SlideShare une entreprise Scribd logo
1  sur  20
SÉCURITÉ
WORDPRESS
Proxylan
SI-AHMEDAyoub
introduction
■ WordPress est une solution open source, il offre une interface qui permet de créer et
de gérer les contenus de son site internet (Content Management System).
■ Il a été créé à l’origine pour développer des blogs.
■ Il contient 2 sites :
– Wordpress.org : permet de télécharger les fichiersWordPress (but non lucratif).
– wordpress.com : permet d’héberger les sitesWordPress (but lucratif).
Introduction (suite)
■ WordPress propulse près de 30 % des sites internet dans le monde (près
d’un site sur trois !).
■ 50 000 sites WordPress sont créés chaque jour !
■ 60 % des sites utilisant un CMS tournent surWordPress (WordPress
possède plus de la moitié du marché des CMS).
■ Surtout, le second CMS le plus utilisé, Joomla, ne détient qu'environ 10
fois moins de part de marché queWordPress !
FichierWordPress critique
■ Wp-config,php :Ce fichier contient les information qui permette de se connecté a la base de
données. Et les préfix ajouté a chaque table de la base de données, ainsi que des couche
supplémentaire de sécurité.
■ htaccess file Ce fichier est essentiel pour la sécurité de WordPress. Il est traité par le serveur
avant tout autre code sur le siteWeb. Les directives .htacces peuvent arrêter les codes
malveillants avant qu’ils n’atteignent le code PHP dansWordPress. Les modifications prennent
effet immédiatement. (exemple activation du HTTPS après installation du certificat).
Vulnérabilité et remédiation
■ Myslql :
– La base de données mysql contient par défaut un compte avec username root et
pas de password.
– Contre mesure: modifier le username et le password.
■ Install.php :
– yourwebsitename.com/wp-admin/install.php : ce lien permet d’accéder à la page
web qui permet d’installerWordPress. SiWordPress est déjà installer alors le
lancement d’une nouvelle installation entrainera la suppression de l'installation et
ainsi que la base de données existante, mais à condition que l’utilisateur possède
le username et le password.
– Contre mesure: supprimer le install.php car nous n’avons pas besoin de l’installer
de nouveau.
Vulnérabilité et remédiation (suite)
■ Readme.html et licence.txt:
– yoursite.com/readme.html ou yoursite.com/licence.txt ces deux liens permette
d’accedé à certain information que l’attaquant peut utilisé pour mené des
attaques.
– Contre mesure: supprimer le readme.html et licence.txt.
Vulnérabilité et remédiation (suite)
■ wp-config.php :
– www.yoursite.com/wp-config.php ce lien permet d’accéder au fichier
wp-config.php, si nous obtenons une page blanche cela veut dire que le format na
pas pu être interprété car il ne contient pas de code interprétable mais l’accés n’est
pas interdit.
– Contre mesure : il faut ajouter ces lignes de code dans le doc .htaccess :
Vulnérabilité et remédiation (suite)
■ wp-login.php :
– www.yoursite.com/wp-login.php ce lien permet d’accéder à la page
d’administration du wordpress.
– Contre mesure : ajouté ces ligne de code au document .htaccess
Vulnérabilité et remédiation (suite)
■ Wp-include :
– www.yourdomain.com/wp-includes ce lien permet d’accéder au repartoir wp-
include et avoir accés au dossiers.
– Contre mesure: il faut ajouter cette ligne au fichier .htaccess :
■ Pour désactiver les information lier à l’hébergeur on ajoute ces lignes de code au
fichier .htaccess :
Vulnérabilité et remédiation (suite)
■ Pour protéger le fichier .htaccess il faut ajouter ces lignes:
Vulnérabilité et remédiation (suite)
■ Si un attaquant accède à la page d'administration après avoir effectué un brute force. Il peut
accéder à l'onglet Plugins>Editor et accédé donc au code PHP. Cette attaquent peut injecter du
code comme un cheval de trois ou autre code malicieux.
– Contre mesure ajouter ces lignes de code au fichier config.php :
■ Quand en utilise des plugins en ajoute automatiquement du code PHP qui marche sous une
version mais le serveur marche sous une autre version, ce qui fait que des erreurs peuvent être
rapportées donnant des informations sensibles et accessibles à tous.
– Contre mesure ajout ces lignes suivant au fichier wp-config.php :
Vulnérabilité et remédiation (suite)
■ Dans le fichier wp-include se trouve le fichier function.php en ajoutant ces lignes de
code cela permet de ne pas divulguer l'information sur la version du WordPress mais
l'idéal c’est de mettre toujours à jours WordPress :
Vulnérabilité et remédiation (suite)
■ Nom de l’administrateur :
– yourwebsite.com/?author=1 ce lien permet de retrouvé le nom de l’administrateur.
– Contre mesure: ajouté ces lignes de codes dans le fichier function.php et qui permet
de rediriger vers le home page :
Vulnérabilité et remédiation (suite)
■ Page de login :
– La page de login fait la différence entre l’erreur username et l’erreur password.
– Contre mesure: ajouter ces lignes de code dans le fichier function.php :
Vulnérabilité et remédiation (suite)
■ https://wpvulndb.com/ : Ce site contient les vulnérabilité des ancienne version de
WordPress.
■ Contre mesure : mettre toujours à jourWordPress.
Plugin de sécurité
■ CAPTCHA : est un programme qui protège les sites contre les robots en créant des
tests que les humains peuvent facilement passer, mais pas les programmes
informatiques. (google captcha)
■ authentification à deux facteurs :Vous essayez d'accéder avec un nom d'utilisateur et
un mot de passe. Il s'agit de la première authentification. Ensuite, un code est envoyé
sur votre téléphone mobile ou dans votre boîte mail.Vous devez le saisir dans un
formulaire. Il s'agit de la deuxième authentification. (miniOrang 2 facteur
authentication).
■ Installation duWAFWordfence : permet de d’assurer cinque fonctionnalité : scanner,
détecter, protéger, bloquer, réparer.
■ Supprimé le message d’erreur du login.php (ajoute dans function.php)
https://www.wpbeginner.com/wp-tutorials/how-to-disable-
login-hints-in-wordpress-login-error-messages/
How to Disable Login Hints in WordPress Login Error
Messages
■ Contre mesure pour énumération des utilisateurs (3 méthod sont utilisé pour énumeré
les utilisateurs flux rss, brute force, fichier json)
■ Contre mesure contre énumération des utilisateurs
Permet de bloquer le brut force des id pour énuméré les utilisateurs (à ajouter dans le
fichier htacess)
Contre mesure contre énumération des utilisateurs
Désactivé le flux rss (ajouter dans phunctions.php)
Merci pour votre attention.

