Pensez à empêcher la réinitialisation de votre WordPress

wordpress Pensez à empêcher la réinitialisation de votre Wordpress

J'ai vu à plusieurs reprises ces derniers temps que certains site sous WordPress étaient complétement planté à cause d'un crash de base de données...

En effet, parfois, suite à on ne sait pas trop quoi (les plugins ?), il arrive que la base (et notamment la table wp-options) se corrompe. Normalement, tout ceci est simplement réparable via MySQL mais pendant le temps où la base est HS, on voit sur les sites en question une jolie page d'install comme celle-ci :

wordpressinstall Pensez à empêcher la réinitialisation de votre Wordpress

Du coup, l'ennui avec ça c'est que le premier glandu qui passe sur votre site peut réinitialiser votre wordpress et mettre son propre email pour devenir admin.

La seule solution ? Empêcher l'accès au fichier /wp-admin/install.php soit en mettant un .htaccess de ce type sur votre FTP

<Files install.php>
 Order Allow,Deny
 Deny from all
 Satisfy all
</Files>

soit en supprimant complétement le fichier /wp-admin/install.php

Et voilà, on se sent un petit peu plus en sécurité comme ça non ?

Je vous recommande aussi la lecture des sujets suivants

Faites un lien vers cette news sur votre site

Une information, une correction, un complément à ajouter en privé ? Envoyez moi un petit mail à blog@korben.info. N'hésitez pas aussi à faire un tour sur Twitter, le forum, Google+ ou encore Facebook pour d'autres news.

