Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

Sécuriser WordPress – Les thèmes

Sécuriser WordPress – Les thèmes

Pour faire écho à mes recommandations de la dernière fois sur les plugins, abordons aujourd'hui le sujet des thèmes et de la sécurité.

Vous le savez, les pirates ne manquent pas d'imagination pour prendre le contrôle de votre serveur. Et pour cela, ils ont trouvé un moyen assez simple d'infecter votre site : Les thèmes gratuits.

Bien que ce ne soit pas le cas de tous les thèmes gratuits, il arrive assez fréquemment que certains thèmes WordPress distribués gratuitement via  des sites à petite réputation, contiennent dans leur code des passages codés (en base64, en rot13 ou autre...). Indéchiffrable à l'oeil nu, ces parties encodées contiennent le plus souvent des liens de spam ou du code malicieux.

base64 650x147 Sécuriser WordPress – Les thèmes

Si vous ne me croyez pas, je vous invite à lire cet article qui passe en revue des sites proposant des thèmes gratuits. Et le résultat est sans appel puisque 80% des sites testés proposent des thèmes contenant des parties chiffrées. Tous ne sont pas dangereux (parfois ce sont juste des copyrights) mais il est difficile pour un débutant de s'y retrouver. N'espérez pas non plus qu'en retirant ces codes, le thème continue de fonctionner. En général, c'est tellement bien fait que ce sont des morceaux entiers (HTML, code PHP...etc.) qui sont codés de cette manière.

Pour savoir si votre thème contient des instructions de décodage base64, ouvrez un terminal et lancez la commande suivante pour rechercher à l'intérieur des fichiers de votre thème l'instruction base64_decode.

grep -inHR base64_decode * | cut -d':' -f1,2

Et si vous tombez sur du code base64 que vous souhaitez déchiffre par curiosité, vous pouvez utiliser ce décodeur. Mais attention, parfois le codage utilisé est différent, c'est pourquoi il vaut jeter soi-même un oeil dans les fichiers. Autrement, il existe un plugin qui s'appelle Theme Authenticity Checker qui permet de scanner les fichiers sources de vos thèmes à la recherche de code malicieux. A tester !

Préférez donc les thèmes mis à disposition sur le site officiel de WordPress, sur des sites connus comme WPTrads, Theme Shaper, WPThemes, ThemeLab, Theme Hybrid ou optez pour un thème payant fait par un professionnel.

themeforest Sécuriser WordPress – Les thèmes

Il se peut aussi que dans le thème que vous avez choisi, il y ait un lien visible par tous les internautes, qui pointent vers votre interface d'admin ou vers la page de création de comptes.

connex Sécuriser WordPress – Les thèmes

Ces liens vont attirer l'attention du pirate qui passera par là. Pensez donc à les supprimer en retirant le widget Meta ou si les liens ne sont pas en sidebar, en éditant les fichiers de votre thème .

Et si cela est possible pour votre thème, pensez à le mettre à jour régulièrement. Attention à ne pas écraser vos modifs ! Pour éviter ce genre de fausse manip, je vous recommande de créer un thème "Enfant" qui héritera des fonctionnalités de votre thème principal et vous permettra de faire des modifs sans modifier le thème principal.

À très bientôt pour la suite !

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Des t-shirts de geeks à gagner

Des t-shirts de geeks à gagner

Si vous êtes le genre de geek qui fait attention à son apparence, et qui ne peut s'empêcher de passer des heures sur la toile à la recherche du T-shirt ultime, j'ai une excellente nouvelle à vous annoncer.

Les petits gars de Tostadora, lecteurs de Korben.info et super boutique de t-shirts, m'ont proposé de vous faire gagner quelques t-shirts. Du coup, comme ça faisait longtemps, je me suis dit qu'un petit Kontest ne ferait pas de mal.

Pour participer, il suffit tout simplement d'entrer votre adresse email dans le widget ci-dessous et les gagnants seront contactés par mail. Vous avez jusqu'au 30 novembre pour participer.

Et histoire de ne pas perdre de temps, je vous invite à parcourir leur boutique, car il y a un paquet de trucs bien barrés comme ce t-shirt Olive et Tom ou Wolvenion.

tosta Des t shirts de geeks à gagner

Je sens que les idées cadeaux pour Noël vont fuser et si vous ne trouvez rien, vous pouvez toujours créer vos propres t-shirts (ou autres vêtements) en uploadant vos visuels sur leur site. Et pour ceux qui n'ont pas d'idées, voici 25 000 comics à votre disposition.

Merci à eux !

PS : Ça me fait penser que je n’ai toujours pas acheté mon t-shirt "I'm not a princess, i'm a Khalëësi"... :-D

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Le client con

Le client con

Parfois je me dis que y'a vraiment un type qui a foutu un beau bordel un peu similaire. Enfin, je dis un, mais si ça se trouve, ils s'y sont mis à plusieurs.

