Votre best of pour la sécu ? (Créer un compte)

  • Statut : non résolu
15 sujets de 1 à 15 (sur un total de 21)
  • Auteur
    Messages
  • #501241
    Free Bird
    Participant
    Chevalier WordPress
    211 contributions

    Bonjour,

    Ma configuration WP actuelle
    – Version de WordPress : 3.2.1
    – Version de PHP/MySQL : 5.2.4
    – Thème utilisé : tw eleven
    – Extensions en place : TAC, nextgen, fancybox, antivirus, all in one seo
    – Nom de l’hebergeur : OVH
    – Adresse du site : http://www.ciebox.com/wb

    Bonsoir,
    J’ai un peu parcouru les sujets en tapant « sécurité » dans la recherche, mais beaucoup semblent dater.

    J’aurai besoin de vos lumières : ayant essuyé en une semaine, du code malicieux dans TOUS mes fichiers .php, puis une plantage royal avec un « conseil » de renomage de préfixe, puis ce matin visiblement une personne mal intentionnée m’empeche de modifier mon admin (jai pourtant modifié le pass avec un truc pas simple), je commence un peu à en avoir raz la casquette de bouffer un temps phénoménal sur tout cela, mon boulot normal n’avance pas du coup.

    Donc question simple : que me conseiller vous en terme de sécurité ? Pour ce faire je souhaite croiser plusieurs choses :
    – niveau .htaccess
    – niveau chmod
    – niveau plugin
    – niveau code s’il le faut
    – niveau bdd

    Merci de vos conseils, que je puisse blinder mon site par ce que ça me gonfle prodigieusement que des gens imbéciles me gâtent les journées de travail.

    Seule bonne chose à travers tout cela : j’ai appris à mieux connaitre ce forum et bien des personnes très qualifiées sans grosse tête.

    Wala, si c’est possible, faisons concis, je pourrais faire une synthèse. Merci à tous pour vos lumières.

    #798899
    Free Bird
    Participant
    Chevalier WordPress
    211 contributions

    Bah c’est cool comme réponse, pas besoin de prendre beaucoup de temps pour lire 😉 Merci 😎 Je vais voir ce que je peux faire avec cette mine de renseignements …. 😆

    #798900
    Creation Site France
    Participant
    Chevalier WordPress
    325 contributions

    Ne soit pas presser comme ça Free Bird, les choses arrivent quand elles arrivent et je suis là 😉

    Pour le htaccess, je te conseille protection Apache avec .htaccess/.htpasswd, j’ai fait un tuto ici : http://blog.creation-site-france.org/23/09/2011/gestionnaire-contenu/tutoriels-conseils-wordpress/trucs-astuces-wordpress/proteger-administration-wordpress-htaccess-htpasswd/

    Conseils sur la sécurité ici : http://blog.creation-site-france.org/17/10/2011/cours-html-php-mysql-design/securite-web/conseils-protection-site/

    Ce qu’il faut faire pour nettoyer, traquer virus ici : http://blog.creation-site-france.org/12/10/2011/cours-html-php-mysql-design/securite-web/infection-virus-site/

    Pour les plugins, je te conseille :
    * Antivirus pour WordPress,
    * WebSite Defender Security WordPress,
    * TAC, theme authenticity checker

    Pour les CHMOD, c’est 755 pour les dossiers et 644 pour les fichiers.

    Pour la base de données, en hébergeant ton site chez 1and1, OVH ou tout autres hébergeurs payants et de qualité, normalement, tu as un pare-feu devant tes bases de données et quelques autres éléments de sécurité, je pense que c’est suffisant, tout en gardant tes tables à jour, supprimer les tables qui ne servent plus à rien, réparer et optimiser les tables, si je ne me trompe pas phpMyAdmin est également sécurisé de base (mais je n’en suis pas sûr à confirmer!).

    Voilà, avec tout ça tu as de quoi faire, @+ Julien.

    #798901
    Li-An
    Participant
    Maître WordPress
    28871 contributions

    Vérifie que ton ordi n’est pas vérolé, change tes passes de ftp et évite si possible Filezilla qui a des faiblesses.
    Tu peux aussi par htaccess limiter l’accès à ton admin à ton adresse IP.

    #798902
    Free Bird
    Participant
    Chevalier WordPress
    211 contributions

    Bah merci pour vos conseils : une chose m’intrigue, tu me parles de Filezilla Li-An, je ne connais que celui-ci qui me paraissait bien. Que prendre à la place de gratuit alors ?


