Commentaires sur : 6 techniques pour éviter de se faire pirater un blog sous WordPress

Par : mouton

mouton — Mon, 11 Jul 2011 21:41:14 +0000

Hier on m’a piraté deux blogs WP, j’ai suivi ce tuto pour l’un des deux et devinez quoi… Ce soir j’en ai un seul de piraté sur les deux

Merci Korben pour ces infos et à 1ace.

Par : nursing schools online

nursing schools online — Sat, 09 Jul 2011 00:23:53 +0000

Your blog is fine. I just want to comment on the design. Its too loud. Its doing approach an excessive amount of and it takes away from what youve received to say –which I think is de facto important. I dont know when you didnt suppose that your words could hold everyones consideration, but you have been wrong. Anyway, in my language, there are not a lot good source like this.

Par : inconnu mais que tu connais

inconnu mais que tu connais — Mon, 04 Apr 2011 10:16:48 +0000

Je pense que c’est un très bon site!

Par : qjc133202

qjc133202 — Sun, 20 Mar 2011 02:29:06 +0000

Korben nous propose 6 techniques pour éviter de se faire pirater un blog sous WordPress

Par : Se protéger du hack wordpress 2.8.3 qui réinitialise le mot de passe

Se protéger du hack wordpress 2.8.3 qui réinitialise le mot de passe — Tue, 11 Aug 2009 06:41:58 +0000

[...] Sinon, une autre technique consiste à simplement placer un htaccess et un htpasswd sur votre serveur pour ajouter un niveau de protection. Puis allez lire ces quelques (vieux mais toujours valables) conseils sur la façon de sécuriser son blog. [...]

Par : yannick

yannick — Mon, 24 Nov 2008 20:51:16 +0000

jai un souci avec un blog on me deplace, mes photo je ai pas comment jai spybot peerguardian et avg pouvez vous mindiket un des bon moyen de protection ou logiciel

Par : Modérez les commentaires Wordpress sans utiliser l’interface d’admin | Korben

Mon, 27 Oct 2008 08:30:17 +0000

[...] vous avez un blog et que vous utilisez WordPress, vous validez peut être les commentaires sur vos articles à priori… c’est à dire [...]

Par : Plugins et astuces pour sécuriser et optimiser WordPress

Plugins et astuces pour sécuriser et optimiser WordPress — Sun, 31 Aug 2008 03:56:08 +0000

[...] 6 techniques pour éviter de se faire pirater un blog sous WordPress (Korben, 27/07/0 [...]

Par : styza

styza — Sun, 24 Aug 2008 14:50:23 +0000

bonjour

J’ai une petite question concernant la sécurité des mots de passe.
Sous Firefox j’enregistre toujours les mots de passe de mes comptes qui sont protégés par un mot de passe principal assez costaud.
Est ce que cette protection est suffisante ?
NB : je suis sous Linux

Par : Tester la sécurité de votre Blog : Le Journal du Blog

Tester la sécurité de votre Blog : Le Journal du Blog — Mon, 11 Aug 2008 07:03:47 +0000

[...] En complément, nous vous invitons également à consulter l’excellent article de Korben : 6 techniques pour éviter de se faire pirater un blog sous WordPress addthis_pub = ‘YOUR-ACCOUNT-ID’; addthis_logo = ‘http://www.addthis.com/images/yourlogo.png'; [...]

Par : C'est les vacances !! Mais je ne vous laisse pas seul. | TSPS

C'est les vacances !! Mais je ne vous laisse pas seul. | TSPS — Fri, 01 Aug 2008 13:11:57 +0000

[...] Korben nous propose 6 techniques pour éviter de se faire pirater un blog sous WordPress [...]

Par : Mathias

Mathias — Tue, 29 Jul 2008 12:55:13 +0000

Le greffons sont une « bonne » source de faiblesses, surtout quand le répertoire n’est pas protégé : http://fr.search.yahoo.com/search?p=inurl:/wp-content/plugins/

Par : Bertrand

Bertrand — Mon, 28 Jul 2008 16:19:25 +0000

Bonjour,
il y a aussi ce site pour tester son mot de passe:
http://www.passwordmeter.com/

Par : Korben

Korben — Mon, 28 Jul 2008 07:48:05 +0000

@Piwaï: hop Sécuriser son installation de Wordpress

Par : Piwaï

Piwaï — Mon, 28 Jul 2008 07:34:55 +0000

Merci pour ces infos !

PoP (ou Korben) : Ya moyen que tu balances le lien sur ce White paper ?

Sinon, je viens d’installer un WP 2.6 tout neuf et..

- tout d’abord, au départ on a pas le choix du mot de passe pour le compte admin, et c’est un mot de passe plutôt coriace qui est généré.

- ensuite, le répertoire /wp-content/plugins/ n’est pas accessible, et pourtant j’ai strictement rien changé.

- fail2ban : j’aime beaucoup ce truc, mais moi il me sert que pour l’authentification Ssh il me semble.. WP met des logs de tentatives d’authentification quelque part ? Parce qu’avec fail2ban, on peut définir un pattern (regex) pour lire les logs, et ensuite bloquer les ip qui tentent de s’authentifier. Quelqu’un l’a déjà fait ? Toute solution est bienvenue .

- Sinon, comme je l’ai dit je viens d’installer un WP, et je trouve que quand on débarque, on sait pas trop par où commencer au niveau configuration et plugins « essentiels ». Ta ptet fait déjà des articles à ce sujet, mais le nombre d’articles que tu as fait sur WP est phénoménal, et les choses évoluent vite.. vous avez des liens sympa ?

Par : PoP

PoP — Mon, 28 Jul 2008 07:01:38 +0000

Perso j’ai utilisé le white paper que tu as déjà présenté sur ton blog pour configurer mon wordpress. Des .htaccess pour bloquer l’accès aux wp-content et consors, du HTTPS pour le login, mots de passe générés aléatoirement,…

Par : 1ace

1ace — Mon, 28 Jul 2008 00:26:35 +0000

@Unicornis: j’ai jamais entendu que DC soit plus fiable que WP (je ne me suis pas spécialement renseigné non-plus)
par contre, ce qui est sûr, c’est que la communauté qui entoure WP est beaucoup plus grande, ce qui fait plus de personnes pour voir les failles, et donc aussi plus de personnes pour les corriger

Par : Le retour de la compil…

Le retour de la compil… — Mon, 28 Jul 2008 00:22:07 +0000

[...] Quelques règles de base pour éviter de se faire hacker son blog sous WordPress [...]

Par : Unicornis

Unicornis — Sun, 27 Jul 2008 23:41:10 +0000

DotClear n’est il pas plus fiable ?
Si c’est le cas pourquoi utiliser WordPress ?

Par : hichamsoft

hichamsoft — Sun, 27 Jul 2008 23:40:20 +0000

Extrêmement intersectant merci korben ça tombe à pique un petit lamer veux hacker mon blog

Par : Korben

Korben — Sun, 27 Jul 2008 22:42:23 +0000

@Rahim: Merci Rahim... toujours de bons tuyaux

Par : Rahim

Rahim — Sun, 27 Jul 2008 22:15:50 +0000

Petit papier que j’ai écris sur la sécurisation de sites (+CMS) ici :

http://www.rahimblakblog.fr/how-to-be-secure/

(A destination de tout esprit curieux voulant en savoir un peu plus sur la chose :p)

Par : Jérôme

Jérôme — Sun, 27 Jul 2008 21:10:42 +0000

« Mais attention avec les plugins car ils sont bien sûr le premier vecteur d’insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installé. Pensez aussi à les mettre à jour. »

je plussoie fortement: mon blog fut défacé par injection sql en passant par une faille sql d’un plugin :s

Sinon avec wordpress 2.6, si vous avez mis à jour depuis une version précédente, il faut ajouter un bout de code dans wp-config.php et y mettre une passphrase, c’est un paramètre supplémentaire d’authentification:

define(’AUTH_KEY’, ‘mettez votre expression unique ici’);
define(’SECURE_AUTH_KEY’, ‘mettez votre expression unique ici’);
define(’LOGGED_IN_KEY’, ‘mettez votre expression unique ici’);

Par : 1ace

1ace — Sun, 27 Jul 2008 20:28:08 +0000

de rien

sinon, pour générer un vrai pass bien fiable, rien ne vaut:
cat /dev/urandom | head -c16; printf "\n"
…
quoi, trop compliqué ? bon, d’accord:
toujours pas convaincu ? remplaçez « -c16 » par « -cX » pour que le pass fasse X caractères de long, et remplaçez « A-Za-z0-9 » par la plage de caractères que vous voulez



Par : petitchevalroux
petitchevalroux — Sun, 27 Jul 2008 19:52:55 +0000
Héhé  un bon ouvrier s’équipe avec de bons outils 


Par : Korben
Korben — Sun, 27 Jul 2008 19:46:51 +0000
@petitchevalroux: Fail2ban, je confirme, c’est de la boulette !  Mais encore faut il disposer d’un serveur dédié 


Par : petitchevalroux
petitchevalroux — Sun, 27 Jul 2008 19:41:24 +0000
Pour éviter le bruteforce vous pouvez aussi utilisez le daemon fail2ban qui est un indispensable pour la secu  


Par : touriste
touriste — Sun, 27 Jul 2008 19:26:55 +0000
ouai c’est sympa tout ca 
 un bon mot de passe c’est le plus important, après cacher la version un peu moins…
 à titre d’exemple j’ai généré une liste comprenant toutes les possibilités de 0 à 9 + a à z (minuscule) en 6 caractères, et ca prend tout de même 17Go le dico décompressé…
 Mais 5 caractères simplement en minuscule (de a à z) la c’est quand même du petit dico rapide à passer…
Et après c’est sur que les pluggins plus y en a plus y a de risques  (et surtout plus de choses à surveiller en terme de « MAJ » 


Par : Korben
Korben — Sun, 27 Jul 2008 19:18:00 +0000
@AbriCoCotier: Ca m’est déjà arrivé oui mais c’etait un script automatisé qui m’a pourri mes pages avec des virus…etc
 Depuis je suis sur mon propres serveur, et je surveille ça de près 


Par : AbriCoCotier
AbriCoCotier — Sun, 27 Jul 2008 18:48:57 +0000
Merci Korben !
 Après le hackage de plusieurs blog récemment (je pense à SportsCafé et d’autres — toi aussi tu t’ai déjà fait hacker, nan ?), je commence à flipper…
 Bref : je vais commencer à sécuriser sec au niveau des mots de passes.
Par contre, @tous : j’ai déjà vu des attaques de trojan en temps réel, sur des machines à priori non infectés (via des techniques de Firewall que je ne peux pas expliquer ici) : c’est impressionnant.
 Bref : utilisez des OS sûr (les anti-virus & autres Firewall sur Windows ne fonctionnent jamais à 100%), comme… Linux (tapez « Ubuntu » sur internet).