Sécurité de PluX

skensken Member
mai 2020 modifié dans Discussions générales

Bonjour, un article qui à été publié récemment, concernant Worldpress sur la sécurité via les plugins, on pouvait accéder à des données,
donc du côté de PluX, est-il fiable à 100% ?

Mots clés:

Réponses

  • garys02garys02 Member
    mai 2020 modifié

    Bonjour, je voudrais savoir si quelqu'un a réussi à obtenir un bon score de sécurité avec pluxml, par exemple sur webpagetest.org. Et faire partager sa méthode. Personnellement, j'ai beau entrer ces lignes dans le .htaccess à la racine du site, ça ne donne aucune amélioration de sécurité de mon coté.

    < IfModule mod_header.c >
    Header set Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
    Header set Expect-CT: max-age=63072000;
    Feature-Policy: autoplay none; camera none; document-domain none; encrypted-media none; fullscreen none; geolocation none; microphone none; midi none; payment none; vr none;
    Header set X-Frame-Options: SAMEORIGIN
    Header set Referrer-Policy: same-origin
    Header set X-XSS-Protection: "1; mode=block"
    Header set X-Content-Type-Options: nosniff
    ServerSignature Off
    < /IfModule >

    Le site de pluxml.org par exemple a un bon résultat de sécurité, donc je pense qu'on peut effectivement obtenir un bon résultat de sécurité avec pluxml. Je voudrais savoir ce qui a été fait pour l'obtenir ou la manière de procéder, je pense que ça pourrait aider d'autres personnes dans mon cas. Je n'ai pas accès à la config apache coté serveur et ces lignes dans le htaccess ne donnent rien, ni à la racine ni dans le dossier thèmes.

  • HarukaHaruka PluXml Project Manager

    Bonjour,

    Pour répondre à @sken, aucun système n'est 100% fiable ;-)
    Néanmoins, si on compare le nombre de failles CVE, on a 6 failles sur PluXml contre 2572 failles coté Wordpress. Mais là encore ce n'est pas tout à fait comparable, Wordpress étant beaucoup plus largement utilisé, il fait une cible privilégié pour les hackers, sans compter le nombre de fonctionnalités qui est plus grand sur Wordpress (la présence d'une API REST et le très grand nombre de plugins, également), qui fait qu'on multiplie les risques de failles.

    Pour répondre à @garys02 : je n'utilise pas Apache mais Nginx, je ne saurais donc pas t'aider pour la configuration des headers securité HTTP sur Apache.

    Voici la configuration Nginx que j'utilise :

    # Ajout d en-tetes. Respectivement :
    # activation du HSTS avec une duree de 6 mois
    # protection contre le clickjacking
    # verification des types MIME
    # activation du filtre anti-xss
    # definition de la protection CSP
    add_header Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" always;
    add_header X-Frame-Options "DENY";
    add_header X-Content-Type-Options nosniff;
    add_header X-XSS-Protection "1; mode=block";
    add_header Content-Security-Policy "default-src * data: ; script-src * 'unsafe-inline' 'unsafe-eval' ; style-src * 'unsafe-inline' data: ; frame-ancestors 'none' ;";
    

    Un autre aspect important de la sécurité (et du référencement), c'est l’utilisation du HTTPS et sa configuration dans le serveur Web. Sous Nginx, pour ma part, ça donne :

    ssl_prefer_server_ciphers on;
    ssl_certificate [...]/fullchain.pem;
    ssl_certificate_key [...]/privkey.pem;
    ssl_dhparam [...]/dh4096.pem;
    ssl_protocols TLSv1.2 TLSv1.1 TLSv1;
    ssl_ciphers EECDH+CHACHA20:EECDH+AES128:RSA+AES128:EECDH+AES256:RSA+AES256:EECDH+3DES:RSA+3DES:!MD5;
    

    Je vous conseille de jeter un oeil à CryptCheck et au blog de son auteur Aeris pour tout ce qui concerne le chiffrement, HTTPS et Lets Encrypt.

  • Coucou, il y a encore des erreurs de codes parsemees un peu dans tout les fichiers de Pluxml et de ses plugins mais je suis parvenu a un resultat correct.
    https://webpagetest.org/result/200603_3Z_9e876d7fb136028fb2c6fdfc3acf4df0/
    Je ne suis pas un pur codeur et l'IDE de mon hebergeur m'aide pour beaucoup, je pourrais citer d'autres aides en ligne comme GTmetrix ou Security Headers io et bien d'autres qui produisent une analyse detaillee et aussi des conseils essentiels.
    Cela dit comme @P3ter l'a fait remarque rien n'est parfait et PluXml est tout de meme bien fait.

  • Je précise que la majorité de ces erreurs proviennent des CSS, il s'agit de répétitions de termes (override) qu'il faut regrouper, de nombreux sélecteurs superflus et de l'abus d'utilisation du terme ! important .
    Les fonts Open regular woff2 absentes à mettre dans le dossier fonts et lier au theme css la ligne correspondante dans @font-face
    url( '../fonts/OpenSans-Regular-webfont-woff2') format ('woff2'),
    font-display: swap,

    Pour le CSP je conseillerais l'utilisation de l'extension CSP de Firefox et si vous n'avez pas accès à PHP.ini d'ajouter vos directives dans le fichier caché htaccess.

    Ceci est une chose et cela dépend surtout de ce que vous y ajoutez, mettre des images sans les optimiser ou utiliser un trop grand nombre de couleurs dans les css n'arrangera rien.
    Entre sécurité et optimisation les nuances sont très faibles.
    Amicalement

  • Une autre opportunite gratuite pour renforcer la securite du blog Pluxml .

    Ninja Firewall pro a telecharger ici,
    https://nintechnet.com/ninjafirewall/pro-edition/?f=1
    ou pour les plus paranos ici,
    https://nintechnet.com/ninjafirewall/pro-edition/

    Les instructions sont dans le dossier a dezipper.
    En utilisation la plupart du temps en plugin pour WP cette version est adaptee a Pluxml ! Je viens de l'installer !

    Les instructions en cas je les reformule ici :

    Creez un nouveau dossier dans le contenu de votre site et transferez y le contenu du dossier ninja precedemment telecharge (FTP).
    Ouvrez la page http(s) : // mon-site / nom-du-nouveau-dossier / install.php et suivez les instructions.

    Esperant que ce sera utile pour certains.

    Amicalement

Connectez-vous ou Inscrivez-vous pour répondre.