Archives: sécurité

Mon serveur a planté mercredi dernier, le 8 juillet 2015. Je vais me rappeler de cette date comme celle à laquelle j'ai eu une bonne leçon... et qui m'a poussée à réviser ma stratégie de copie de sécurité. (suite…)

Lorsque vous installez WordPress sur un serveur ou que vous modifiez un site WordPress existant pour lui ajouter un thème ou une extension, vous devez faire attention aux fichiers que vous copiez sur le serveur. En effet, certains fichiers, dont l'extension n'est pas protégée par le serveur (ex : .txt), pourraient comprendre de l'information intéressante pour les usagers malveillants comme par exemple le numéro de version de WordPress, d'un thème ou d'une extension.  (suite…)

Dans le monde du Web, il est impératif d'être au fait des dangers qui guettent nos données et nos installations.

Les attaques XSS (Cross-Site Scripting) sont un type d'attaque qui consiste à injecter du code malicieux, souvent sous forme de Javascript (balise <script>), afin de générer des comportements non prévus sur le site Web.

Cet article vous présente une technique qui vous aidera à protéger votre site : l'encodage des caractères potentiellement dangereux.

(suite…)

Quand vient le temps de protéger des informations sensibles stockées dans une base de données, comme les mots de passe, on utilisera les termes cryptage, hachage (en anglais : hash) et salage (en anglais : salt). 

Afin de comprendre comment bien protéger nos informations, voyons ce que signifient ces termes.

(suite…)

Une injection SQL consiste à entrer des caractères précis dans une variable qui sera utilisée dans une requête SQL. Ces caractères feront en sorte que la requête originale sera déviée de son but afin d'ouvrir des portes aux utilisateurs malveillants. Ils pourraient, par exemple, s'authentifier sans connaître le mot de passe, créer un nouvel usager administrateur dont ils connaîtront le mot de passe, détruire une table, bousiller les données, etc.

Mais où ces injections peuvent-elles être entrées ? À n'importe quel endroit où les données peuvent être modifiées par un usager : dans une case de saisie, dans un URL, dans un cookie, etc.

(suite…)

Dès qu'un site Web est publié, il est exposé à des attaques. Ceci est vrai peu importe le langage ou la technologie utilisée. C'est pourquoi WordPress met à votre disposition des mécanismes de protection contre de telles attaques. Les sections suivantes exposent quelques-unes des protections dont vous devez absolument tenir compte.

• Précautions lors de l'installation initiale du site
• Modifier l'usager admin du site
• Protéger sa base de données : utilisateurs aux droits restreints
• Renommer les tables WordPress
• Mise à jour de WordPress
• Mise à jour d'un thème ou d'une extension

(suite…)

WordPress est une plateforme permettant de développer rapidement un site Web ou un blogue. Il existe deux grandes familles de sites WordPress.

• wordpress.com : offre une plateforme WordPress déjà installée sur un serveur. Les sites développés sous wordpress.com seront hébergés à cet endroit. Pratique et rapide mais la version gratuite offre des possibilités de développement limitées.
• wordpress.org : permet de télécharger le code source entier de WordPress. Que vous soyez novice ou expert, vous pouvez l'installer localement sur votre ordinateur (voir procédure plus bas) pour développer votre site avant de mettre le tout en ligne à l'endroit de votre choix. Les possibilités offertes sont quasi illimitées : installation du thème de votre choix, des extensions (plugins) qui répondent à vos besoins et même programmation de fonctionnalités personnalisées. Le tout est tout à fait gratuit. Même pour l'hébergement, il existe de nombreux hébergeurs gratuits et sans publicité forcée. wordpress.org demande une étape supplémentaire par rapport à wordpress.com : réaliser l'installation du site. En revanche, cette solution offre beaucoup plus de souplesse.

Vous devinerez que sur mon blogue, qui a d'ailleurs été développé avec wordpress.org, je vous entretiendrai sur cette dernière alternative. (suite…)

Lorsqu'un usager soumet du texte à partir d'un formulaire HTML, il faut s'assurer que ce texte ne comprend pas d'instructions malveillantes. Sans entrer dans les détails de la sécurité informatique, vous devez être conscients des dangers potentiels face aux informations entrées dans un formulaire.

Les mêmes problèmes peuvent se présenter pour toutes informations pouvant être entrées par l'usager : paramètre dans l'URL, information tirée d'un cookie, etc. (suite…)

Par défaut, l’installation d’EasyPHP crée, dans MySQL, un usager root sans mot de passe. Ceci est correct pour un travail sur un serveur de développement local comme EasyPHP mais il serait très dangereux de travailler ainsi sur un site Web en ligne. 

(suite…)