formation WordPressSylvain DENIS
 
Formation Wordpress 3
Formation Wordpress 3Formation Wordpress 3
Formation Wordpress 3robinparisi
 
Phildu
PhilduPhildu
PhilduPhilippe Massé
 
Développement wordpress
Développement wordpressDéveloppement wordpress
Développement wordpressHelios Solutions
 
Comandos rápidos de windows 7
Comandos rápidos de windows 7Comandos rápidos de windows 7
Comandos rápidos de windows 7lunmart
 
Fachada marítima para enviar
Fachada marítima para enviarFachada marítima para enviar
Fachada marítima para enviarCarlos Negreira
 

More Related Content

What's hot

64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPress64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPressAurélien Denis
 
Les 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressLes 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressNicolas Richer
 
Optimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressOptimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressDaniel Roch - SeoMix
 
Bien débuter dans la conception d'un thème WordPress
Bien débuter dans la conception d'un thème WordPressBien débuter dans la conception d'un thème WordPress
Bien débuter dans la conception d'un thème WordPressAurélien Denis
 
Découverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites ApacheDécouverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites ApacheChristophe Avonture
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementChristophe Avonture
 
Protéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesProtéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesKiwi Backup
 
10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPress10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPressAurélien Denis
 
Meetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalMeetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalAurelien Navarre
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passePatrick Leclerc
 
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesDrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesAurelien Navarre
 
Optimiser WordPress
Optimiser WordPressOptimiser WordPress
Optimiser WordPressChi Nacim
 
Formation Wordpress 3
Formation Wordpress 3Formation Wordpress 3
Formation Wordpress 3robinparisi
 

What's hot (18)

64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPress64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPress
 
Les 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressLes 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPress
 
Optimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressOptimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPress
 
Bien débuter dans la conception d'un thème WordPress
Bien débuter dans la conception d'un thème WordPressBien débuter dans la conception d'un thème WordPress
Bien débuter dans la conception d'un thème WordPress
 
Découverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites ApacheDécouverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites Apache
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
 
Nice meetup
Nice meetupNice meetup
Nice meetup
 
Protéger son site web des cyber-attaques
Protéger son site web des cyber-attaquesProtéger son site web des cyber-attaques
Protéger son site web des cyber-attaques
 
10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPress10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPress
 
Meetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupalMeetup Drupal Lyon - Sécuriser un site drupal
Meetup Drupal Lyon - Sécuriser un site drupal
 
OWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passeOWASP Québec - octobre 2016 - présentation sur les mots de passe
OWASP Québec - octobre 2016 - présentation sur les mots de passe
 
Word Press Intro
Word Press IntroWord Press Intro
Word Press Intro
 
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchéesDrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
DrupalCamp Lyon 2012 - Optimiser les performances Drupal depuis les tranchées
 
Optimiser WordPress
Optimiser WordPressOptimiser WordPress
Optimiser WordPress
 
Optimiser wordpress
Optimiser wordpressOptimiser wordpress
Optimiser wordpress
 
WordPress + HTTPS
WordPress + HTTPSWordPress + HTTPS
WordPress + HTTPS
 
Formation WordPress
Formation WordPressFormation WordPress
Formation WordPress
 
Formation Wordpress 3
Formation Wordpress 3Formation Wordpress 3
Formation Wordpress 3
 

Viewers also liked

Comandos rápidos de windows 7
Comandos rápidos de windows 7Comandos rápidos de windows 7
Comandos rápidos de windows 7lunmart
 
Fachada marítima para enviar
Fachada marítima para enviarFachada marítima para enviar
Fachada marítima para enviarCarlos Negreira
 
Capitulo i 2222222222222222222222
Capitulo i 2222222222222222222222Capitulo i 2222222222222222222222
Capitulo i 2222222222222222222222Miguel Eleuterio
 
Scene médiatique Maroc 1er trimestre 2014
Scene médiatique Maroc 1er trimestre 2014Scene médiatique Maroc 1er trimestre 2014
Scene médiatique Maroc 1er trimestre 2014Ayoub HAKDAOUI
 
Informaticadispositivosdecomunicacionpersonal (2)
Informaticadispositivosdecomunicacionpersonal (2)Informaticadispositivosdecomunicacionpersonal (2)
Informaticadispositivosdecomunicacionpersonal (2)Nadia HCh
 
Webinar wiz_insolites_live
Webinar wiz_insolites_liveWebinar wiz_insolites_live
Webinar wiz_insolites_liveWisembly
 
Benchmark relatif à l'exercice de la profession d'igt au Maroc.
Benchmark relatif à l'exercice de la profession d'igt au Maroc.Benchmark relatif à l'exercice de la profession d'igt au Maroc.
Benchmark relatif à l'exercice de la profession d'igt au Maroc.ZAID BENSAID
 
Tablettes numeriques et mediation_alix_dumolard
Tablettes numeriques et mediation_alix_dumolardTablettes numeriques et mediation_alix_dumolard
Tablettes numeriques et mediation_alix_dumolardAnne-Sophie Dallet
 
Cultura de la_informacion_final_03
Cultura de la_informacion_final_03Cultura de la_informacion_final_03
Cultura de la_informacion_final_03tecmex
 
Présentation de l’identité visuelle dakcom
Présentation de l’identité visuelle dakcomPrésentation de l’identité visuelle dakcom
Présentation de l’identité visuelle dakcomAhmed-Djibril Coly
 
Vincent Bouthors - La transformation c’est aussi en interne !
Vincent Bouthors - La transformation c’est aussi en interne ! Vincent Bouthors - La transformation c’est aussi en interne !
Vincent Bouthors - La transformation c’est aussi en interne ! Les Interconnectés
 
El mejor pañal
El mejor pañalEl mejor pañal
El mejor pañalvianqaa
 

Viewers also liked (20)

Phildu
PhilduPhildu
Phildu
 
Développement wordpress
Développement wordpressDéveloppement wordpress
Développement wordpress
 
Comandos rápidos de windows 7
Comandos rápidos de windows 7Comandos rápidos de windows 7
Comandos rápidos de windows 7
 
Fachada marítima para enviar
Fachada marítima para enviarFachada marítima para enviar
Fachada marítima para enviar
 
Monitoreo.net1
Monitoreo.net1Monitoreo.net1
Monitoreo.net1
 
México
MéxicoMéxico
México
 
Capitulo i 2222222222222222222222
Capitulo i 2222222222222222222222Capitulo i 2222222222222222222222
Capitulo i 2222222222222222222222
 
Scene médiatique Maroc 1er trimestre 2014
Scene médiatique Maroc 1er trimestre 2014Scene médiatique Maroc 1er trimestre 2014
Scene médiatique Maroc 1er trimestre 2014
 
Informaticadispositivosdecomunicacionpersonal (2)
Informaticadispositivosdecomunicacionpersonal (2)Informaticadispositivosdecomunicacionpersonal (2)
Informaticadispositivosdecomunicacionpersonal (2)
 
Webinar wiz_insolites_live
Webinar wiz_insolites_liveWebinar wiz_insolites_live
Webinar wiz_insolites_live
 
Benchmark relatif à l'exercice de la profession d'igt au Maroc.
Benchmark relatif à l'exercice de la profession d'igt au Maroc.Benchmark relatif à l'exercice de la profession d'igt au Maroc.
Benchmark relatif à l'exercice de la profession d'igt au Maroc.
 
Tablettes numeriques et mediation_alix_dumolard
Tablettes numeriques et mediation_alix_dumolardTablettes numeriques et mediation_alix_dumolard
Tablettes numeriques et mediation_alix_dumolard
 
Cultura de la_informacion_final_03
Cultura de la_informacion_final_03Cultura de la_informacion_final_03
Cultura de la_informacion_final_03
 
Santa juana
Santa juanaSanta juana
Santa juana
 
Présentation de l’identité visuelle dakcom
Présentation de l’identité visuelle dakcomPrésentation de l’identité visuelle dakcom
Présentation de l’identité visuelle dakcom
 
Vincent Bouthors - La transformation c’est aussi en interne !
Vincent Bouthors - La transformation c’est aussi en interne ! Vincent Bouthors - La transformation c’est aussi en interne !
Vincent Bouthors - La transformation c’est aussi en interne !
 
