- Statut : non résolu
- Ce sujet contient 15 réponses, 8 participants et a été mis à jour pour la dernière fois par Lorand, le il y a 15 années et 6 mois.
-
AuteurMessages
-
18 juillet 2008 à 5 h 39 min #461211
Bonjour a tous
aux fils de mes aventures internautistes et de mes voyages sur la toile je suis resté dubitatif devant une information essentielle concernant la sécurité de nos blogs adorés.
En effet le saviez vous….
Vous entrez l’adresse suivante : http://url_de_votre_blog/wp-content/plugins/
et si vous arrivez à lire le contenu cela veux dire que tous le monde peut y avoir accès.
j’ai essayé avec tous les sous-repertoires de « wp-content » de mes blogs est 90 % d’entre eux sont accessibles.
HORREUR imaginez ce qu’un « rastaquouère » mal intentionné pourrait faire…. J’ose même pas imaginé….
aarrff le bougre, le gueux, le couard… je m’en irais de ce pas lui botter son arrière train à ce manant.On m’indiqueras que depuis la nouvelle version …. la 2.6, on peut déplacer le répertoire « wp-content »… certes… certes, mais dans se cas il faut réaménager l’ensemble de son blog pour que les adresses correspondent.
Pour bloquer l’accès, il y a une solution très simple largement expliqué que le lien ci-dessous.
pour ma part j’ai fait un fichier par Notpad enregistrer en « index.html » avec le code suivant :
cela redirige le visiteur mal intentionné vers la page principale de votre blog
Je me suis empressé de la faire… cela coute rien et en plus c’est facile à mettre en œuvre.
J’avais déjà constaté dans mes stats qu’il y avait souvent des essaient d’accès à mon répertoire « wp-admin » mais WordPress empêche l’accès et donc pas d’inquiétudes de ce coté la ( WordPress ?….. ze t’aimeeuu ).
merci de votre attention
18 juillet 2008 à 7 h 09 min #637641Bonjour,
J’ai eu la même panique récemment, mais on m’a rassuré : en fait, tu n’arrives à accéder à tes URL que parce que ta machine sait que c’est toi, tout bêtement via un cookie : si je tapes moi telle ou telle adresse de ton blog, j’arrive sur la page de connexion wp, et n’ai évidemment ni ton login, ni ton pswd…
Donc en fait tout va bien !18 juillet 2008 à 7 h 31 min #637642Une autre solution qui nécessite la modification d’un seul fichier pour protéger la totalité du blog contre l’affichage du contenu des répertoires dans un navigateur: Ajouter la ligne ci-dessous dans un fichier .htaccess que l’on place à la racine de son site.
Cela évite d’avoir à mettre un fichier index.php dans chaque répertoire.Options -Indexes
Cordialement
18 juillet 2008 à 7 h 35 min #637643Je voudrais pas être décourageante, mais il suffit de désactiver le javascript pour que ça ne marche plus 😉
Le plus simple est de créer systématiquement un fichier index.html vide qui empêchera de visionner le contenu du répertoire (qui devrait être interdit par défaut sur un serveur bien sécurisé)
Ensuite, deuxième chose, tant qu’à faire, ne pas installer wordpress dans un dossier qui s’appelle blog ou wp ou wrodpress mais par exemple turlututu et indiquer une url de blog différente. Ca limite déjà les risques…
18 juillet 2008 à 7 h 40 min #637644Lumière de Lune wrote:Je voudrais pas être décourageante, mais il suffit de désactiver le javascript pour que ça ne marche plusHeu, Lumière de Lune, je suppose que tu te réfères à la solution dont parle zebluesman ?
Parce que la protection par .htaccess , elle, est toujours active et personne ne peut la by-passer, Javascript ou pas.
Mais tu le sais parfaitement, c’est juste que nos messages se sont croisés…Cordialement
18 juillet 2008 à 8 h 42 min #637645yyoohh ok don… me voila rassurais
merci a vous les amiches … ✅
21 juillet 2008 à 16 h 20 min #637646@ dlo » Et comment doit-on faire si l’on veut malgré tout autoriser la navigation dans, mettons, uploads et ses sous-répertoires (parce qu’effectivement, ça paraît une bonne idée de protéger plugins, voire thème, mais on peut vouloir laisser la possibilité aux petits curieux de fureter sur l’ensemble des images (enfin, personnellement, ça ne me gênerait pas) ?
