Protection des sous-repertoires de WP-Content (Créer un compte)

  • Statut : non résolu
15 sujets de 1 à 15 (sur un total de 16)
  • Auteur
    Messages
  • #461211
    zebluesman
    Membre
    Maître WordPress
    546 contributions

    Bonjour a tous

    aux fils de mes aventures internautistes et de mes voyages sur la toile je suis resté dubitatif devant une information essentielle concernant la sécurité de nos blogs adorés.

    En effet le saviez vous….

    Vous entrez l’adresse suivante : http://url_de_votre_blog/wp-content/plugins/

    et si vous arrivez à lire le contenu cela veux dire que tous le monde peut y avoir accès.

    j’ai essayé avec tous les sous-repertoires de “wp-content” de mes blogs est 90 % d’entre eux sont accessibles.

    HORREUR imaginez ce qu’un “rastaquouère” mal intentionné pourrait faire…. J’ose même pas imaginé….
    aarrff le bougre, le gueux, le couard… je m’en irais de ce pas lui botter son arrière train à ce manant.

    On m’indiqueras que depuis la nouvelle version …. la 2.6, on peut déplacer le répertoire “wp-content”… certes… certes, mais dans se cas il faut réaménager l’ensemble de son blog pour que les adresses correspondent.

    Pour bloquer l’accès, il y a une solution très simple largement expliqué que le lien ci-dessous.

    PROTEGONS NOS FICHIERS

    pour ma part j’ai fait un fichier par Notpad enregistrer en “index.html” avec le code suivant :

    cela redirige le visiteur mal intentionné vers la page principale de votre blog

    Je me suis empressé de la faire… cela coute rien et en plus c’est facile à mettre en œuvre.

    J’avais déjà constaté dans mes stats qu’il y avait souvent des essaient d’accès à mon répertoire “wp-admin” mais WordPress empêche l’accès et donc pas d’inquiétudes de ce coté la ( WordPress ?….. ze t’aimeeuu ).

    merci de votre attention

    #637641
    Maitre Mo
    Participant
    Maître WordPress
    1656 contributions

    Bonjour,
    J’ai eu la même panique récemment, mais on m’a rassuré : en fait, tu n’arrives à accéder à tes URL que parce que ta machine sait que c’est toi, tout bêtement via un cookie : si je tapes moi telle ou telle adresse de ton blog, j’arrive sur la page de connexion wp, et n’ai évidemment ni ton login, ni ton pswd…
    Donc en fait tout va bien !

    #637642
    dlo
    Participant
    Maître WordPress
    1850 contributions

    Une autre solution qui nécessite la modification d’un seul fichier pour protéger la totalité du blog contre l’affichage du contenu des répertoires dans un navigateur: Ajouter la ligne ci-dessous dans un fichier .htaccess que l’on place à la racine de son site.
    Cela évite d’avoir à mettre un fichier index.php dans chaque répertoire.

    Options -Indexes

    Cordialement

    #637643
    Lumiere de Lune
    Participant
    Maître WordPress
    19378 contributions

    Je voudrais pas être décourageante, mais il suffit de désactiver le javascript pour que ça ne marche plus 😉

    Le plus simple est de créer systématiquement un fichier index.html vide qui empêchera de visionner le contenu du répertoire (qui devrait être interdit par défaut sur un serveur bien sécurisé)

    Ensuite, deuxième chose, tant qu’à faire, ne pas installer wordpress dans un dossier qui s’appelle blog ou wp ou wrodpress mais par exemple turlututu et indiquer une url de blog différente. Ca limite déjà les risques…

    #637644
    dlo
    Participant
    Maître WordPress
    1850 contributions
    Lumière de Lune wrote:
    Je voudrais pas être décourageante, mais il suffit de désactiver le javascript pour que ça ne marche plus

    Heu, Lumière de Lune, je suppose que tu te réfères à la solution dont parle zebluesman ?
    Parce que la protection par .htaccess , elle, est toujours active et personne ne peut la by-passer, Javascript ou pas.
    Mais tu le sais parfaitement, c’est juste que nos messages se sont croisés…

    Cordialement

    #637645
    zebluesman
    Membre
    Maître WordPress
    546 contributions

    yyoohh ok don… me voila rassurais

    merci a vous les amiches … ✅

    #637646
    Comme une image
    Participant
    Maître WordPress
    2493 contributions

    @ dlo » Et comment doit-on faire si l’on veut malgré tout autoriser la navigation dans, mettons, uploads et ses sous-répertoires (parce qu’effectivement, ça paraît une bonne idée de protéger plugins, voire thème, mais on peut vouloir laisser la possibilité aux petits curieux de fureter sur l’ensemble des images (enfin, personnellement, ça ne me gênerait pas) ?