Lensometro prisma foco
Lensometro prisma focoLensometro prisma foco
Lensometro prisma foco
 
El iva
El ivaEl iva
El iva
 
SoliCARity
SoliCARitySoliCARity
SoliCARity
 
El mejor pañal
El mejor pañalEl mejor pañal
El mejor pañal
 

Similar to Sécuriser un site Wordpress

Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webNour El Houda
 
Sécurité WordPress
Sécurité WordPressSécurité WordPress
Sécurité WordPressChi Nacim
 
Wordpress et la sécurité des plugins
Wordpress et la sécurité des pluginsWordpress et la sécurité des plugins
Wordpress et la sécurité des pluginsBoiteaweb
 
Webinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdfWebinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdfJulien Dereumaux
 
agoraCMS - WordPress, thèmes et plugins : mode d'emploi
agoraCMS - WordPress, thèmes et plugins : mode d'emploiagoraCMS - WordPress, thèmes et plugins : mode d'emploi
agoraCMS - WordPress, thèmes et plugins : mode d'emploiLionel Pointet
 
Alphorm.com Formation WordPress 4
Alphorm.com Formation WordPress 4 Alphorm.com Formation WordPress 4
Alphorm.com Formation WordPress 4 Alphorm
 
Optimiser WordPress – Checklist après installation
Optimiser WordPress – Checklist après installationOptimiser WordPress – Checklist après installation
Optimiser WordPress – Checklist après installationFabrice Ducarme
 
Un site web en 5 minutes avec le CMS Wordpress- SFD Douala 2014
Un site web en 5 minutes avec le CMS Wordpress- SFD Douala 2014Un site web en 5 minutes avec le CMS Wordpress- SFD Douala 2014
Un site web en 5 minutes avec le CMS Wordpress- SFD Douala 2014Mak YIMEN
 
Mieux Filtrer ses listes WordPress avec Ajax et WP_Query
Mieux Filtrer ses listes WordPress avec Ajax et WP_QueryMieux Filtrer ses listes WordPress avec Ajax et WP_Query
Mieux Filtrer ses listes WordPress avec Ajax et WP_QuerySymetris
 
WordPress en tant que CMS
WordPress en tant que CMSWordPress en tant que CMS
WordPress en tant que CMSChi Nacim
 
Prévention et traitement du hack de serveurs
Prévention et traitement du hack de serveursPrévention et traitement du hack de serveurs
Prévention et traitement du hack de serveursAmen.fr
 
Bien qu'en ligne votre site web n'est probablement pas en production
Bien qu'en ligne votre site web n'est probablement pas en productionBien qu'en ligne votre site web n'est probablement pas en production
Bien qu'en ligne votre site web n'est probablement pas en productionMarc Boivin
 
Javascript as a first programming language : votre IC prête pour la révolution !
Javascript as a first programming language : votre IC prête pour la révolution !Javascript as a first programming language : votre IC prête pour la révolution !
Javascript as a first programming language : votre IC prête pour la révolution !VISEO
 
Alphorm.com Formation Drupal 7 pour les utilisateurs
Alphorm.com Formation Drupal 7 pour les utilisateurs Alphorm.com Formation Drupal 7 pour les utilisateurs
Alphorm.com Formation Drupal 7 pour les utilisateurs Alphorm
 

Similar to Sécuriser un site Wordpress (20)

Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du web
 
Sécurité WordPress
Sécurité WordPressSécurité WordPress
Sécurité WordPress
 
Sécuriser son site wordpress
Sécuriser son site wordpressSécuriser son site wordpress
Sécuriser son site wordpress
 
Tp1 wp etud
Tp1 wp etudTp1 wp etud
Tp1 wp etud
 
Wordpress et la sécurité des plugins
Wordpress et la sécurité des pluginsWordpress et la sécurité des plugins
Wordpress et la sécurité des plugins
 