21 juillet 2008 à 16 h 30 min #637647Je n’ai pas testé mais je suppose que le fait d’ajouter un .htaccess avec la clause Options Indexes dans le répertoire uploads permettra de rétablir le listage du contenu de ce répertoire et de ses sous-répertoires.
Cordialement
21 juillet 2008 à 16 h 33 min #637648dlo wrote:Heu, Lumière de Lune, je suppose que tu te réfères à la solution dont parle zebluesman ?Toutafé
22 juillet 2008 à 20 h 35 min #637640Permettez moi de venir continuer cette discussion avec vous…
Si je comprends bien.. ce problème d’accès possible aux fichiers n’existent pas vraiment ? Il s’agit simplement de notre cookie d’admin qui est enregistré ?
Dans ce cas vaut il quand meme mieux créer le htaccess ? Et si oui comment faire effectivement pour qu’il ne s’applique pas au dossier upload ?
Enfin n’y a til pas de risque par rapport au plugins qui ont besoin d’avoir des droits d’écriture sur certains dossiers ?
23 juillet 2008 à 8 h 13 min #637649Si je comprends bien.. ce problème d’accès possible aux fichiers n’existent pas vraiment ? Il s’agit simplement de notre cookie d’admin qui est enregistré ?
Je ne suis pas sûr de comprendre, tu peux développer ?
Et si oui comment faire effectivement pour qu’il ne s’applique pas au dossier upload ?
Voir ma réponse trois messages plus haut.
Enfin n’y a til pas de risque par rapport au plugins qui ont besoin d’avoir des droits d’écriture sur certains dossiers ?
Cette protection ne concerne que le listage du contenu d’un répertoire, les applications continuent d’avoir accès aux répertoires et aux fichiers.
Cordialement
23 juillet 2008 à 17 h 48 min #637650Je faisais référence au message de Maitre Mô : « Bonjour,
J’ai eu la même panique récemment, mais on m’a rassuré : en fait, tu n’arrives à accéder à tes URL que parce que ta machine sait que c’est toi, tout bêtement via un cookie : si je tapes moi telle ou telle adresse de ton blog, j’arrive sur la page de connexion wp, et n’ai évidemment ni ton login, ni ton pswd…
Donc en fait tout va bien ! »Si j’en crois ce message, le problème ne pouvoir accéder aux fichiers, même admin, en tapant directement leur adresse serait du au fait qu’un cookie a enregistré le login et mdp admin?
J’ai bien vu ta réponse, mais tu « suppose », et je n’aime pas trop les suppositions en matière d’informatique, surtout en programmation!
ok pour le listage des fichiers
23 juillet 2008 à 19 h 08 min #637651Hi, Merci pour ce débat. J’ai testé l’option de modification du fichier .htaccess. Vraiment efficace. Mais je suppose que c’est seulement valable pour les serveurs linux-Apache !
26 juillet 2008 à 10 h 19 min #637652dlo wrote:Une autre solution qui nécessite la modification d’un seul fichier pour protéger la totalité du blog contre l’affichage du contenu des répertoires dans un navigateur: Ajouter la ligne ci-dessous dans un fichier .htaccess que l’on place à la racine de son site.
Cela évite d’avoir à mettre un fichier index.php dans chaque répertoire.Options -Indexes
Cordialement
Bonjour
Je viens d’essayer en local, effectivement ca marche, a la place du listage des fichiers, on a une erreur 403
« Forbidden
You don’t have permission to access /pate/wp-content/plugins/ on this server. »
Par contre, c’est justement cette erreur qui me dérange… elle est renvoyé par le serveur directement… et non pas wordpress.. n’est il pas possible de faire en sorte que s’affiche une erreur 403 ou 404 personnalisé wordpress… ça serait plus sympa ? Voir directement une redirection vers l’accueil du site si l’adresse tapée est incorrecte, ou interdite ?
27 juillet 2008 à 14 h 42 min #637653Ben dans ce cas, la solution simple, c’est de mettre une page index.html ou index.php dans chacun des répertoires concernées et d’y mettre … ce que tu veux comme page !
-
AuteurMessages
- Vous devez être connecté pour répondre à ce sujet.