Category

Wordpress 4.1

wpscan

WPScan – Le guide

By | Sécurité, Wordpress 3.6, Wordpress 3.7, Wordpress 3.8, wordpress 3.9, wordpress 4.0, Wordpress 4.1 | No Comments

WPScan est un logiciel très puissant, permettant de déceler les failles de sécurité de votre site WordPress.

Ce guide n’a pas pour vocation de faire de ses lecteurs des hackers chevronnés du type black hats, bien au contraire. L’idée est de se positionner du coté des white hats. C’est pourquoi, la fonction brut force de WPScan ne sera pas décrite dans ce guide.

Dans ce guide consacré à WPScan, il sera abordé les thèmes suivants: l’installation sur les systèmes Unix, l’analyse des failles de sécurité des thèmes et des plugins WordPress ainsi que quelques conseils pour combler ces failles.

 Installer WPScan

Il faut savoir que WPScan fonctionne exclusivement sur les systèmes Linux et Mac OS X. Par conséquent aucun fichier d’installation n’est prévu pour Windows.

Codé en Ruby, WPScan nécessite l’installation de certains logiciels qui varie entre Linux et Mac OS.

1 – Pous Linux :

  • Ruby >= 1.9.2 – Recommended: 2.2.0
  • Curl >= 7.21 – Recommended: latest – FYI the 7.29 has a segfault
  • RubyGems – Recommended: latest
  • Git

2 – Pous Mac OS X :

  • Apple Xcode
  • Command Line Tools
  • libffi

Téléchargez, puis installez WPScan en suivant les instructions décrites sur le site officiel.

Pour ceux qui ne souhaitent pas installer WPScan sur leur système, il est possible de télécharger l’une des distributions Linux suivante:

WPScan y est déjà installé, et ces distributions Linux fonctionnent parfaitement en live CD/USB.

Une fois l’installation terminée, il faut tout d’abord mettre à jour la base de données de WPScan afin que le logiciel puisse effectuer ses analyses avec les dernières failles de sécurité connues.

Pour cela ouvrez votre terminal en tant que root et taper la ligne de code suivante:


# wpscan --update

Utiliser WPScan

Pour commencer, lancez une simple analyse de votre site à l’aide de la commande suivante:


# wpscan -u www.votre_site.com

Dans la liste qui s’affiche, doit apparaitre des informations telles que: la version de WordPress, les thèmes installés, les plugins installés précédé des pictogrammes suivants:

[+] Aucune vulnérabilité détécté.

[+] Vulnérabilité faible. A corriger tout de même.

[!] Vulnérabilité forte. A corriger de toute urgence.

La plupart des failles détectées ici peuvent être comblées en effectuant des mises à jour ou bien en supprimant certains fichiers tels que les readme.

Une fois tous les pictogrammes [+] au vert, taper la ligne de code suivante pour faire une analyse plus poussée:


# wpscan -u www.votre_site.com -e

Plus poussive, cette analyse est bien plus longue que la précédente. De plus lors de la un nouveau pictogramme apparaît [ i ]. Précédé du pictogramme [!], il indique que la faille détectée a été corrigée dans une version plus récente du plugin.

Le mot de la fin

Pour plus d’informations sur WordPress est la sécurité, un article intitulé Sécuriser WordPress dès l’installation est disponible sur ce site. En effet certaines failles peuvent être corrigées dès l’installation. Elle concerne notamment la base de données SQL. Ces failles ne sont pas analysées par WPScan.

De plus, même si l’utilisation de la fonction brut force de WPScan n’est pas expliqué ici, il n’est pas hors de propos de regarder la liste de plugins réputés sûrs pour empêcher cela.

Personnaliser l'accès au tableau de bord Wordpress

Personnaliser l’accès au tableau de bord WordPress

By | Aide et astuces, côté serveur, Plugin Wordpress, Wordpress 3.6, Wordpress 3.7, Wordpress 3.8, wordpress 3.9, wordpress 4.0, Wordpress 4.1 | One Comment

Pour personnaliser l’accès au tableau de bord WordPress il existe deux méthodes:  le plug’in HC Custom WP-Admin URL et la redirection 301.

 

Je n’apprendrais rien à personne en disant que l’accès au tableau de bord de WordPress se fait en ajoutant /wp-admin à la suite de l’adresse de votre de blog. Tout le monde le sait, même les hackers ! D’où l’intérêt de personnaliser cette dernière. Car si le hacker ne sait pas comment parvenir jusqu’à la page du login, alors sa tentative de piratage de votre blog se compliquera très sérieusement.

L’idée est de trouver un bon compromis entre simplicités pour vos collaborateurs ou clients et complication pour les hackers. Donc choisissez bien le mot de substitution à /wp-admin.

Pour personnaliser sa page de connexion WordPress deux solutions possibles : à l’aide du plug’in HC Custom WP-Admin URL ou bien en éditant le fichier .htaccess situer à la racine du serveur.

Dans tous les cas l’idée est de faire une redirection 301. C’est pourquoi votre serveur Apache doit impérativement avoir le module mod_rewrite d’activer.

 

Le plugin HC Custom WP-Admin URL

C’est sans conteste la méthode la plus simple. Dans Extensions -> Ajouter recherchez HC Custom WP-Admin URL installez-le puis activez-le.