Contenu connexe

Tendances

Introduction au RSS
Introduction au RSSIntroduction au RSS
Introduction au RSSolivier
 
Diapo Extensions Firefox
Diapo Extensions FirefoxDiapo Extensions Firefox
Diapo Extensions Firefoxkchadok
 
TD : 12 Logiciels libres pour contruire vos sites web
TD : 12 Logiciels libres pour contruire vos sites webTD : 12 Logiciels libres pour contruire vos sites web
TD : 12 Logiciels libres pour contruire vos sites webStéphane Rouilly
 
Découvrir WordPress
Découvrir WordPressDécouvrir WordPress
Découvrir WordPressStrasWeb
 
Démarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listDémarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listKaylynne Johnson
 
présentation wordpress
présentation wordpressprésentation wordpress
présentation wordpressmonsieurpixel
 
Découverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites ApacheDécouverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites ApacheChristophe Avonture
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementChristophe Avonture
 
Formation joomla 2.5 séance 1 sur 4
Formation joomla 2.5 séance 1 sur 4Formation joomla 2.5 séance 1 sur 4
Formation joomla 2.5 séance 1 sur 4Jamel Eddine Zarga
 
Optimiser les performances dans Wordpress
Optimiser les performances dans WordpressOptimiser les performances dans Wordpress
Optimiser les performances dans WordpressNicolas Juen
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3Rabolliot
 
Manuel wordpress ad avenue
Manuel wordpress   ad avenueManuel wordpress   ad avenue
Manuel wordpress ad avenueFrançois Huynh
 

Tendances (19)

Crud+tutorial+fr
Crud+tutorial+frCrud+tutorial+fr
Crud+tutorial+fr
 
Introduction au RSS
Introduction au RSSIntroduction au RSS
Introduction au RSS
 
Pirates des CMS
Pirates des CMSPirates des CMS
Pirates des CMS
 
Initiation à WordPress
Initiation à WordPressInitiation à WordPress
Initiation à WordPress
 
Diapo Extensions Firefox
Diapo Extensions FirefoxDiapo Extensions Firefox
Diapo Extensions Firefox
 
