Sécurité Wordpress 2.7.1 sur sme 7.4.

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

Sécurité Wordpress 2.7.1 sur sme 7.4.

Messagepar chatronronant » 13 Avr 2009 15:55

Bonjour à tous...

Excusez-moi, c'est mon premier post... :oops:

Voilà, je suis auto-hébergé sur une sme 7.4 à titre strictement personnel (une petite dizaine d'utilisateurs) et je l'utilisais jusque là essentiellement pour le courriel et le groupware. Ma sme n'était pas référencée et était donc jusqu'à présent presque "inconnue" du vaste web (à part de quelques bots...). J'aimerais à présent y rajouter Wordpress et, après demande très insistante, dois faire connaître mon serveur du monde entier (Forcément :| ... Sinon ce ne serait pas drôle ).

Ma question concerne ceux qui hébergent déjà Wordpress et la sécurité offerte "par défaut" par la sme lorsqu'elle est ouverte et connue du monde impitoyable de l'Internet : moteurs de recherche, script kiddies et bots (les seuls à passer me faire une petite visite de temps de temps pour l'instant) de tout poil. J'aimerais que vous me disiez si ce que j'ai prévu est suffisant... Sachant que je vais disposer de moins en moins en moins de temps (heureux évènement toussa...) pour surveiller/administrer le bouzin... Impératif de temps qui me rend très "nerveux" à l'idée d'ouvrir ma sme... Et comme je me fais tirer sur les oreilles pour ne pas l'avoir déjà fait...

La sme est en passerelle/serveur (192.168.1.) derrière un firewall (192.168.0.) ne laissant entrer que le http(s) et le mail. Le ftp est désactivé. Le ssh n'est utilisable que depuis le lan (donc 192.168.1.).
Wordpress 2.7.1 sera installé dans une ibay, le visiteur devra cliquer sur un lien qui l'emmènera vers le CMS.
Les droits prévus sont les suivants (user : admin/groupe : www) : 750 sur l'ensemble du répertoire html à l'exception du répertoire wp-content/uploads qui sera en 770.
Un utilisateur spécifique a été créé pour la base de donnée (ne portant pas le nom par défaut) avec le user/mdp kivabien (aphanumérique + caractères spéciaux en paguaille).
Le préfixe des tables ne sera pas wp_.
Un autre utilisateur (là aussi avec user/mdp kivabien) ayant les droits admin sera créé et l'original supprimé.

Ai-je oublié quelque chose ? Faits quelque chose qui ne fallait pas ? Suis-je trop paranoïaque ? :wink:

Merci d'avance pour votre aide.

Edit : reformulation d'une phrase qui n'avait pas de sens...
Dernière édition par chatronronant le 13 Avr 2009 20:56, édité 1 fois au total.
chatronronant
Matelot
Matelot
 
Messages: 2
Inscrit le: 11 Avr 2009 18:53

Messagepar shwing » 13 Avr 2009 16:23

salut, il ne faudra pas oublier de mettre les mises à jour de wordpress pour être sur de ne pas de faire péter ton site, sinon tu ne risque pas grand chose.
Avatar de l’utilisateur
shwing
Amiral
Amiral
 
Messages: 1246
Inscrit le: 14 Mars 2004 01:00
Localisation: GE/CH

Messagepar chatronronant » 13 Avr 2009 20:54

Merci de ta réponse shwing...

Pour les m.a.j., cela va sans dire... :wink:

Bon, bah, il n'y a plus qu'à se lancer à l'eau... (plouf)

Si d'autres personnes passent et peuvent laisser leurs expériences...

@+ et encore merci...
chatronronant
Matelot
Matelot
 
Messages: 2
Inscrit le: 11 Avr 2009 18:53

Messagepar Muzo » 22 Avr 2009 21:10

Bonsoir et bienvenue,

Regardes bien les forums liés à wordpress.
Apparement il y'a une faille béante dans l'installation de base de wordpress. Et cela se corrige facilement.

Cependant, tu as bien fait d'installer wordpress dans une ibay, car j'avais installer la version sme-isée. Seulement mon wordpress n'était pas ouvert à internet, ni configurer pour être accessible (et par défaut wordpress prend l'adresse ip du serveur pour nom de domaine).
Quel ne fut pas ma surprise en allant sur un de mes site et en ajoutant /wordpress à la fin, de voir la sme répondre ... l'adress ip interne ... :x
J'ai donc désinstaller le soir même et réaliser une installation dans une ibay, car c'est un wordpress de test, pour faire du développement de skins.

Si je retrouve le lien concernant la sécurisation de wordpress, je la fourni. (c'est ma chère et tendre qui l'a lue)

/Muzo
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité