Sécurisation des attaques xmlrpc.php dans wordpress

29 octobre 2019 informatique No comments

Le fichier xmlrpc.php de votre cms wordpress(éditeur de contenu web) permet de recevoir un appel à distance. L’état de ce fichier est activé par défaut et il permet par-exemple de faire communiquer un plugin installé sur votre cms et l’éditeur de ce plugin.

Il permet aussi aux pirates de voir les trous de sécurité de votre site.

Il est donc nécessaire de bloquer l’appel à ce fichier xmlrpc.php depuis internet pour sécuriser votre site.

Il y a des plugins sur internet mais je n’ai pas eu le temps de les analyser.

La méthode simple et rapide pour la configuration du serveur apache est:

  • Ajouter l’option “AllowOverride All” dans le fichier de configuration apache de votre site dans le dossier “sites-available“.

exemple:

    <Directory "/var/www/monblog">
        Options All -Indexes
        AllowOverride All
        Require all granted
    </Directory>

  • Ajouter les lignes suivantes dans le fichier .htaccess configuré à la racine de votre site:
<Files xmlrpc.php>
order deny,allow
deny from all
# la ligne suivante permet d'autoriser pour une adresse IP spécifique,possible de faire une plage d'adresse IP
allow from ICI_VOTRE_IP_DISTANT_AUTH_WP
</Files>
  • Redémarrer/recharger votre serveur apache
  • Tester l’accès au fichier xmlrpc.php(depuis un URL de votre navigateur)

On doit obtenir l’erreur 403 si l’adresse IP utilisée est différente de “ICI_VOTRE_IP_DISTANT_AUTH_WP”(ci-dessus) .

Voilà.

Vérifier la santé de votre blog(site) wordpress5

3 octobre 2019 informatique No comments

On a remarqué le tableau de bord de santé(Menu “Outils”->Santé du site) de votre blog/site web.

On peut faire les tests sur votre blog pour voir les anomalies,les sécurités, les performances.

On peut avoir un exemple ci-dessous:

Mise à jour de la version majeur de wordpress (4To5)

3 octobre 2019 informatique No comments

La mise à jour de la version majeur de wordpress nécessite le téléchargement du fichier compressé de wordpress(ex:wordpress-5.2.3-fr_FR.tar.gz) dans votre dossier web(en excluant le dossier wp-content).

  1. Faire une sauvegarde de votre dossier web contenant l’arborescence de votre blog(ou site). Comme je suis sous linux, j’utilise la commande tar(tar -cvf dossierwebblog.20191003.tar dossierwebblog)
  2. Faire une sauvegarde de votre base de données
  3. Télécharger le fichier compressé correspondant la version à installer
  4. Décompresser le fichier archive wordpress-5.2.3-fr_FR.tar.gz dans un dossier temporaire(tmp)
  5. Aller dans ce dossier tmp/wordpress
  6. Supprimer le dossier tmp/wordpress/wp-content
  7. Mettre en conformité le droit des accès aux fichiers correspondant à votre dossier de votre blog/site web(chown -R www:apache wordpress)
  8. Aller dans le dossier “tmp/wordpress/” puis construire votre nouvelle archive wordpress5.2.3 avec la commande “tar -cvf wp5.2.3.tar .”
  9. De-archiver votre archive wp5.2.3.tar dans votre dossier web du blog/site
  10. Aller sur le site en mode “administrateur ” pour finaliser la mise à jour de votre blog/site.
  11. Voilà. Site OP.(Re-vérifier votre version dans l’interface admin)

La commande sous terminal pour voir les mails(Maildir) provenant d’un expéditeur(comme motif de recherche) avec un grep+cut+while

30 septembre 2019 informatique No comments

1)Aller sous le dossier “cur” ou “new” etc de l’utilisateur
2)Exécuter la commande suivante:
mon_user_mail>>>>grep “To: mon_user_mail@mon_domain_mail” *|cut -d “:” -f 1 |while read line ; do more $line ; done

$line contient le nom du fichier.

Protégé : Exemple de connexion en reverse ssh pour une équipe autorisée

26 septembre 2019 informatique Saisissez votre mot de passe pour accéder aux commentaires.

Cette publication est protégée par un mot de passe. Pour la voir, veuillez saisir votre mot de passe ci-dessous :

« Older Entries Recent Entries »