WordPress : bloquer toutes les extensions de fichiers non autorisées
3 juin 2011
Il m’aura fallu plusieurs heures pour trouver ce hack. Mais je dois dire qu’il va me changer la vie au niveau de la sécurisation de mes blogs WordPress. Jugez-en par vous-mêmes !
Obtenir la liste des extensions d’une branche de votre site
Si vous disposez d’un accès Ssh à votre serveur Web ou bien si vous disposez d’un serveur dédié, pour obtenir la liste des extensions utilisées au niveau d’une branche de votre site, tapez la commande suivante :
find -type f|grep -o ‘ \.[^./]*$’|sort -u
Mise en place de votre whitelist
Pour limiter la liste des fichiers autorisés par leurs extensions, ajoutez à votre fichier .htaccess :
# Seuls sont autorisés les fichiers dont l’extension est gif,jpg,jpeg,png
<FilesMatch « \.(?!(gif|jpe?g|png))$) »>
Order allow,deny
Deny from all
</FilesMatch>
Apache 2.x supporte la syntaxe des expression régulières PCRE et les assertions.