Sécurité de PluX

skensken Member
5 mai modifié dans Discussions générales

Bonjour, un article qui à été publié récemment, concernant Worldpress sur la sécurité via les plugins, on pouvait accéder à des données,
donc du côté de PluX, est-il fiable à 100% ?

Le temps nous le dira, un jour ou l'autre, le temps nous le dira
https://thebookglobal.com/

Mots clés:

Réponses

  • garys02garys02 Member
    20 mai modifié

    Bonjour, je voudrais savoir si quelqu'un a réussi à obtenir un bon score de sécurité avec pluxml, par exemple sur webpagetest.org. Et faire partager sa méthode. Personnellement, j'ai beau entrer ces lignes dans le .htaccess à la racine du site, ça ne donne aucune amélioration de sécurité de mon coté.

    < IfModule mod_header.c >
    Header set Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
    Header set Expect-CT: max-age=63072000;
    Feature-Policy: autoplay none; camera none; document-domain none; encrypted-media none; fullscreen none; geolocation none; microphone none; midi none; payment none; vr none;
    Header set X-Frame-Options: SAMEORIGIN
    Header set Referrer-Policy: same-origin
    Header set X-XSS-Protection: "1; mode=block"
    Header set X-Content-Type-Options: nosniff
    ServerSignature Off
    < /IfModule >

    Le site de pluxml.org par exemple a un bon résultat de sécurité, donc je pense qu'on peut effectivement obtenir un bon résultat de sécurité avec pluxml. Je voudrais savoir ce qui a été fait pour l'obtenir ou la manière de procéder, je pense que ça pourrait aider d'autres personnes dans mon cas. Je n'ai pas accès à la config apache coté serveur et ces lignes dans le htaccess ne donnent rien, ni à la racine ni dans le dossier thèmes.

  • P3terP3ter PluXml Project Manager

    Bonjour,

    Pour répondre à @sken, aucun système n'est 100% fiable ;-)
    Néanmoins, si on compare le nombre de failles CVE, on a 6 failles sur PluXml contre 2572 failles coté Wordpress. Mais là encore ce n'est pas tout à fait comparable, Wordpress étant beaucoup plus largement utilisé, il fait une cible privilégié pour les hackers, sans compter le nombre de fonctionnalités qui est plus grand sur Wordpress (la présence d'une API REST et le très grand nombre de plugins, également), qui fait qu'on multiplie les risques de failles.

    Pour répondre à @garys02 : je n'utilise pas Apache mais Nginx, je ne saurais donc pas t'aider pour la configuration des headers securité HTTP sur Apache.

    Voici la configuration Nginx que j'utilise :

    # Ajout d en-tetes. Respectivement :
    # activation du HSTS avec une duree de 6 mois
    # protection contre le clickjacking
    # verification des types MIME
    # activation du filtre anti-xss
    # definition de la protection CSP
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" always;
    add_header X-Frame-Options "DENY";
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";
    add_header Content-Security-Policy "default-src * data: ; script-src * 'unsafe-inline' 'unsafe-eval' ; style-src * 'unsafe-inline' data: ; frame-ancestors 'none' ;";
    

    Un autre aspect important de la sécurité (et du référencement), c'est l’utilisation du HTTPS et sa configuration dans le serveur Web. Sous Nginx, pour ma part, ça donne :

    ssl_prefer_server_ciphers on;
    ssl_certificate [...]/fullchain.pem;
    ssl_certificate_key [...]/privkey.pem;
    ssl_dhparam [...]/dh4096.pem;
    ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    

    Je vous conseille de jeter un oeil à CryptCheck et au blog de son auteur Aeris pour tout ce qui concerne le chiffrement, HTTPS et Lets Encrypt.

    Site : p3ter.fr - Twitter : @P3terFr

Connectez-vous ou Inscrivez-vous pour répondre.