WordPress
WordPressWordPress
WordPress
 
Webinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdfWebinar - Maintenance d'un site WordPress en agence.pdf
Webinar - Maintenance d'un site WordPress en agence.pdf
 
agoraCMS - WordPress, thèmes et plugins : mode d'emploi
agoraCMS - WordPress, thèmes et plugins : mode d'emploiagoraCMS - WordPress, thèmes et plugins : mode d'emploi
agoraCMS - WordPress, thèmes et plugins : mode d'emploi
 
Alphorm.com Formation WordPress 4
Alphorm.com Formation WordPress 4 Alphorm.com Formation WordPress 4
Alphorm.com Formation WordPress 4
 
Optimiser WordPress – Checklist après installation
Optimiser WordPress – Checklist après installationOptimiser WordPress – Checklist après installation
Optimiser WordPress – Checklist après installation
 
Un site web en 5 minutes avec le CMS Wordpress- SFD Douala 2014
Un site web en 5 minutes avec le CMS Wordpress- SFD Douala 2014Un site web en 5 minutes avec le CMS Wordpress- SFD Douala 2014
Un site web en 5 minutes avec le CMS Wordpress- SFD Douala 2014
 
Mieux Filtrer ses listes WordPress avec Ajax et WP_Query
Mieux Filtrer ses listes WordPress avec Ajax et WP_QueryMieux Filtrer ses listes WordPress avec Ajax et WP_Query
Mieux Filtrer ses listes WordPress avec Ajax et WP_Query
 
WordPress en tant que CMS
WordPress en tant que CMSWordPress en tant que CMS
WordPress en tant que CMS
 
Prévention et traitement du hack de serveurs
Prévention et traitement du hack de serveursPrévention et traitement du hack de serveurs
Prévention et traitement du hack de serveurs
 
Secubasejoomla
SecubasejoomlaSecubasejoomla
Secubasejoomla
 
Bien qu'en ligne votre site web n'est probablement pas en production
Bien qu'en ligne votre site web n'est probablement pas en productionBien qu'en ligne votre site web n'est probablement pas en production
Bien qu'en ligne votre site web n'est probablement pas en production
 
Javascript as a first programming language : votre IC prête pour la révolution !
Javascript as a first programming language : votre IC prête pour la révolution !Javascript as a first programming language : votre IC prête pour la révolution !
Javascript as a first programming language : votre IC prête pour la révolution !
 
WordPress et SEO - SEOCampus 2013
WordPress et SEO - SEOCampus 2013WordPress et SEO - SEOCampus 2013
WordPress et SEO - SEOCampus 2013
 
Alphorm.com Formation Drupal 7 pour les utilisateurs
Alphorm.com Formation Drupal 7 pour les utilisateurs Alphorm.com Formation Drupal 7 pour les utilisateurs
Alphorm.com Formation Drupal 7 pour les utilisateurs
 
Blog sur Wordpress.com
Blog sur Wordpress.comBlog sur Wordpress.com
Blog sur Wordpress.com
 

