Korben, roi d’internet, logo bébé avec des lunettes en mode thug life Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

Korben Upgrade your mind

Sécuriser WordPress – Les thèmes

Ce travail sur WordPress a été rendu possible grâce au soutien d'Ikoula.

Pour faire écho à mes recommandations de la dernière fois sur les plugins, abordons aujourd’hui le sujet des thèmes et de la sécurité.

Vous le savez, les pirates ne manquent pas d’imagination pour prendre le contrôle de votre serveur. Et pour cela, ils ont trouvé un moyen assez simple d’infecter votre site : Les thèmes gratuits.

Bien que ce ne soit pas le cas de tous les thèmes gratuits, il arrive assez fréquemment que certains thèmes WordPress distribués gratuitement via  des sites à petite réputation, contiennent dans leur code des passages codés (en base64, en rot13 ou autre…). Indéchiffrable à l’oeil nu, ces parties encodées contiennent le plus souvent des liens de spam ou du code malicieux.

base64

Si vous ne me croyez pas, je vous invite à lire cet article qui passe en revue des sites proposant des thèmes gratuits. Et le résultat est sans appel puisque 80% des sites testés proposent des thèmes contenant des parties chiffrées. Tous ne sont pas dangereux (parfois ce sont juste des copyrights) mais il est difficile pour un débutant de s’y retrouver. N’espérez pas non plus qu’en retirant ces codes, le thème continue de fonctionner. En général, c’est tellement bien fait que ce sont des morceaux entiers (HTML, code PHP…etc.) qui sont codés de cette manière.

Pour savoir si votre thème contient des instructions de décodage base64, ouvrez un terminal et lancez la commande suivante pour rechercher à l’intérieur des fichiers de votre thème l’instruction base64_decode.

grep -inHR base64_decode * | cut -d’:’ -f1,2

Et si vous tombez sur du code base64 que vous souhaitez déchiffre par curiosité, vous pouvez utiliser ce décodeur. Mais attention, parfois le codage utilisé est différent, c’est pourquoi il vaut jeter soi-même un oeil dans les fichiers. Autrement, il existe un plugin qui s’appelle Theme Authenticity Checker qui permet de scanner les fichiers sources de vos thèmes à la recherche de code malicieux. A tester !

Préférez donc les thèmes mis à disposition sur le site officiel de WordPress, sur des sites connus comme WPTrads, Theme Shaper, WPThemes, ThemeLab, Theme Hybrid ou optez pour un thème payant fait par un professionnel.

themeforest

Il se peut aussi que dans le thème que vous avez choisi, il y ait un lien visible par tous les internautes, qui pointent vers votre interface d’admin ou vers la page de création de comptes.

connex

Ces liens vont attirer l’attention du pirate qui passera par là. Pensez donc à les supprimer en retirant le widget Meta ou si les liens ne sont pas en sidebar, en éditant les fichiers de votre thème .

Et si cela est possible pour votre thème, pensez à le mettre à jour régulièrement. Attention à ne pas écraser vos modifs ! Pour éviter ce genre de fausse manip, je vous recommande de créer un thème « Enfant » qui héritera des fonctionnalités de votre thème principal et vous permettra de faire des modifs sans modifier le thème principal.

Dans la série, Sécuriser WordPress:


Démarrer la discussion sur Korben Communauté

Installer le shell Bash (Linux) sous Windows 10

L’année dernière, ça ne vous a pas échappé, Bash a fait son apparition sous Windows 10. C’est pour moi, la meilleure chose qui soit arrivée à Windows depuis un moment, car ça permet de lancer des outils Linux et de développer ses propres scripts Shell directement sous Windows. Le pied !

Mais même si c’est parfaitement fonctionnel, il faut quand même…

Lire la suite


Plus de 60 idées pour votre Raspberry Pi

Nous sommes nombreux à nous être procuré un petit ordinateur Raspberry Pi pour nous lancer dans des projets de ouf malade… C’est très cool, mais à part le classique Media Center XBMC, qu’avez-vous fait avec votre Raspberry Pi ?

Si vous séchez niveau idées, voici une petite sélection…

Lire la suite


Une astuce pour rendre Windows 10 plus rapide

Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin.

Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé « Performances ». Puis cliquez sur « Régler l’apparence et les performances de Windows » …

Lire la suite


Changer d’adresse IP rapidement

Une petite astuce pour ceux qui ne connaissent pas. Comment changer d’adresse IP à la volée.
Il suffit d’en demander une nouvelle à son provider si celui-ci accepte les IP dynamiques. Pour vérifier que vos manipulation ont eu l’effet escompté, vérifiez quelle est votre adresse IP….

Lire la suite