Pensez à empêcher la réinitialisation de votre WordPress

| Nb visites : 804 |

wordpress <strike>Grosse</strike> faille non patchée dans WordPress ! Amis bloggers, voici lastuce pour éviter le drame...

J’ai vu à plusieurs reprises ces derniers temps que certains site sous WordPress étaient complétement planté à cause d’un crash de base de données…

En effet, parfois, suite à on ne sait pas trop quoi (les plugins ?), il arrive que la base (et notamment la table wp-options) se corrompe. Normalement, tout ceci est simplement réparable via MySQL mais pendant le temps où la base est HS, on voit sur les sites en question une jolie page d’install comme celle-ci :

wordpressinstall Pensez à empêcher la réinitialisation de votre Wordpress

Du coup, l’ennui avec ça c’est que le premier glandu qui passe sur votre site peut réinitialiser votre wordpress et mettre son propre email pour devenir admin.

La seule solution ? Empêcher l’accès au fichier /wp-admin/install.php soit en mettant un .htaccess de ce type sur votre FTP

<Files install.php>
 Order Allow,Deny
 Deny from all
 Satisfy all
</Files>

soit en supprimant complétement le fichier /wp-admin/install.php

Et voilà, on se sent un petit peu plus en sécurité comme ça non ?

Publicité

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



35 commentaires

  1. TDM Reply to this comment


    En même temps, cette petite manip fait partie de tout mode d’emploi d’installation de wordpress qui se respecte, non ?

    Posté le 11 mai 2009 à 09:35:24

  2. lossy Reply to this comment


    MODx’it, Drupalized, Silverstonize…

    Posté le 11 mai 2009 à 09:51:20

  3. Fabrice Rainaut Reply to this comment


    @tdm : je dirais même que c’est la première étape ;)
    Mais c’est bon de le rappeler qd même.

    Posté le 11 mai 2009 à 10:00:32

  4. Arnaud Esquiva Reply to this comment


    @TDM: Anéfé. Ils conseillent de le supprimer juste après l’installation si mes souvenirs sont bons. Mais c’est toujours bien de le rappeler.
    Perso, j’ai un truc bien avec mon hébergeur, c’est la sauvegarde automatique de mes bases de données, et ce, toutes les 24h. Donc à la limite, même si mon WordPress est réinitialisé, j’ai toujours les sauvegardes sous le coude ; )

    Posté le 11 mai 2009 à 10:03:43

  5. Rick Hunter Reply to this comment


    Oui, dès que tu as fini l’installation, tant que tu n’as pas effacé le fichier ou le répertoire, la plupart des CMS te disent de le faire (en rouge, gras et encadré!).

    Posté le 11 mai 2009 à 10:05:16

  6. inso Reply to this comment


    C’est le cas pour IPB, pour dotclear aussi me semble. WordPress ne te le rappelle pas…

    Posté le 11 mai 2009 à 10:09:31

  7. Blog design Lab Reply to this comment


    Effectivement on a tendance à oublier ce point pourtant crucial dans la sécurité d’un WP

    Posté le 11 mai 2009 à 10:51:07

  8. Séverin Moussel Reply to this comment


    Merci, ho! grand Korben pour cette astuce incontournable immédiatement appliquée sur mes sites.

    Posté le 11 mai 2009 à 10:53:23

  9. Pakito Garrigues Reply to this comment


    Perso, j’avais déjà supprimé le fichier, mais j’ai ajouté les quelques lignes de code dans le .htaccess, pour la simpe et bonne raison que lors de la dernière mise à jour WordPress (2.7 vers 2.7.1 il me semble), le fichier install.php est revenu se foutre dans le dossier « wp-admin », et donc par conséquent, nous sommes vulnérables à chaque mise à jour (enfin, si on suit la logique selon laquelle le fichier revient).

    Donc si jamais je ne pense pas à l’effacer de suite après la m@j, il n’est tout de même pas accessible ! ;)

    Posté le 11 mai 2009 à 10:57:49

  10. Lousia Reply to this comment


    Merci pour le conseil…
    J’ai eu ça sur un blog y’a pas longtemps… Un peu flippant !

    Posté le 11 mai 2009 à 11:58:20

  11. Lousia Reply to this comment


    Oh tiens en validant mon commentaire juste au-dessus je viens d’avoir une merveilleuse page blanche…
    Avec l’adresse korben.info/wp-comments je crois.
    Ouille !

    Posté le 11 mai 2009 à 11:59:19

  12. Korben Reply to this comment


    ok je teste

    Posté le 11 mai 2009 à 12:06:43

  13. Korben Reply to this comment


    Merci Lousia, ça devrait etre réglé now !

    Posté le 11 mai 2009 à 12:07:47

  14. seeeb Reply to this comment


    Merci, je n’avais jamais entendu parler de ça, pourtant anéfé ça tombe sous le sens… Je cours le faire tout de suite^^

    Posté le 11 mai 2009 à 12:51:34

  15. Durden Reply to this comment


    Merci korben, k’avais zapé de le faire.
    Honte sur moi!

    Allez y fouettez moi

    Posté le 11 mai 2009 à 13:29:58

  16. if is Dead Reply to this comment


    Outch, c’est quoi ce choix technique de la part de wordpress ? :/

    Posté le 11 mai 2009 à 13:33:23

  17. Lousia Reply to this comment


    Pleasure is mine ! Ça ne me l’avait jamais fait avant cela dit.