Sécuriser un site Wordpress

  • 1. La Semaine Du Web - 2013 WordPress Algérie Sécuriser un site WordPress SLIMANI Nour El Houda
  • 2. WordPress Algérie La Semaine Du Web - 2013 Sommaire • • • • Introduction Raisons pour pirater un site Les risques les plus connus Techniques de base pour sécuriser un site WordPress – Lors de l’installation – Après l’installation – Plugins requis • Conclusion
  • 3. WordPress Algérie La Semaine Du Web - 2013 Introduction • Saviez-vous que WordPress est le CMS open source le plus utilisé au monde ? • Environ 15% des sites internet dans le monde s’en servent. • Qui dit succès, dit revers de la médaille! Il est donc nécessaire de se protéger le mieux possible. • WordPress est un logiciel de gestion de contenu très sécuritaire mais qu’aucun système même très protégé n’est infaillible. • La sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans n’importe quel domaine.
  • 4. La Semaine Du Web - 2013 Le problème du hacking est sans fin ! WordPress Algérie
  • 5. La Semaine Du Web - 2013 WordPress Algérie The web site whose URL is written in this note shall be hacked !
  • 6.
  • 7. La Semaine Du Web - 2013 WordPress Algérie Si mon site se fait pirater, je le saurai assez rapidement ??
  • 8. La Semaine Du Web - 2013 WordPress Algérie Les causes les plus fréquentes de la vulnérabilité des blogs Wordpress • • • • • Version Wordpress obsolète Installation de thèmes et plugins douteux. Le niveau de sécurité faible du mot de passe. Accès FTP volés. Problèmes de sécurité avec l’hébergeur
  • 9. La Semaine Du Web - 2013 WordPress Algérie Raisons pour pirater un site • La redirection du trafic vers d’autres sites. • L’utilisation du site pour voler les informations critiques. • L’insertion de liens de spams dans le contenu du site en question (articles et commentaires) pour améliorer le référencement de leurs sites. • Tant que vous avez un site wordpress, il y aura toujours des raisons de vous faire pirater. • Just for the fun :p
  • 10. Sécuriser votre site WordPress n’est pas une affaire de spécialiste !
  • 11. Tout le monde n'a pas forcément les compétences techniques pour trouver les failles de son site ni savoir les combler afin de dormir sur ses 2 oreilles. SÉCURISER WORDPRESS : COMMENT FAIRE ?
  • 12. La Semaine Du Web - 2013 WordPress Algérie Sécuriser Wordpress: Quelques clefs pour améliorer la protection de votre plate-forme Web.
  • 14. WordPress Algérie La Semaine Du Web - 2013 Sécuriser Wordpress: Dès l’installation : il faut se préparer au pire ! Mieux vaut prévenir que guérir !
  • 15. La Semaine Du Web - 2013 Compte Admin : Eliminer le maillon faible! Virez moi ce « Admin » WordPress Algérie
  • 16. WordPress Algérie La Semaine Du Web - 2013 Compte Admin • Admin est le maillon faible des utilisateurs de Wordpress. • Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre des bâtons dans les roues à ceux qui veulent vous nuire ! • Si vous manquez d'inspiration : Le plugin Wordpress Google Authenticator ;)
  • 17. WordPress Algérie La Semaine Du Web - 2013 I.2 Mot de passe • Disposer d’un mot de passe d’au moins 8 caractères incluant : – Majuscules & Miniscules – Des chiffres ; – Des symboles spéciaux ; • Blindez le mot de passe dans le genre « jesuis_*_sur=que@tu&nele|trouveras$pas » • Laissez faire votre imagination ou un générateur de mot de passe! • Évitez toute donnée faisant référence à votre vie personnelle • Plugin Limit Login Attempts : limiter le nombre de tentatives dans un temps donné (ex : 3 tentatives toutes les 10minutes.
  • 18. La Semaine Du Web - 2013 WordPress Algérie I.3 Préfixes de tables : Protéger sa base de données • Modifiez vos préfixes de tables à l’installation, au lieu de wp_ préférez un truc du genre : « commenttuvasgalerer_ » • Renforcer la sécurité de votre BDD d’injections SQL qui peuvent transformer votre blog en ferme de lien. • Plugin WP Security Scan permet de renommer le préfixe.
  • 19. La Semaine Du Web - 2013 WordPress Algérie Once the installation process is complete there is still quite a bit of work to be done securing WordPress.
  • 20. La Semaine Du Web - 2013 Archivez, Archivez, Archivez ! WordPress Algérie