    #637647
    dlo
    Participant
    Maître WordPress
    1850 contributions

    Je n’ai pas testé mais je suppose que le fait d’ajouter un .htaccess avec la clause Options Indexes dans le répertoire uploads permettra de rétablir le listage du contenu de ce répertoire et de ses sous-répertoires.

    Cordialement

    #637648
    Lumiere de Lune
    Participant
    Maître WordPress
    19378 contributions
    dlo wrote:
    Heu, Lumière de Lune, je suppose que tu te réfères à la solution dont parle zebluesman ?

    Toutafé

    #637640
    Insky
    Membre
    Initié WordPress
    22 contributions

    Permettez moi de venir continuer cette discussion avec vous…

    Si je comprends bien.. ce problème d’accès possible aux fichiers n’existent pas vraiment ? Il s’agit simplement de notre cookie d’admin qui est enregistré ?

    Dans ce cas vaut il quand meme mieux créer le htaccess ? Et si oui comment faire effectivement pour qu’il ne s’applique pas au dossier upload ?

    Enfin n’y a til pas de risque par rapport au plugins qui ont besoin d’avoir des droits d’écriture sur certains dossiers ?

    #637649
    dlo
    Participant
    Maître WordPress
    1850 contributions

    Si je comprends bien.. ce problème d’accès possible aux fichiers n’existent pas vraiment ? Il s’agit simplement de notre cookie d’admin qui est enregistré ?

    Je ne suis pas sûr de comprendre, tu peux développer ?

    Et si oui comment faire effectivement pour qu’il ne s’applique pas au dossier upload ?

    Voir ma réponse trois messages plus haut.

    Enfin n’y a til pas de risque par rapport au plugins qui ont besoin d’avoir des droits d’écriture sur certains dossiers ?

    Cette protection ne concerne que le listage du contenu d’un répertoire, les applications continuent d’avoir accès aux répertoires et aux fichiers.

    Cordialement

    #637650
    Insky
    Membre
    Initié WordPress
    22 contributions

    Je faisais référence au message de Maitre Mô : “Bonjour,
    J’ai eu la même panique récemment, mais on m’a rassuré : en fait, tu n’arrives à accéder à tes URL que parce que ta machine sait que c’est toi, tout bêtement via un cookie : si je tapes moi telle ou telle adresse de ton blog, j’arrive sur la page de connexion wp, et n’ai évidemment ni ton login, ni ton pswd…
    Donc en fait tout va bien !”

    Si j’en crois ce message, le problème ne pouvoir accéder aux fichiers, même admin, en tapant directement leur adresse serait du au fait qu’un cookie a enregistré le login et mdp admin?

    J’ai bien vu ta réponse, mais tu “suppose”, et je n’aime pas trop les suppositions en matière d’informatique, surtout en programmation!

    ok pour le listage des fichiers

    #637651
    mrbabyqc
    Membre
    Initié WordPress
    16 contributions

    Hi, Merci pour ce débat. J’ai testé l’option de modification du fichier .htaccess. Vraiment efficace. Mais je suppose que c’est seulement valable pour les serveurs linux-Apache !

    #637652
    Insky
    Membre
    Initié WordPress
    22 contributions
    dlo wrote:
    Une autre solution qui nécessite la modification d’un seul fichier pour protéger la totalité du blog contre l’affichage du contenu des répertoires dans un navigateur: Ajouter la ligne ci-dessous dans un fichier .htaccess que l’on place à la racine de son site.
    Cela évite d’avoir à mettre un fichier index.php dans chaque répertoire.

    Options -Indexes

    Cordialement

    Bonjour

    Je viens d’essayer en local, effectivement ca marche, a la place du listage des fichiers, on a une erreur 403

    “Forbidden

    You don’t have permission to access /pate/wp-content/plugins/ on this server.”

    Par contre, c’est justement cette erreur qui me dérange… elle est renvoyé par le serveur directement… et non pas wordpress.. n’est il pas possible de faire en sorte que s’affiche une erreur 403 ou 404 personnalisé wordpress… ça serait plus sympa ? Voir directement une redirection vers l’accueil du site si l’adresse tapée est incorrecte, ou interdite ?

    #637653
    Comme une image
    Participant
    Maître WordPress
    2493 contributions

    Ben dans ce cas, la solution simple, c’est de mettre une page index.html ou index.php dans chacun des répertoires concernées et d’y mettre … ce que tu veux comme page !

15 sujets de 1 à 15 (sur un total de 16)
  • Vous devez être connecté pour répondre à ce sujet.