    Posté le 11 mai 2009 à 14:22:38

  18. Marseillais Reply to this comment


    salut, merci de l’info. Venant d’installer WordPress je n’avez pas pensé a cela. Je le fais de suite et fait passer le message :)

    Posté le 11 mai 2009 à 17:11:50

  19. Oleiade Reply to this comment


    Looooool, crash de WordPress comme on se retrouve, figure toi Korben que ce truc m’est arrivé il y a peu à cause d’un module de newsletter que j’avais codé, et dont WordPress ne voulait pas entendre parler ^^.

    Au vu de la difficulté de modification du code WordPress, je l’ai laissé lui et son crash pour rejoindre Drupal. Et depuis, c’est étrange plus de souci :D
    A bon entendeur, code is poetry but wordpress can’t speak ^^

    Posté le 11 mai 2009 à 17:15:48

  20. Hadrien.eu Reply to this comment


    Vraiment d’la merde WordPress. Au moins, chez DC, pas de faille : http://www.alti.info/admin/install

    Posté le 11 mai 2009 à 17:19:36

  21. inso Reply to this comment


    @Hadrien.eu: ca sert à rien de rentrer dans un débat WP/DC… Chacun on leurs atouts…

    Je suis certain que DC a des failles que WP n’a pas.

    Posté le 11 mai 2009 à 17:27:17

  22. Hadrien.eu Reply to this comment


    Certes, mais elles seront plus faciles à trouver vu que WP est pédicodé… ;)

    Posté le 11 mai 2009 à 17:34:09

  23. Raito Kun Reply to this comment


    Joomla aussi interdit d’accéder au site avant d’avoir supprimé le répertoire d’installation complètement.

    Posté le 11 mai 2009 à 18:06:09

  24. semageek Reply to this comment


    Perso, j’ai eut un crash de base de données une fois, il faut se méfier en bidouillant trop de plugins, mais bon rien de grave qui ne soit réparable directement en accédant directement à la base de donnée.
    En tous cas merci Korben, ça m’a surtout fait penser que ça fait un petit moment que je n’ai pas fait de sauvegarde… Allez je la lance de suite…
    En tous cas si qq’un connait un bon moyen de sauvegarder l’intégralité du serveur via ftp ainsi que la Bdd en automatique, je suis preneur…

    Posté le 11 mai 2009 à 18:56:35

  25. Thierry roget Reply to this comment


    merci vraiment pour l’information, j’ai eu le coup 3 fois, ce que j’avais trouvé pour y remédier c’est de nettoyer mes bases. Pour l’anecdote, quelqu’un m’a écrit pour me dire qu’il s’était mis en admin sur mon blog et que ça ne devait pas être très normal. Y a pas que des gens malhonnêtes sur le web!

    Posté le 11 mai 2009 à 19:13:31

  26. William Reply to this comment


    Merci Korben pour l’info, ça évitera aux petits malins de nous faire des misères. Il faut mieux rester prudent sur le web!

    Merci :)

    Posté le 11 mai 2009 à 19:23:24

  27. Joe Le Mort Reply to this comment


    J’avais fait moi même ce htaccess. Je n’ai pas pensé à en parlez chez wordpress. Un oubli de chez eux ?

    @Thierry roget: t’en a de la chance :D

    Posté le 12 mai 2009 à 08:39:58

  28. ninux » Pensez à empêcher la réinitialisation de votre Wordpress Reply to this comment


    [...] Pensez à empêcher la réinitialisation de votre WordPress [...]

    Posté le 12 mai 2009 à 10:16:51

  29. yul Reply to this comment


    Merci Korben !

    Etape super importante effectivement !

    Posté le 12 mai 2009 à 14:55:35

  30. TheKidHackAndCo Reply to this comment


    Qui après avoir lu ça a essayé sur Korben.info ? ;)

    Posté le 12 mai 2009 à 18:48:09

  31. Couteau Suisse N°32 la série des trouvailles Reply to this comment


    [...] Pensez à empêcher la réinitialisation de votre WordPress [...]

    Posté le 15 mai 2009 à 20:06:20

  32. L’hebdo WordPress : VideoPress, thèmes et astuces | WordPress Francophone Reply to this comment


    [...] Korben qui nous donne cette astuce hautement pertinente. Suite à des bugs de bases de données, certains utilisateurs de WordPress ont eu la mauvaise [...]

    Posté le 18 mai 2009 à 21:44:38

  33. Comme une image Reply to this comment


    On peut aussi virer le fichier de réinstall, hein, ça va plus vite, ou encore faire un .htaccess un peu plus subtil pour autoriser sa propre adresse IP.

    M’enfin, la faille de sécurité (n’en déplaise au trolleur DC) est quand même assez faiblarde. Si jamais ça arrive, un petit coup de PhpMyAdmin et on renvoie l’usurpateur jouer dans les jupes de sa mère.

    Posté le 19 mai 2009 à 23:38:18

  34. L’hebdo WordPress : VideoPress, thèmes et astuces Reply to this comment


    [...] Korben qui nous donne cette astuce hautement pertinente. Suite à des bugs de bases de données, certains utilisateurs de WordPress ont eu la mauvaise [...]

    Posté le 20 mai 2009 à 00:10:12

  35. nferon Reply to this comment


    congratulati korben tu entre dans lhebdo au passage tu as un problème de caractère dans ta base de donne il me semble http://www.wordpress-fr.net/blog/wordpress/lhebdo-wordpress-videopress-themes-et-astuces

    Posté le 20 mai 2009 à 14:00:45

(Pensez à personnaliser votre avatar !)