  • 21. La Semaine Du Web - 2013 WordPress Algérie Archivage et sauvegarde • Même si on a beau bien se protéger, notre vie peut prendre une tournure différente ! Backup, Backup, Backup ! • Faut toujours avoir un plan de sauvegarde et de restauration. • Avant toute intervention, faites des backup régulièrement de votre site WordPress – Votre base de données MySQL ; – Votre compte FTP ;
  • 22. La Semaine Du Web - 2013 WordPress Algérie Archivage et sauvegarde : WP-DB-Backup • • • • Sauvegarder la base de données WordPress Choisir les tables à sauvegarder, Recevoir les tables par eMail, La base de données pourra être réinjectée à distance elle aussi.
  • 24. WordPress Algérie La Semaine Du Web - 2013 Si seulement … • • • • • Sauvegarder Wordpress dans son intégralité (Base de données+ fichiers), L’envoyer par mail Sur FTP ( dans un dossier de sauvegarde) Soit dans un autre FTP (plus malin je trouve ^^) Vers DropBox: Recevoir chaque {mois|semaine|jour|heure} une sauvegarde du FTP sur mon bureau dans le dossier DropBox de mon Ordi donc même si le pirate met le feu chez moi, OSEF :p je pourrai tjrs récupérer ma sauvegarde. • Et pourquoi pas d’autres options en plus :p ? Juste pour la beauté de mes yeux , hein ?? J’ai le droit de rêver au final :p • Avant que j’oublie … Faut qu’il soit gratuit comme on les aime ;)
  • 25. Tout est désormais possible Don’t worry ! :p
  • 26. WordPress Algérie La Semaine Du Web - 2013 BackWPup • • • • • • • Plugin de sauvegarde le plus complet Sauvegarde de la Base de données Export articles et pages en XML Optimisation et réparation de la Base de données Sauvegarde des fichiers et répertoires Backup aux formats zip, tar, tar.gz, tar.bz2 Sauvegarde envoyée sur votre serveur FTP, Amazon S3, Google Storage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync... • Envoi des logs et backups sur votre email
  • 28. La Semaine Du Web - 2013 WordPress Algérie Installation des extensions & plugins • N’installez pas n’importe quoi sur votre site : • Préférez les extensions proposées par le site officiel de WordPress • Favoriser ceux qui ont des mises à jours régulière et faites les ces mises à jour, • Choisissez les extensions qui ont un nombre de vote (et de votant) très bon • Un plugin qui n’est pas souvent mis à jour peut contenir des failles de sécurité. • Informez-vous sur les rapports de bug et failles de sécurité desdits plugins.
  • 29. La Semaine Du Web - 2013 WordPress Algérie Mise à jour extensions et version Wordpress La mise à jour de son blog peut donner quelques sueurs froides mais le piratage de votre blog pourrait vous donner un mal de tête bien plus conséquent !!! • Tenir à jour votre architecture WordPress et vos extensions, • Tenez vous également au courant des mises à jour de votre thème…Et appliquez les ;)
  • 30. La Semaine Du Web - 2013 WordPress Algérie Protéger les accès à Wordpress et ses répertoires • Avoir un mot de passe digne de ce nom. • Sachez convenablement organiser votre thème • Protéger repertoires sensibles – Regle générale : 755 pour les folders & 644 pour les files, – .htaccess : Options All –Indexes • Améliorer encore la sécurité avec le plugin «Ask Apache ». – Protéger le dossier wp-admin par une authentification au niveau du serveur. – Désactiver les liens malveillants et l’accès direct aux répertoires wpcontent et wp-includes
  • 32. La Semaine Du Web - 2013 WordPress Algérie Niveau intermédiaire • Prendre toutes les précautions nécessaire à la protection de votre site, c’est bien. Mais • Ne pas exposer vos données sensibles aux grand soleil, c’est encore mieux.
  • 33. La Semaine Du Web - 2013 WordPress Algérie Suppression du fichier readme.html • Placé à la racine de votre site, ce fichier contient la version WordPress de votre site, (testez avec www.votresite.com/readme.html).
  • 34. La Semaine Du Web - 2013 WordPress Algérie Chouchoutez vos fichiers sensibles ! • “wp-config.php” • “.htaccess”
  • 35. La Semaine Du Web - 2013 WordPress Algérie Protéger wp-config.php • Erreurs PHP qui offrent l’accès au fichier wp-config.php • Le fichier wp-config.php peut-être protégé par des clés de sécurité alors pourquoi s’en priver ? • Générer et y insérez les grâce au lien :https://api.wordpress.org/secret-key/1.1/salt/ • Reconnecter sur vos bloc après cette manipulation