    @CSF
    : le chmod 755 n’est-il pas plus permissif que 705 ? et 644 que 604 ?

    Pour websitedefender, je suis un peu refroidi, vu que son conseil m’a couté preque une semaine de travail à tout récupérer !

    Je vais suivre le reste des conseils. Merci beaucoup, je croyais en fait que le post n’intéressait personne vu le nombre de lectures mais le 0 réponses.

    A suivre…:cool:

    #798903
    Creation Site France
    Participant
    Chevalier WordPress
    325 contributions

    Salut ben moi j’ai trouvé ça en anglais : http://codex.wordpress.org/Changing_File_Permissions sinon regardes ce blog il conseille les mêmes droits sur les fichiers et dossiers sauf que je savais qu’il manquait quelque chose mais je ne savais pas quoi et je viens de trouver, sur le fichier wp-config.php il faut mettre 640 et quelques autres dossiers spécifiques… http://www.astuces-freebox.tk/securiser-son-blog-wordpress-chmod-wordpress-htaccess/

    #798904
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    le chmod 755 n’est-il pas plus permissif que 705 ? et 644 que 604 ?

    Tu peux aussi mettre 000 mais cela marchera moins bien :D
    Le problème n’est pas de savoir si c’est plus permissif ou pas, mais QUI à les droits de faire QUOI et que ces droits soient au minimum pour que cela fonctionne… Le chiffre du milieu correspond au groupe défini pour le répertoire, ce qui limite largement l’accès à ces droits.

    #798905
    Free Bird
    Participant
    Chevalier WordPress
    211 contributions

    Fge : c’est très intéressant ce que tu me dis. Mais désormais tu n’en as pas assez dit, et ma curiosité est éveillée pour que tu m’expliques un plus en détail cette nuance dont tu parles et que je n’avais pas saisie.:rolleyes:

    #798906
    Franck (fge)
    Modérateur
    Maître WordPress
    9572 contributions

    Cette page est pas mal sur le sujet : http://www.raynette.fr/script-gratuit/aide-chmod.php

    #798907
    Free Bird
    Participant
    Chevalier WordPress
    211 contributions

    @Fge, Merci je vais voir ça.:cool:
    Fge : et concernant Filezilla ? D’après Li-An, c’est finalement pas très sécurisé ? Vu que c’est la première fois que je lis ça, as-tu une idée de ce qu’il y a de mieux ? Peux-t-on en savoir davantage sur le problème que cela présente ?

    #798908
    Li-An
    Participant
    Maître WordPress
    28871 contributions

    Il y a un cheval de Troie qui se balade et qui récupère les id de connexion stockés dans Filezilla. C’est un vieux truc qui date d’il y a quelques années mais qui est revenu en force il y a quelques mois. Ces derniers temps, plus de nouvelles… On était suffisamment occupé avec TimThumb…

    #798909
    Creation Site France
    Participant
    Chevalier WordPress
    325 contributions

    Franchement moi je suis contre tout le monde à ce niveau, Filezilla est ultra réputé, le top en transfert FTP, celui qui dit le contraire est un peu étrange je trouve mais bon ce n’est que mon avis!

    Si tu ne veux pas utiliser de logiciel FTP, tu peut alors te tourner chez ton hébergeur, normalement il propose un outil en ligne pour gérer les fichiers, il y a d’autres façons également de faire, mais je laisse la parole à FGE, Li-AN… @+

    #798910
    Free Bird
    Participant
    Chevalier WordPress
    211 contributions

    hum well…..:rolleyes:😉 je ne sais que penser….

    #798911
    Li-An
    Participant
    Maître WordPress
    28871 contributions

    Je n’ai pas dit que Filezilla ne fait pas son boulot mais qu’il a été ciblé par des pirates. Tu trouveras des témoignages et des débats sur le Web tout à fait digne de foi. Après, il n’y a aucun risque à l’utiliser si on a un comportement de surf responsable (mais perso, je ne l’utilise plus, j’ai trouvé plus confortable).

    #798912
    Creation Site France
    Participant
    Chevalier WordPress
    325 contributions

    OK pas de souci, c’est sûr que si tu as un comportement plutôt responsable, ça le fera mieux car qui dit traîner tout le temps sur des site warez, sites de cracks… si tu ne fait pas de nettoyage du PC… pour sûr que tu chopperas des vers ssssssssss…

15 sujets de 1 à 15 (sur un total de 21)
  • Vous devez être connecté pour répondre à ce sujet.