La Sécurité Sur Le Web
La Sécurité Sur Le WebLa Sécurité Sur Le Web
La Sécurité Sur Le Web
 
TD : 12 Logiciels libres pour contruire vos sites web
TD : 12 Logiciels libres pour contruire vos sites webTD : 12 Logiciels libres pour contruire vos sites web
TD : 12 Logiciels libres pour contruire vos sites web
 
Découvrir WordPress
Découvrir WordPressDécouvrir WordPress
Découvrir WordPress
 
Démarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" listDémarrer son site WordPress : LA "to-do" list
Démarrer son site WordPress : LA "to-do" list
 
Secubasejoomla
SecubasejoomlaSecubasejoomla
Secubasejoomla
 
présentation wordpress
présentation wordpressprésentation wordpress
présentation wordpress
 
Découverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites ApacheDécouverte d'aeSecure, sécurisation et optimisation sites Apache
Découverte d'aeSecure, sécurisation et optimisation sites Apache
 
Word Press Intro
Word Press IntroWord Press Intro
Word Press Intro
 
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquementAccroître la sécurité de son site internet et de Joomla! plus spécifiquement
Accroître la sécurité de son site internet et de Joomla! plus spécifiquement
 
Formation joomla 2.5 séance 1 sur 4
Formation joomla 2.5 séance 1 sur 4Formation joomla 2.5 séance 1 sur 4
Formation joomla 2.5 séance 1 sur 4
 
Optimiser les performances dans Wordpress
Optimiser les performances dans WordpressOptimiser les performances dans Wordpress
Optimiser les performances dans Wordpress
 
WordPress
WordPressWordPress
WordPress
 
Tutoriel slideshare3
Tutoriel slideshare3Tutoriel slideshare3
Tutoriel slideshare3
 
Manuel wordpress ad avenue
Manuel wordpress   ad avenueManuel wordpress   ad avenue
Manuel wordpress ad avenue
 

Similaire à Sécurité wordpress

WORDPRESS Qu'est ce que c'est ?
WORDPRESS Qu'est ce que c'est ?WORDPRESS Qu'est ce que c'est ?
WORDPRESS Qu'est ce que c'est ?mirabelleformation
 
WordPress en tant que CMS
WordPress en tant que CMSWordPress en tant que CMS
WordPress en tant que CMSChi Nacim
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderMohamed Ben Bouzid
 
mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04ImnaTech
 
Installer word press en local, automatique, simplement
Installer word press en local, automatique, simplementInstaller word press en local, automatique, simplement
Installer word press en local, automatique, simplementFabrice Ducarme
 
Installation apache mandriva
Installation apache mandrivaInstallation apache mandriva
Installation apache mandrivaMajid CHADAD
 
CMS WordPress.docx
CMS WordPress.docxCMS WordPress.docx
CMS WordPress.docxRososDjikpo
 
Développement d’extensions WordPress
Développement d’extensions WordPressDéveloppement d’extensions WordPress
Développement d’extensions WordPressChi Nacim
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webNour El Houda
 
Les 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressLes 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressNicolas Richer
 
Wordpress pour les entreprises
Wordpress pour les entreprisesWordpress pour les entreprises
Wordpress pour les entreprisesmonsieurpixel
 
Wordpress #1 : introduction
Wordpress #1 : introductionWordpress #1 : introduction
Wordpress #1 : introductionJean Michel
 
Sécuriser un site Wordpress
Sécuriser un site WordpressSécuriser un site Wordpress
Sécuriser un site Wordpressbestyuna
 
Optimiser WordPress – Checklist après installation
Optimiser WordPress – Checklist après installationOptimiser WordPress – Checklist après installation
Optimiser WordPress – Checklist après installationFabrice Ducarme
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webIZZA Samir
 
Sécurité WordPress
Sécurité WordPressSécurité WordPress
Sécurité WordPressChi Nacim
 

Similaire à Sécurité wordpress (20)

WordPress
WordPressWordPress
WordPress
 
WORDPRESS Qu'est ce que c'est ?
WORDPRESS Qu'est ce que c'est ?WORDPRESS Qu'est ce que c'est ?
WORDPRESS Qu'est ce que c'est ?
 