Personnaliser l’accès au tableau de bord WordPress, rendez-vous dans le menu Réglage -> Permaliens.

En bas de la page localisez le champ wp-admin slug, puis ajouter complétez-le avec le mot de votre choix.

Une fois remplacé fait un test avec le nouveau mot puis avec le bon vieux /wp-admin. Il y a de forte chance que cela fonctionne encore avec /wp-admin et /wp-login, car il ne faut pas oublier que WordPress génère un cookies lorsque l’on ouvre une session. Par conséquent, supprimez vos cookies et refait un test.

Pour ceux qui viennent d’activer le module mod_rewrite, modifier les permaliens est un excellant moyen de savoir si cela a été fait correctement.

Le fichier .htaccess

Localisez ou créez un fichier .htaccess à la racine de votre site WordPress puis ajouter la ligne de code suivante :


RewriteRule ^pseudo-text$ http://VOTRE_BLOG.com/wp-admin [NC,L]
RewriteRule ^pseudo-text$ http://VOTRE_BLOG.com/wp-login.php [NC,L]

Pour rappel, le fichier .htaccess permet de passer des instructions à Apaches lorsque l’on n’a pas accès au fichier de configuration d’Apache.

pseudo-texte$ est le mot qui remplacera /wp-admin.

http://VOTRE_BLOG.com/wp-admin  et http://VOTRE_BLOG.com/wp-login.php sont les liens par défauts.

Sortie de WordPress 4.1 pour des améliorations très appréciables

By | Aide et astuces, Wordpress 4.1 | No Comments

WordPress sort donc sa nouvelle mise à jour, et même s’il ne s’agit que d’une mise à jour face aux changements qu’on a pu voir sur la version 4.0 ou pour le lancement de WordPress 3.0, beaucoup de nouveautés se présentent à nous, et plutôt agréables.

Donc, à retenir de façon exhaustive:

  • L’arrivée du nouveau thème annuel : Twenty Fifteen.
  • L’intégration d’un changement de langage directement à travers l’interface, plus besoin de copier-coller les fichiers  en .po et .mo.
  • Quelques changements techniques mineurs mais appréciables, comme le suivi du WYSIWYG (le distraction-free) lorsqu’on descend une page, pour plus d’efficacité dans le traitement du contenu. C’est d’ailleurs un point clair qui indique une nouvelle fois que le contenu reste la première des choses à bien traiter sur un site web (je ne parle pas de Google vous le pensez bien !)
  • La possibilité d’ajouter directement les vidéos vine, les fameuses vidéos courtes de type twitter, qui nous rappel l’importance des réseaux sociaux.

Un maj qui portent un message également à travers l’intégration du thème Twenty Fifteen et l’intégration Vine : C’est l’importance prépondérante du responsive, au service du mobile qui va devenir la première plate forme de consultation web à partir de l’année prochaine, loin devant le PC qui va prendre la troisième place.

Les sites se doivent donc d’être responsive, adaptés au mobile, tout autant que les boutiques en lignes qui doivent faire l’object d’une attention toute particulière sur ce point.

 

menu de navigation responsive

Créer un menu de navigation responsive pour WordPress

By | Le graphisme et wordpress, Plugin Wordpress, Wordpress 3.6, Wordpress 3.7, Wordpress 3.8, wordpress 3.9, wordpress 4.0, Wordpress 4.1 | No Comments

Créer un menu de navigation responsive simplement avec le plugin Responsive Select Menu.

 

Nombreux sont les thèmes gratuits qui ne possèdent pas encore de menu qui répondent aux exigences du responsive web design et corriger cet oubli n’est pas à la portée de tout le monde.

Heureusement des plugins comme Responsive Select Menu permettent au plus grand nombre d’entre-nous de créer un menu de navigation responsive sans taper une ligne de code.

 

Installation

Téléchargez puis Installez le plugin depuis le tableau de bord de WordPress, puis activez-le.

Rendez-vous dans Apparence -> Responsive Select.

A quoi peuvent bien servir tous ces plugin qu’il est demandé d’installer ?

 

Le développeur de ce plugin à également créer un menu appeler UberMenu dont la démo est disponible sur le site officiel.

C’est plugin additionels sont utiles seulement si UberMenu est installé. Dans le cas contraire, il n’y aura pas besoin de les installer.

 

Configuration

La configuration de Responsive Select Menu se fait essentiellement depuis la rubrique Basic Configuration. La rubrique Advanced Settings permet seulement d’activer/désactiver le menu responcive sur certaines pages.

menu de navigation responsive

Maximum Menu Width : choisissez la largeur à laquelle le menu deviendra responcive.

Menu Depth Limit : laissez sur 0 pour afficher tous les éléments du menu. Ou un chiffre si certaine rubrique du menu ne doivent pas être affichés.

Sub Item Space : permet de personnaliser l’espace présent devant les sous-catégories du menu.

Exclide Items Without Links : masque toutes les catégories qui n’ont pas de liens (# ou vide).

First Item Name : personnalise la première catégorie « factice » du menu

: affiche le nom de la catégorie active lorsque le mobinaute navigue sur votre site.

Activate All Theme Locations : rend tous les menus responcive.

Selectively Activate Theme Locations : rend uniquement le menu principal responcive. L’option précédente doit être désactivé.

 

Une démonstration du plugin est disponible sur : http://agility.sevenspark.com/responsive-select-menu