1. N'hésitez pas à vous enregistrer & participer à cette future communauté d'informaticiens, Geeks ou encore Sysadmin.
    Amateur ou confirmé, voir même professionnel, vous avez votre place ici et c'est avec la plus grande joie que vous nous accueillerons !

    Je m'enregistre ici
  2. Vous êtes blogueur et vos articles sont en relation avec l'administration des systèmes?
    Offrez leur une vue supplémentaire via le forum de ZoneAdmin !
    Comment faire? Simple,suivez l'article ici !

Quelles solutions pour protéger WordPress

Discussion dans 'Sécurité / Hacking' créé par virtubox, 4 Juin 2017.

  1. virtubox

    virtubox Visiteur Dantooine Membre Privilège

    Bonjour à tous,
    je gère actuellement un site WordPress avec beaucoup de trafic, et je vais prochainement déployer une nouvelle infra afin de gérer les pics de visites mais également de sécuriser le site.

    Le problème étant que malgré des plugins et un site à jour, un serveur respectant les bonnes pratiques de sécurité (firewall, accès par tunnel ssh, nginx configuré avec headers, pas de php dans les dossiers de contenu etc..), et Cloudflare plan entreprise avec un WAF OWASP ModSecurity en mode high, le nombre d'attaques reste très important et la protection semble insuffisante.

    Je souhaitais donc savoir si vous avez déjà rencontré ce genre de problème, et si vous avez déjà déployé des solutions pour sécuriser et protéger un CMS comme WordPress.

    La nouvelle infrastructure sera basée sur un Proxmox VE avec plusieurs VM, Nginx en front et un cluster MariaDB & Redis dans un réseau privé. Le but étant de se passer de Cloudflare, qui est très coûteux et pas vraiment efficace.

    Merci d'avance pour votre aide.
     
  2. Kero

    Kero Dark Vador Membre du personnel

    Je copie la réponse de @Noobunbox (réponse donnée sur Twitter : )


    Avec des règles nginx, tu peux en bloquer pas mal. je mets deny all et pas return 403 pour les logger et bannir
    Code:
            location ~* "(eval\()"  { deny all; }
            location ~* "(127\.0\.0\.1)"  { deny all; }
            location ~* "([a-z0-9]{2000})"  { deny all; }
            location ~* "(javascript\:)(.*)(\;)"  { deny all; }
            location ~* "(base64_encode)(.*)(\()"  { deny all; }
            location ~* "(GLOBALS|REQUEST)(=|\[|%)"  { deny all; }
            location ~* "(<|%3C).*script.*(>|%3)" { deny all; }
            location ~ "(\\|\.\.\.|\.\./|~|`|<|>|\|)" { deny all; }
            location ~* "(boot\.ini|etc/passwd|self/environ)" { deny all; }
            location ~* "(thumbs?(_editor|open)?|tim(thumb)?)\.php" { deny all; }
            location ~* "(\'|\")(.*)(drop|insert|md5|select|union)" { deny all; }
            location ~* "(https?|ftp|php):/" { deny all; }
            location ~* "(=\\\'|=\\%27|/\\\'/?)\." { deny all; }
            location ~* "/(\$(\&)?|\*|\"|\.|,|&|&amp;?)/?$" { deny all; }
            location ~ "(\{0\}|\(/\(|\.\.\.|\+\+\+|\\\"\\\")" { deny all; }
            location ~ "(~|`|<|>|:|;|%|\\|\s|\{|\}|\[|\]|\|)" { deny all; }
            location ~* "/(=|\$&|_mm|(wp-)?config\.|cgi-|etc/passwd|muieblack)" { deny all; }
            location ~* "(&pws=0|_vti_|\(null\)|\{\$itemURL\}|echo(.*)kae|etc/passwd|eval\(|self/environ)" { deny all; }
            location ~* "\.(aspx?|bash|bak?|cfg|cgi|dll|exe|git|hg|ini|jsp|log|mdb|out|sql|svn|swp|tar|rdf)$" { deny all; }
            location ~* "/(^$|mobiquo|phpinfo|shell|sqlpatch|thumb|thumb_editor|thumbopen|timthumb|webshell)\.php" { deny all; }
     
    virtubox apprécie ceci.

Partager cette page