  • 36. La Semaine Du Web - 2013 WordPress Algérie Exemple de clefs d’authentification et salage
  • 37. WordPress Algérie La Semaine Du Web - 2013 Protéger .htaccess • Restreindre les droits d’accès au seul propriétaire – A partir d’un navigateur FTP ( ex: Filezilla)« Droit d’accès au fichier » => 644 – Grâce à WP Security Scan • Protégez votre fichier .htaccess
  • 38. WordPress Algérie Masquez votre version !! Mais pourquoi ?
  • 39. La Semaine Du Web - 2013 WordPress Algérie Masquez votre version • Editer le fichier functions.php : présent dans votre thème (dans /wp-content/themes/VotreTheme) et ajouter: • Editer le fichier header.php en supprimant la ligne : • Autre alternative : l’extension Better security WP. • Jouer avec vos assaillants en leur mentant sur la version que vous utilisez avec le plugin Replace WP-Version ;)
  • 40. La Semaine Du Web - 2013 WordPress Algérie Empêcher les attaques par Brute Forcing : • Bloquer les tentatives multiples de connexions au panneau d’administration • Remédier à cela en utilisant le plugin Login LockDown .
  • 41. La Semaine Du Web - 2013 WordPress Algérie Limiter le nombre de tentatives de connexions • Blocage par adresse IP ne sera pas efficace • Une meilleure alternative consiste à activer une authentification en 2 temps (2-factor authentication) : • Plugin pour le mettre en place rapidement sur votre site : Google Authenticator.
  • 42. La Semaine Du Web - 2013 WordPress Algérie Désactiver Windows Live Writer ) : • WordPress vous offres la possibilité de publier vos articles via Une ligne de Windows Live Writer. code suspecte • Supprimer les lignes indésirables se cache ici ! • Editer le fichier functions.php:
  • 43. La Semaine Du Web - 2013 WordPress Algérie Attention à failles TimThumb • Script TimThumb . • Ré-écrire le fichier .htaccess • Le plugin TimThumb Vulnerability
  • 44. La Semaine Du Web - 2013 WordPress Algérie Quelques précautions supplémentaires • Ne laisser aucune donnée sensible dans wp-content ! – Ex: L’archive de base de données que certains plugins comme WPbackup le stockent dans wp-content. • Supprimer tous les utilisateurs inactifs à fort pouvoir (administrateur).
  • 45. La Semaine Du Web - 2013 WordPress Algérie Des plugins à votre secours ! • Better WP Security • WP-Scurity Scan • TAC (Theme Authenticity Checker)
  • 47. La Semaine Du Web - 2013 WordPress Algérie Masquer les erreurs de connexion • Renforcer la sécurité en masquant les erreurs de connexion affichés lors de tentative infructueuse. => Eviter de divulguer les messages aux yeux de tous • Editer le fichier functions.php de votre thème et d’y ajouter: • Recommencer cette manipulation Si vous changiez de thème.
  • 49. La Semaine Du Web - 2013 WordPress Algérie Antivirus pour Wordpress: Wordfence • • • • Gratuit & Puissant Analyse en profondeur un site Wordpress Accès au fichier incriminé pour rapidement faire le ménage Visualiseur géolocalisé et en direct du trafic de votre site
  • 50. La Semaine Du Web - 2013 WordPress Algérie Anti-Malware (Get Off Malicious Scripts) • Anti-Malware/Anti-virus Plugin • Solution prometteuse !
  • 51. WordPress Algérie La Semaine Du Web - 2013 Theme check • Utilitaire simple et efficace pour analyser votre thème • Un très bon outil
  • 52. La Semaine Du Web - 2013 WordPress Algérie WordPress Firewall 2 • • • • • • • Bloquer les directory traversals Bloquer les requêtes d’injection SQL Bloquer les termes spécifiques ( wp_, user_login, etc.) Bloquer l’upload de fichier .exe, .php Avertir par mail en cas de tentatives d’attaques Rediriger les attaques vers une page 404 ou la page d’accueil Et bien d’autres fonctionnalités que je vous laisse découvrir….
  • 53. WordPress Algérie La Semaine Du Web - 2013 C’est la vie ! • En dépit de toutes précautions le risque ne sera jamais nul ! le risque zéro n'existe pas... • Pour prévenir toute mauvaise surprise, il convient de faire des backups régulièrement. • Le plugin WP-Database Backup est une bonne solution !
  • 54. La Semaine Du Web - 2013 WordPress Algérie SLIMANI Nour EL Houda  PhD Student at Laboratory of Research in Artificial Intelligence LRIA, USTHB.  Wordpress Member  Web developper  Just Me ;) WordPress