http://www.tendances-de-mode.com TDM
En même temps, cette petite manip fait partie de tout mode d’emploi d’installation de wordpress qui se respecte, non ?
lossy
MODx’it, Drupalized, Silverstonize…
http://www.facebook.com/profile.php?id=1312397597 Fabrice Rainaut
@tdm : je dirais même que c’est la première étape
Mais c’est bon de le rappeler qd même.
http://www.facebook.com/profile.php?id=1519862313 Arnaud Esquiva
@TDM: Anéfé. Ils conseillent de le supprimer juste après l’installation si mes souvenirs sont bons. Mais c’est toujours bien de le rappeler.
Perso, j’ai un truc bien avec mon hébergeur, c’est la sauvegarde automatique de mes bases de données, et ce, toutes les 24h. Donc à la limite, même si mon WordPress est réinitialisé, j’ai toujours les sauvegardes sous le coude ; )
http://www.rick-hunter.com/ Rick Hunter
Oui, dès que tu as fini l’installation, tant que tu n’as pas effacé le fichier ou le répertoire, la plupart des CMS te disent de le faire (en rouge, gras et encadré!).
http://www.insolegeek.com inso
C’est le cas pour IPB, pour dotclear aussi me semble. WordPress ne te le rappelle pas…
http://www.blogdesignlab.com Blog design Lab
Effectivement on a tendance à oublier ce point pourtant crucial dans la sécurité d’un WP
http://www.facebook.com/profile.php?id=694976753 Séverin Moussel
Merci, ho! grand Korben pour cette astuce incontournable immédiatement appliquée sur mes sites.
http://www.facebook.com/profile.php?id=851929332 Pakito Garrigues
Perso, j’avais déjà supprimé le fichier, mais j’ai ajouté les quelques lignes de code dans le .htaccess, pour la simpe et bonne raison que lors de la dernière mise à jour WordPress (2.7 vers 2.7.1 il me semble), le fichier install.php est revenu se foutre dans le dossier « wp-admin », et donc par conséquent, nous sommes vulnérables à chaque mise à jour (enfin, si on suit la logique selon laquelle le fichier revient).
Donc si jamais je ne pense pas à l’effacer de suite après la m@j, il n’est tout de même pas accessible !
http://www.acquatofana.fr Lousia
Merci pour le conseil…
J’ai eu ça sur un blog y’a pas longtemps… Un peu flippant !
http://www.acquatofana.fr Lousia
Oh tiens en validant mon commentaire juste au-dessus je viens d’avoir une merveilleuse page blanche…
Avec l’adresse korben.info/wp-comments je crois.
Ouille !
http://www.korben.info Korben
ok je teste
http://www.korben.info Korben
Merci Lousia, ça devrait etre réglé now !
seeeb
Merci, je n’avais jamais entendu parler de ça, pourtant anéfé ça tombe sous le sens… Je cours le faire tout de suite^^
http://wesley.klein.free.fr/ Durden
Merci korben, k’avais zapé de le faire.
Honte sur moi!
Allez y fouettez moi
http://ifisdead.net/ if is Dead
Outch, c’est quoi ce choix technique de la part de wordpress ? :/
http://www.acquatofana.fr Lousia
Pleasure is mine ! Ça ne me l’avait jamais fait avant cela dit.
http://www.in-live.tk Marseillais
salut, merci de l’info. Venant d’installer WordPress je n’avez pas pensé a cela. Je le fais de suite et fait passer le message
http://pomme-poire.fr Oleiade
Looooool, crash de WordPress comme on se retrouve, figure toi Korben que ce truc m’est arrivé il y a peu à cause d’un module de newsletter que j’avais codé, et dont WordPress ne voulait pas entendre parler ^^.
Au vu de la difficulté de modification du code WordPress, je l’ai laissé lui et son crash pour rejoindre Drupal. Et depuis, c’est étrange plus de souci
A bon entendeur, code is poetry but wordpress can’t speak ^^
http://www.alti.info Hadrien.eu
Vraiment d’la merde WordPress. Au moins, chez DC, pas de faille : http://www.alti.info/admin/install
http://www.insolegeek.com inso
@Hadrien.eu: ca sert à rien de rentrer dans un débat WP/DC… Chacun on leurs atouts…
Je suis certain que DC a des failles que WP n’a pas.
http://www.alti.info Hadrien.eu
Certes, mais elles seront plus faciles à trouver vu que WP est pédicodé…
Raito Kun
Joomla aussi interdit d’accéder au site avant d’avoir supprimé le répertoire d’installation complètement.
http://www.semageek.com semageek
Perso, j’ai eut un crash de base de données une fois, il faut se méfier en bidouillant trop de plugins, mais bon rien de grave qui ne soit réparable directement en accédant directement à la base de donnée.
En tous cas merci Korben, ça m’a surtout fait penser que ça fait un petit moment que je n’ai pas fait de sauvegarde… Allez je la lance de suite…
En tous cas si qq’un connait un bon moyen de sauvegarder l’intégralité du serveur via ftp ainsi que la Bdd en automatique, je suis preneur…
http://roget.biz Thierry roget
merci vraiment pour l’information, j’ai eu le coup 3 fois, ce que j’avais trouvé pour y remédier c’est de nettoyer mes bases. Pour l’anecdote, quelqu’un m’a écrit pour me dire qu’il s’était mis en admin sur mon blog et que ça ne devait pas être très normal. Y a pas que des gens malhonnêtes sur le web!
http://www.cinematon.fr William
Merci Korben pour l’info, ça évitera aux petits malins de nous faire des misères. Il faut mieux rester prudent sur le web!
Merci
http://www.tuxboard.com Joe Le Mort
J’avais fait moi même ce htaccess. Je n’ai pas pensé à en parlez chez wordpress. Un oubli de chez eux ?
@Thierry roget: t’en a de la chance
http://www.wherearetheothers.com yul
Merci Korben !
Etape super importante effectivement !
http://mfstudios.tk TheKidHackAndCo
Qui après avoir lu ça a essayé sur Korben.info ?
Pingback: Couteau Suisse N°32 la série des trouvailles
Pingback: L’hebdo WordPress : VideoPress, thèmes et astuces | WordPress Francophone
http://cui.burp.fr/ Comme une image
On peut aussi virer le fichier de réinstall, hein, ça va plus vite, ou encore faire un .htaccess un peu plus subtil pour autoriser sa propre adresse IP.
M’enfin, la faille de sécurité (n’en déplaise au trolleur DC) est quand même assez faiblarde. Si jamais ça arrive, un petit coup de PhpMyAdmin et on renvoie l’usurpateur jouer dans les jupes de sa mère.
Pingback: L’hebdo WordPress : VideoPress, thèmes et astuces
http://nferon.fr nferon
congratulati korben tu entre dans lhebdo au passage tu as un problème de caractère dans ta base de donne il me semble http://www.wordpress-fr.net/blog/wordpress/lhebdo-wordpress-videopress-themes-et-astuces
http://www.concepteurmultimedia.ch/~nsaurer/ Neif
Et biensûr ça vient de m’arriver!!! Est-ce que il y a un moyen de tout récupérer??
Je serais éternellement reconnaissant à une aide!! =(

Pensez à empêcher la réinitialisation de votre WordPress

Je vous recommande aussi la lecture des sujets suivants

Faites un lien vers cette news sur votre site

Retrouvez Korben sur ces réseaux

Articles populaires

Inscrivez-vous à la newsletter

Promo

Offres d’emploi

Sponsor serveur

Quoi de neuf sur le forum ?

Partenaires

Actu en live