Nous verrons dans cet article comment sécuriser son blog sous WordPress, mais les principes restent applicables pour d’autres CMS.

La protection des répertoires

Votre site web s’affiche selon la structure de vos fichiers et dossiers présents à partir de la racine web appelée « web root directory »

Il s’agit généralement du répertoire (sous unix) /var/www/ ou encore /home/www/

Cette racine du site s’affiche donc par  un « / » final dans votre URL :

Exemple : www.site.fr/ correspond au contenu présent dans /var/www/

Le fichier accueil.html contenu dans le dossier d (/var/www/d/accueil.html) s’affiche donc ainsi via l’URL : www.site.fr/d/accueil.html

Vous le saviez déjà ? Très bien.

Et où est le problème avec ça ?

Le problème, c’est que par défaut si vous naviguez vers : www.site.fr/d/ vous affichez tous les fichiers et dossiers qu’il contient, sans même forcément le savoir.

Et n’importe quel internaute peut décider de l’afficher même si vous ne donnez ce lien spécifique à personne.

Exemple :

Comment sécuriser son blog

A cela près qu’un index.php ou .html s’affichera automatiquement si il est présent dans le dossier concerné, ici dans l’exemple ci-dessus, si j’ajoute un fichier index, c’est lui qui s’affichera automatiquement sans lister le contenu.

Veillez donc à placer des fichiers index.html même vides dans un dossier dont vous souhaitez masquer le contenu.

Un autre moyen pour cela est l’utilisation d’un fichier .htaccess :

Le fichier .htaccess est un fichier de configuration du serveur web Apache et permet de gérer les accès, les redirections, les messages d’erreur etc.

Ainsi pour limiter les accès à tous les dossiers, on peut placer à la racine web un fichier .htaccess, et y mettre :

Options -Indexes
ErrorDocument 403 http://www.site.fr/403.html

Options -Indexes demande de ne pas afficher le contenu des dossiers. Cette option génère une erreur 403 Forbidden à l’utilisateur qui essaie d’y accéder.

D’où la deuxième ligne qui indique une page personnalisée à afficher, vous pouvez donc indiquer votre message dans cette page qui sera renvoyée en cas d’erreur 403.

Enfin, je vais vous dire un petit secret, ça ne suffit pas pour masquer totalement un fichier !

En fait, c’est Google lui-même qui peut à la longue indexer vos fichiers et donc permettre l’accès direct à ceux-ci en connaissant leurs noms !

En effet, toujours dans l’exemple ci-dessus, le fichier index.html ou le .htaccess empêche l’affichage du contenu mais pas l’accès, le fichier www.site.fr/d/secret.txt est donc accessible directement.

Et même avec un nom du type 2545s547d5fdsf1475sd7gvs, et c’est exactement ce que je voulais dire, si il est indexé par Google, on le connaîtra quand même 😉

Comment le connaître ?

Jetez un œil à mon article sur Google, vous pouvez utiliser des expressions du type:

« www.site.fr/d/* » pour afficher tous les fichiers gentillement indexés par Google.

Trois solutions sont envisageables pour éviter cela :

  • Renommer régulièrement vos fichiers et les changer de répertoire (c’est pas très propre, voire impossible à faire pour les fichiers de base du site)
  • Utiliser la balise
    <META NAME="ROBOTS" CONTENT="NOINDEX, NOFOLLOW">

    dans vos fichiers php ou html pour indiquer à Google de ne pas indexer ces fichiers spécifiques.

  • Créer un système de lien temporaire valable que quelques minutes (comme pour la plupart des sites de téléchargement)

Sécuriser son installation WordPress

Comme nous le constatons régulièrement sur ce site, il existe énormément de failles web et la plupart sont très peu connues en plus d’être très dangereuses.

La notoriété de WordPress le rend d’autant plus la cible d’attaques et de tentatives de hacking.

On va donc s’armer de nos connaissances (notre arme principale) et de plugins indispensables pour maintenir une installation de WordPress sécurisée.

Téléchargez donc le plugin Better WP Security qui vous permettra de sécuriser facilement et complétement votre installation. Lorsqu’il est installé, le plugin vous indique avec détails les démarches à faire.

Si vous ne connaissez pas encore la faille CSRF jetez un œil ici, et téléchargez éventuellement le plugin Baw anti-csrf.

Et enfin, le mot d’ordre : restez vigilent 😉

2 Commentaires. En écrire un nouveau

Laisser un commentaire

Menu
More in Sécurité Informatique, Failles Web
Comment récupérer une adresse IP

Article mis à jour régulièrement. Dernière mise à jour : retrait de whatstheirip, qui, à la date de cette édition, semble avoir été abandonné. Remplacement...

Close