Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Sécuriser WordPress – Attention au fichier wp-config.php

Ce travail sur WordPress a été rendu possible grâce au soutien d'Ikoula.

Le fichier wp-config.php contient toutes les informations confidentielles dont WordPress a besoin pour accéder à votre base de données et chiffrer les cookies. Il est donc primordial de correctement protéger ce fichier.

Changer les clés WordPress

WordPress chiffre les informations stockées dans vos cookies grâce à des clés de sécurité conservées dans le fichier wp-config.php. Ces clés sont très importantes et c’est pourquoi vous devez les changer.

lol

Pour cela, vous pouvez au choix inventer vos propres clés ou les générer de manière aléatoire grâce à l’outil suivant.

Remonter le wp-config.php d’un niveau

Par défaut, le fichier wp-config.php se trouve à la racine de l’installation WordPress. Mais sachez qu’il est possible de le placer au niveau du répertoire supérieur sans rien changer d’autre. Cela permet se sortir ce fichier de la racine du serveur web et d’éviter en cas de souci qu’un pirate ne puisse le lire.

Ça peut vous paraitre inutile, car par défaut, ce genre de fichier n’est pas lisible et accessible uniquement par PHP mais si par erreur, vous désactivez PHP, n’importe qui pourra lire les fichiers PHP comme si c’était de vulgaires fichiers texte. Vous l’aurez compris, votre wp-config.php livrerait alors les mots de passe à la base de données et les clés pour les cookies, ce qui serait une très mauvaise nouvelle pour vous.

Une autre technique consiste à placer ce fichier sur votre serveur à l’endroit de votre choix (vraiment n’importe où, par exemple dans le répertoire /var/www/conf/) puis de créer un nouveau fichier wp-config.php vierge à la racine de WordPress (ou au niveau supérieur) et d’y ajouter un appel au fichier wp-config d’origine comme ceci :

<?php if ( !defined(‘ABSPATH’) ) define(‘ABSPATH’, dirname(__FILE__) . ‘/’); require_once(‘/var/www/conf/wp-config.php’); ?>

Le code contenu dans wp-config.php sera alors hors de portée des attaquants potentiels.

Bloquer l’accès au wp-config.php

Grâce à cela, il est très simple et rapide d’empêcher quiconque d’accéder au fichier wp-config.php. Pour ce faire, éditez (ou créez) le fichier .htaccess qui se trouve à la racine du répertoire de WordPress et ajoutez-y les lignes suivantes :

<Files wp-config.php> order allow,deny deny from all </Files>

Cela aura pour effet d’interdire la lecture de ce fichier via Apache.

Changer les droits d’accès

Une fois toutes ces modifications faites, vous pouvez changer les droits sur les fichiers wp-config et .htaccess. Ce que je vous recommande, c’est de leur mettre à tous les 2 des permissions en 644 avec la commande :

chmod 644 wp-config.php

chmod 644 .htaccess

644 signifie que l’utilisateur a accès en lecture écriture, et le groupe + le reste du monde a accès en lecture seulement.

Si vous avez d’autres astuces concernant le fichier wp-config.php, je serai heureux de les lire. Merci d’avance à tous !

Dans la série, Sécuriser WordPress:



Démarrer la discussion sur Korben Communauté

LNAV – Un visualisateur de fichiers de logs libre et pratique

LNAV (Logfile Navigator) est un outil dispo pour Linux et macOS qui permet de visualiser et de parcourir des fichiers de logs de manière agréable et efficace.
En plus de la coloration syntaxique, de la prise en charge de formats de logs standards (Syslog, CUPS, dpkg, sudo, strace…etc), LNAV est aussi capable de décompresser à la volée des logs zippés (ou gzippés ou bzippés) mais aussi de rassembler (merge) des logs segmentés pour en faciliter la visualisation.

Lire la suite



Une faille de sécurité dans les processeurs risque de diminuer jusqu’à 30% les performances des machines

La grosse news d’hier, ce n’était pas Logan Paul filmant un pendu au Japon, mais plutôt ce gros « problème » qui touche l’ensemble des processeurs Intel fabriqués durant ces 10 dernières années. Le problème est en réalité 2 failles de sécurité très importantes qui permettent à n’importe quel programme malicieux d’accéder en lecture à la mémoire utilisée par le kernel (le noyau de l’OS et ses modules interagissant avec le hardware).

Lire la suite



Bandwidth Hero – Surfez compressé pour économiser de la bande passante

Si vous êtes un peu juste en bande passante et que vous voulez accélérer un peu les choses, je vous propose aujourd’hui de jeter un œil à Bandwidth Hero.

Il s’agit d’une extension open source pour Chrome et Firefox qui fonctionne de concert avec un serveur proxy. Ce serveur proxy récupère chaque image que votre navigateur demande, la compresse au format WebP/JPEG en basse résolution et vous la renvoie ensuite directement.

Lire la suite