Bonjour à tous,

Comme vous l’aurez vraisemblablement remarqué, le site a eu quelques petits soucis ces deux derniers jours.
En cause : une faille de sécurité dans wordpress découverte par un de ces stupides robots de spammers…

Par conséquent, si vous avez un blog avec wordpress, voici quelques conseils :
- mettre à jour wordpress lors de mise à jours de sécurité. Ceci implique d’être au courant qu’il y a des failles de sécurité…
- cacher ou envoyer un mauvais numéro de version
- protéger wp-admin par via une authentification du serveur web :
.htaccess

AuthUserFile /etc/httpd/htpasswd
AuthType Basic
AuthName "restricted"
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any

- protéger wp-content et wp-includes via htaccess :

Order Allow,Deny
Deny from all
<Files ~ ".(css|jpe?g|png|gif|js)$">
 Allow from all
</Files>

- éviter d’utiliser le préfixe wp_ pour la base de donnée. Ceci permet d’éviter que les robots ne puissent exécuter des requêtes sql en cas de faille de sécurité trop facilement.
- éviter d’utiliser le login admin

Si vous avez d’autres propositions, elles sont les bienvenues

Source : http://blogsecurity.net/wordpress/article-210607/

Cet article a été publié le Friday 18 July 2008 à 8.34 am et est classé dans WordPress. Vous pouvez suivre les réponses reçues par cet article grâce au fil RSS 2.0. Vous pouvez laisser un commentaire, ou faire un trackback depuis votre site.