Bravo à la team FrenchBall pour ce nouveau court-métrage de génie !

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Mario est méchant (encore !)

Mario est méchant (encore !)

Mario c'est vraiment un connard ! Quoi, vous ne me croyez pas ?

Alors regardez ce nouvel épisode de Super Bad Mario :

Et pour le plaisir, je vous remets l'épisode 1.

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Le procès de l’humour ?

Le procès de l’humour ?

Vous vous souvenez de Rachida Dati ? Moi à peine, si ce n'est pour ses lapsus. M'enfin peu importe puisque je suis certain que vous vous souvenez du site Tweetpop.fr qui permettait de générer de faux communiqués sur le site de Dati.

Comment ça fonctionnait ? Et bien parce que la dame, enfin plutôt ses développeurs, ont fait preuve de négligence en terme de sécurité, il y avait sur le site une faille XSS qui permettait simplement en entrant des conneries dans l'URL, d'afficher ces mêmes conneries sur le site.

Cela a donné lieu à des tonnes de blagues potaches, surtout après la mise en ligne de Tweetpop.fr qui facilitait cela.

Pour être totalement clair, ce service ne permettait pas de pirater le site de Dati, ni d'en modifier les bases et il n'y avait aucune intrusion de quelque sorte que ce soit. Tout se passait en local sur le navigateur de celui qui cliquait sur ces liens.

151694 Le procès de lhumour ?Image : Génération NT

De plus, les fake générés n'étaient pas visibles de tous. Il fallait s'échanger les liens pour profiter de la blague. Malheureusement pour les 2 auteurs de ce coup de génie, il y a eu plainte et le procureur demande 3 mois de prison avec sursis pour "intrusion frauduleuse de données dans un système de traitement automatisé" et "usurpation d'identité".

Seulement, voilà. Il n'y a pas eu d'intrusion frauduleuse de quelque nature que ce soit. Et en ce qui concerne l'usurpation d'identité, la définition est assez vague puisque cela consiste à, je cite "faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération"

Alors oui y'avait la tête de Dati sur le site. Mais son logo avait été remplacé par un autre logo "humoristique". C'était de l'ordre du pastiche. S'il y a eu atteinte à l'honneur, c'est par ceux qui ont utilisé le service Tweetpop pour écrire leur prose plus ou moins délicate. De plus, les modifications étant uniquement en local (et pas sur le serveur de Dati), personne ne pouvait tomber dessus, même par hasard. Il fallait pour cela que l'auteur partage le lien avec son cercle plus ou moins étendu d'amis.

C'est un peu comme si un tribunal attaquait Adobe parce que j'ai utilisé Photoshop pour modifier une photo officielle d'un homme ou d'une femme politique et que j'avais partagé ce pastiche sur Twitter.

Mais que voulez-vous ? Le Président du Tribunal a estimé que leur humour était "stupide" et que l'exploitation de cette faille "n'avait fait rire personne". Je ne suis pas d'accord avec lui, mais peu importe, je ne crois pas qu'avoir un humour qui ne colle pas avec celui d'un Président de Tribunal soit pour le moment un délit. (Ou alors, je n'ai pas reçu le mémo).

À mon avis, ceux qui ont le dossier entre les mains foncent tête baissée sans se poser les bonnes questions. Ils réagissent à chaud et comme il n'y a rien dans la loi qui permette de condamner les auteurs de Tweetspop, ils nagent en eaux troubles sur ces histoires bidons "d'usurpation d'identité" et "d'intrusion frauduleuse de je sais pas quoi dans je sais pas quoi".

Bref, on verra si ça passe.

Suite de cette aventure le 18 décembre.

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

Quoi de neuf Hong Kong ?

Quoi de neuf Hong Kong ?

Si vous avez le vertige, ne regardez pas la vidéo ci-dessous. Mais attention, il ne s'agit pas d'une énième vidéo de Russes se suspendant dans le vide au sommet de grattes ciels.

Enfin oui, il s'agit bien de Russes sur un gratte-ciel, mais vous allez voir, il y a un petit côté "hacking" qui est plutôt cool ;-). On appréciera aussi de prendre de la hauteur grâce à leur drone.

Source

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email Flattr ! Bitcoin DogeCoin

  • Articles populaires

  •  
  • Univers Populaires

  • Inscrivez-vous à la newsletter

  • DANS TON CHAT (BASHFR)

    Unknown: si seulement tout le monde pouvait se trimballer avec ses évaluations au dessus de la tête, comme sur eBay, la vie serait quand même beaucoup plus simple...

    -- http://danstonchat.com/6096.html
  • Inscrivez vous aux bon plans

  • RSS Emplois sécurité

  • Site hébergé par
    Agarik Sponsor Korben
  • RSS Offres d’emploi

  • Swiis

  • Articles récents

  • En ce moment dans l'univers "Domotique"

    Voir tous les articles »

    En ce moment dans l'univers "Android"

    Voir tous les articles »