Mise-à-jour WordPress et sécurisation basique

Une faille de sécurité sur le logiciel WordPress permet de réinitialiser le mot de passe d’un utilisateur connu (admin par exemple…). Cela consiste à faire une requête du type http://SERVERNAME/wp-login.php?action=rp&key[]= (soumettre une key[] vide permet apparemment de rendre inutile la vérification par mail). Il est donc conseillé de mettre à jour WordPress en version 2.8.4 (voici le patch pour passer de la version 2.8.3 à 2.8.4).

J’en profite pour rappeler quelques notions basiques pour sécuriser une installation d’un logiciel PHP, surtout quand il est très répandu : si possible, limiter les accès aux parties backoffice via Apache (restriction par adresses IP et/ou authentification HTTP), utiliser des identifiants originaux (pas forcément admin…), des mots de passes complexes, éviter les modules/plugins non fiables, suivre les notifications de mises-à-jour et les appliquer rapidement (cela implique de limiter les modifications intrusives empêchant des futures mises-à-jour, ou du moins les préparer sous forme de patch pour les ré-appliquer très rapidement), etc. Pour le premier point, voici un exemple de sécurisation de WordPress via Apache :

<LocationMatch "^/wordpress/wp-(admin|login)">
Deny from all
Allow from YOUR_IP
</LocationMatch>

Tags: , , ,

2 Responses to “Mise-à-jour WordPress et sécurisation basique”

  1. […] par la proposition de Gregory Colpart, j’ai décidé moi aussi de bloquer l’accès à […]

  2. geoffroy says:

    Pour la suivante: (lire http://wordpress.org/development/2009/10/wordpress-2-8-5-hardening-release/ – des pti-trous, des pti-trous…)
    http://dgeos.net/patch_wp-2.8.4-2.8.5.diff
    (patch -p1 de l’install francisée)