WordPress, sécurité, Plugin – Plugin pour contrôler la sécurité de votre site sous WordPress
Il est certain que choisir WordPress comme CMS pour un site professionnel nécessite de se préoccuper un peu de la sécurité de votre futur site. Sans tomber dans l’excès en affirmant qu’il faut au mieux 100% de sécurité ce qui on le sait est infaisable quel que soit le CMS choisi, on peut avoir grâce à cette sélection de plugins une plus grande lisibilité sur les enjeux de sécurité et une meilleure idée sur les quelques mesures pour parer à toutes éventualités afin de dormir sur vos deux oreilles.
Bien évidemment, il faut autant que faire se peut mettre à jour votre WordPress et de ne pas laisser s’écouler un temps infini entre les différentes sorties de WordPress. Pourquoi ? Car chaque nouvelle version livrée de WP amène son lot d’améliorations et d’avancées en terme de sécurité notamment.
1. WP Security Scan
Ce plugin vous permet de voir l’état général de votre WP en terme de sécurité ainsi que la plate-forme sur laquelle vous faites tourner votre WP. Il est probable que vous puissiez connaitre des ratés si vous êtes sur une plate-forme d’hébergement mutualisée car vous êtes susceptibles de ne pas voir tous les droits en lecture et en écriture sur le serveur notamment.
Une des recommandations que fait le plugin est de changer le prefix par défaut des tables WP wp_. Il vous propose de la faire en conseillant au préalable de faire un backup de votre base de données, sage précaution !
Le petit résumé produit par le plugin WP Security Scan
WordPress version: 3.1 You have the latest stable version of WordPress.
Your table prefix should not be wp_. Click here to change it.
Your WordPress version is successfully hidden.
WordPress DB Errors turned off.
WP ID META tag removed form WordPress core
“admin” user exists.
The file .htaccess does not exist in wp-admin/.
Source : http://wordpress.org/extend/plugins/wp-security-scan/
2. WordPress Exploit Scanner
Un plugin qui sans dommage pour les fichiers, le code…etc. parcourt l’intégralité de votre WP afin d’en relever toutes les anomalies offrant potentiellement des failles de sécurité. Ces informations pour une plus grande clarté et lisibilté sont ensuite classées en 3 niveaux de sécurité :
- Level Severe (14 matches)
- Level Warning (11 matches)
- Level Note (161 matches)
Intéressant et pratique pour notamment mesurer la dangerosité et la faiblesse d’un thème ou d’un plugin développé avec les pieds ! Ne pas non plus tomber dans la paranoïa car le plugin WordPress Exploit Scanner lui-même induit ces propres failles de sécurité mais au moins il vous en informe…
Location / Description What was matched wp-content/plugins/wp-security-scan/simplepie.inc:12488 Used by malicious scripts to decode previously obscured data/programs $data = base64_decode($data);
Source : http://wordpress.org/extend/plugins/exploit-scanner/
3. WordPress File Monitor
Efficace et peu gourmand, ce plugin de Matt Walters (http://mattwalters.net/) fait bien son boulot et vous informe proprement des ajouts ou des suppressions de fichiers. On peut voir que toutes modifications de fichiers présents dans votre WordPress vous est automatiquement signalés par mail ou dans un fichier de log. Dans le rapport ci-dessous, nous venons de désinstaller 3 plugins et d’installer le plugin WordPress File Monitor en question.
This email is to alert you of the following changes to the file system of your website at http://127.0.0.1/wordpress_2_9_2_en/wordpress Timestamp: Wed, 09 Mar 2011 09:35:23 +0000 Added: wp-content/plugins/.DS_Store wp-content/plugins/wordpress-file-monitor/.DS_Store Removed: wp-content/plugins/wp-security-scan/database.php wp-content/plugins/wp-security-scan/functions.php wp-content/plugins/wp-security-scan/lock.png wp-content/plugins/wp-security-scan/password_tools.php wp-content/plugins/wp-security-scan/readme.txt wp-content/plugins/wp-security-scan/scanner.php wp-content/plugins/wp-security-scan/screenshot-1.jpg wp-content/plugins/wp-security-scan/screenshot-2.jpg wp-content/plugins/wp-security-scan/scripts.js wp-content/plugins/wp-security-scan/securityscan.php wp-content/plugins/wp-security-scan/simplepie.inc wp-content/plugins/wp-security-scan/style.css wp-content/plugins/wp-security-scan/support.php wp-content/plugins/wp-security-scan/js/scripts.js wp-content/plugins/wp-security-scan/images/bt.gif wp-content/plugins/wp-security-scan/images/iblogpro.jpg wp-content/plugins/wp-security-scan/images/pagelines.jpg wp-content/plugins/wp-security-scan/images/whitehouse.jpg wp-content/plugins/wp-fb-fan-box/readme.txt wp-content/plugins/wp-fb-fan-box/screenshot-1.png wp-content/plugins/wp-fb-fan-box/screenshot-2.png wp-content/plugins/wp-fb-fan-box/wp-fb-fan-box-id_ID.mo wp-content/plugins/wp-fb-fan-box/wp-fb-fan-box-id_ID.po wp-content/plugins/wp-fb-fan-box/wp-fb-fan-box.mo wp-content/plugins/wp-fb-fan-box/wp-fb-fan-box.php wp-content/plugins/wp-fb-fan-box/wp-fb-fan-box.po wp-content/plugins/exploit-scanner/exploit-scanner.php wp-content/plugins/exploit-scanner/hashes-3.0.1.php wp-content/plugins/exploit-scanner/hashes-3.0.2.php wp-content/plugins/exploit-scanner/hashes-3.0.3.php wp-content/plugins/exploit-scanner/hashes-3.0.4.php wp-content/plugins/exploit-scanner/hashes-3.0.5.php wp-content/plugins/exploit-scanner/hashes-3.0.php wp-content/plugins/exploit-scanner/hashes-3.1.php wp-content/plugins/exploit-scanner/loader.gif wp-content/plugins/exploit-scanner/readme.txt Changed: .DS_Store wp-content/.DS_Store |
Source : http://wordpress.org/extend/plugins/wordpress-file-monitor/
En savoir plus
WP Security Scanhttp://wordpress.org/extend/plugins/wp-security-scan/
WordPress Exploit Scannerhttp://wordpress.org/extend/plugins/exploit-scanner/
WordPress File Monitorhttp://wordpress.org/extend/plugins/wordpress-file-monitor/
security sur la base de plugins WPhttp://wordpress.org/extend/plugins/tags/security
monitor sur la base de plugins WPhttp://wordpress.org/extend/plugins/tags/monitor
http://www.slideshare.net/williamsba/wordpress-security-1709496