WordPress en tant que CMS
WordPress en tant que CMSWordPress en tant que CMS
WordPress en tant que CMS
 
Atelier 5
Atelier 5Atelier 5
Atelier 5
 
Installation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey SpiderInstallation Et Configuration De Monkey Spider
Installation Et Configuration De Monkey Spider
 
mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04mise en place de wordpresss sous Ubuntu 22.04
mise en place de wordpresss sous Ubuntu 22.04
 
SAPIENS2009 - Module 4B
SAPIENS2009 - Module 4BSAPIENS2009 - Module 4B
SAPIENS2009 - Module 4B
 
Installer word press en local, automatique, simplement
Installer word press en local, automatique, simplementInstaller word press en local, automatique, simplement
Installer word press en local, automatique, simplement
 
Installation apache mandriva
Installation apache mandrivaInstallation apache mandriva
Installation apache mandriva
 
CMS WordPress.docx
CMS WordPress.docxCMS WordPress.docx
CMS WordPress.docx
 
Développement d’extensions WordPress
Développement d’extensions WordPressDéveloppement d’extensions WordPress
Développement d’extensions WordPress
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du web
 
Les 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPressLes 10 Erreurs des Debutants avec WordPress
Les 10 Erreurs des Debutants avec WordPress
 
Wordpress pour les entreprises
Wordpress pour les entreprisesWordpress pour les entreprises
Wordpress pour les entreprises
 
Wordpress #1 : introduction
Wordpress #1 : introductionWordpress #1 : introduction
Wordpress #1 : introduction
 
Sécuriser un site Wordpress
Sécuriser un site WordpressSécuriser un site Wordpress
Sécuriser un site Wordpress
 
Optimiser WordPress – Checklist après installation
Optimiser WordPress – Checklist après installationOptimiser WordPress – Checklist après installation
Optimiser WordPress – Checklist après installation
 
Sécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du webSécuriser un site WordPress - Semaine du web
Sécuriser un site WordPress - Semaine du web
 
Sécurité WordPress
Sécurité WordPressSécurité WordPress
Sécurité WordPress
 
Sécuriser un site Wordpress
Sécuriser un site WordpressSécuriser un site Wordpress
Sécuriser un site Wordpress
 

