[PLUGINS] Faille de sécurité ? (Créer un compte)

  • Statut : non résolu
  • Ce sujet contient 3 réponses, 3 participants et a été mis à jour pour la dernière fois par onzeweb, le il y a 17 années.
4 sujets de 1 à 4 (sur un total de 4)
  • Auteur
    Messages
  • #447811
    Qwindoo
    Modérateur
    Maître WordPress
    2862 contributions

    Bonjour à tous 🙂

    Je viens de voir ce post et me suis rendu compte que le listage du répertoire /wp-content/plugins est par défaut (c’est-à dire à l’installation) visible par tous les visiteurs (bien entendu, il faut qu’ils connaissent un tant soit peu WordPress :rolleyes: )…

    Je me demandais si ce n’était pas une faille de sécurité potentielle: un visiteur pourrait profiter d’un plugin mal codé pour y accéder directement sans avoir les droits requis !

    Exemple: un plugin qui gère la base de donnée et qui permet à l’admin de vider une table (ça existe sous dotclear, alors pourquoi pas sous WordPress 😋 ). Si un visiteur saisissait l’URL /wp-content/plugins/db_manager.php?action=empty_all_tables, on imagine sans peine la catastrophe 😕 😕

    Une des solutions pourrait être de placer un .htaccess avec comme directive Options -Indexes et Deny from all par exemple 😉

    P.S: arrêtez-moi si je dis des bêtises ^^

    #574902
    benkenobi
    Participant
    Maître WordPress
    4073 contributions

    A priori je n’ai pas ce problème chez moi. J’ai fait l’essai et je n’ai pas du tout accès à la liste de mes plugins mais a une erreur 403 ou 404…
    Donc est-ce que le problème ne viendrait pas de chez toi tout simplement.

    #574903
    Qwindoo
    Modérateur
    Maître WordPress
    2862 contributions

    Chez moi, le listage des répertoires est désactivé (1and1 powered :cool:), mais sur ce blog par exemple, on voit bien les plugins installés, d’où mon interrogation 😉

    Les hébergeurs professionnels désactivent souvent cette directive (pour les autres, il suffit de placer un .htaccess à la racine du blog avec les instructions que j’ai donné dans mon précédent post)

    edit: tu dois aussi être chez 1and1 : on a le même message d’erreur :D

    #574904
    onzeweb
    Membre
    Padawan WordPress
    73 contributions
    BenKenobi wrote:
    Donc est-ce que le problème ne viendrait pas de chez toi tout simplement.

    Non, c’est un problème lié à WordPress… sans être vraiment de sa faute. Si l’option Indexes est activée par défaut chez l’hebergeur, c’est exactement ce qui se passe.

    Le mieux est donc bien d’utiliser un fichier .htaccess pour assurer le coup.

    Par contre pour un soft comme WordPress, je trouve qu’il sera sage de fournir par défaut un fichier index.html vide dans chaque répertoire, ça limite pas mal les risques. Mais en y réfléchissant bien, je le l’ai pas fait moi-même pour les plugins que j’ai mis à disposition 😋

4 sujets de 1 à 4 (sur un total de 4)
  • Vous devez être connecté pour répondre à ce sujet.