Sécurité wordpress

  • 2. introduction ■ WordPress est une solution open source, il offre une interface qui permet de créer et de gérer les contenus de son site internet (Content Management System). ■ Il a été créé à l’origine pour développer des blogs. ■ Il contient 2 sites : – Wordpress.org : permet de télécharger les fichiersWordPress (but non lucratif). – wordpress.com : permet d’héberger les sitesWordPress (but lucratif).
  • 3. Introduction (suite) ■ WordPress propulse près de 30 % des sites internet dans le monde (près d’un site sur trois !). ■ 50 000 sites WordPress sont créés chaque jour ! ■ 60 % des sites utilisant un CMS tournent surWordPress (WordPress possède plus de la moitié du marché des CMS). ■ Surtout, le second CMS le plus utilisé, Joomla, ne détient qu'environ 10 fois moins de part de marché queWordPress !
  • 4. FichierWordPress critique ■ Wp-config,php :Ce fichier contient les information qui permette de se connecté a la base de données. Et les préfix ajouté a chaque table de la base de données, ainsi que des couche supplémentaire de sécurité. ■ htaccess file Ce fichier est essentiel pour la sécurité de WordPress. Il est traité par le serveur avant tout autre code sur le siteWeb. Les directives .htacces peuvent arrêter les codes malveillants avant qu’ils n’atteignent le code PHP dansWordPress. Les modifications prennent effet immédiatement. (exemple activation du HTTPS après installation du certificat).
  • 5. Vulnérabilité et remédiation ■ Myslql : – La base de données mysql contient par défaut un compte avec username root et pas de password. – Contre mesure: modifier le username et le password. ■ Install.php : – yourwebsitename.com/wp-admin/install.php : ce lien permet d’accéder à la page web qui permet d’installerWordPress. SiWordPress est déjà installer alors le lancement d’une nouvelle installation entrainera la suppression de l'installation et ainsi que la base de données existante, mais à condition que l’utilisateur possède le username et le password. – Contre mesure: supprimer le install.php car nous n’avons pas besoin de l’installer de nouveau.
  • 6. Vulnérabilité et remédiation (suite) ■ Readme.html et licence.txt: – yoursite.com/readme.html ou yoursite.com/licence.txt ces deux liens permette d’accedé à certain information que l’attaquant peut utilisé pour mené des attaques. – Contre mesure: supprimer le readme.html et licence.txt.
  • 7. Vulnérabilité et remédiation (suite) ■ wp-config.php : – www.yoursite.com/wp-config.php ce lien permet d’accéder au fichier wp-config.php, si nous obtenons une page blanche cela veut dire que le format na pas pu être interprété car il ne contient pas de code interprétable mais l’accés n’est pas interdit. – Contre mesure : il faut ajouter ces lignes de code dans le doc .htaccess :
  • 8. Vulnérabilité et remédiation (suite) ■ wp-login.php : – www.yoursite.com/wp-login.php ce lien permet d’accéder à la page d’administration du wordpress. – Contre mesure : ajouté ces ligne de code au document .htaccess
  • 9. Vulnérabilité et remédiation (suite) ■ Wp-include : – www.yourdomain.com/wp-includes ce lien permet d’accéder au repartoir wp- include et avoir accés au dossiers. – Contre mesure: il faut ajouter cette ligne au fichier .htaccess : ■ Pour désactiver les information lier à l’hébergeur on ajoute ces lignes de code au fichier .htaccess :
  • 10. Vulnérabilité et remédiation (suite) ■ Pour protéger le fichier .htaccess il faut ajouter ces lignes:
  • 11. Vulnérabilité et remédiation (suite) ■ Si un attaquant accède à la page d'administration après avoir effectué un brute force. Il peut accéder à l'onglet Plugins>Editor et accédé donc au code PHP. Cette attaquent peut injecter du code comme un cheval de trois ou autre code malicieux. – Contre mesure ajouter ces lignes de code au fichier config.php : ■ Quand en utilise des plugins en ajoute automatiquement du code PHP qui marche sous une version mais le serveur marche sous une autre version, ce qui fait que des erreurs peuvent être rapportées donnant des informations sensibles et accessibles à tous. – Contre mesure ajout ces lignes suivant au fichier wp-config.php :
  • 12. Vulnérabilité et remédiation (suite) ■ Dans le fichier wp-include se trouve le fichier function.php en ajoutant ces lignes de code cela permet de ne pas divulguer l'information sur la version du WordPress mais l'idéal c’est de mettre toujours à jours WordPress :
  • 13. Vulnérabilité et remédiation (suite) ■ Nom de l’administrateur : – yourwebsite.com/?author=1 ce lien permet de retrouvé le nom de l’administrateur. – Contre mesure: ajouté ces lignes de codes dans le fichier function.php et qui permet de rediriger vers le home page :
  • 14. Vulnérabilité et remédiation (suite) ■ Page de login : – La page de login fait la différence entre l’erreur username et l’erreur password. – Contre mesure: ajouter ces lignes de code dans le fichier function.php :
  • 15. Vulnérabilité et remédiation (suite) ■ https://wpvulndb.com/ : Ce site contient les vulnérabilité des ancienne version de WordPress. ■ Contre mesure : mettre toujours à jourWordPress.
  • 16. Plugin de sécurité ■ CAPTCHA : est un programme qui protège les sites contre les robots en créant des tests que les humains peuvent facilement passer, mais pas les programmes informatiques. (google captcha) ■ authentification à deux facteurs :Vous essayez d'accéder avec un nom d'utilisateur et un mot de passe. Il s'agit de la première authentification. Ensuite, un code est envoyé sur votre téléphone mobile ou dans votre boîte mail.Vous devez le saisir dans un formulaire. Il s'agit de la deuxième authentification. (miniOrang 2 facteur authentication). ■ Installation duWAFWordfence : permet de d’assurer cinque fonctionnalité : scanner, détecter, protéger, bloquer, réparer.
  • 17. ■ Supprimé le message d’erreur du login.php (ajoute dans function.php) https://www.wpbeginner.com/wp-tutorials/how-to-disable- login-hints-in-wordpress-login-error-messages/ How to Disable Login Hints in WordPress Login Error Messages
  • 18. ■ Contre mesure pour énumération des utilisateurs (3 méthod sont utilisé pour énumeré les utilisateurs flux rss, brute force, fichier json) ■ Contre mesure contre énumération des utilisateurs Permet de bloquer le brut force des id pour énuméré les utilisateurs (à ajouter dans le fichier htacess)
  • 19. Contre mesure contre énumération des utilisateurs Désactivé le flux rss (ajouter dans phunctions.php)
  • 20. Merci pour votre attention.

Notes de l'éditeur

  1. Quelque information intéressent sur WordPress
  2. qui veut dire interdire l'accés au fichier commencant par « .hta »