X

Comment protéger WordPress contre les requêtes d'URL malveillantes

Last updated on by Debjit Saha
LinkedInPinShares0
Extraits par IsItWP

Vous cherchez un moyen de protéger votre site WordPress contre les requêtes d'URL malveillantes ? Bien qu'il existe probablement un plugin pour cela, nous avons créé un extrait de code rapide que vous pouvez utiliser pour protéger WordPress contre les requêtes d'URL malveillantes dans WordPress.

Instructions :

Tout ce que vous avez à faire est d'ajouter ce code au fichier .htaccess de votre thème.

$request_uri = $_SERVER['REQUEST_URI'];
$query_string = $_SERVER['QUERY_STRING'];
$user_agent = $_SERVER['HTTP_USER_AGENT'];

// request uri
if (	//strlen($request_uri) > 255 || 
	stripos($request_uri, 'eval(') || 
	stripos($request_uri, 'CONCAT') || 
	stripos($request_uri, 'UNION+SELECT') || 
	stripos($request_uri, '(null)') || 
	stripos($request_uri, 'base64_') || 
	stripos($request_uri, '/localhost') || 
	stripos($request_uri, '/pingserver') || 
	stripos($request_uri, '/config.') || 
	stripos($request_uri, '/wwwroot') || 
	stripos($request_uri, '/makefile') || 
	stripos($request_uri, 'crossdomain.') || 
	stripos($request_uri, 'proc/self/environ') || 
	stripos($request_uri, 'etc/passwd') || 
	stripos($request_uri, '/https/') || 
	stripos($request_uri, '/http/') || 
	stripos($request_uri, '/ftp/') || 
	stripos($request_uri, '/cgi/') || 
	stripos($request_uri, '.cgi') || 
	stripos($request_uri, '.exe') || 
	stripos($request_uri, '.sql') || 
	stripos($request_uri, '.ini') || 
	stripos($request_uri, '.dll') || 
	stripos($request_uri, '.asp') || 
	stripos($request_uri, '.jsp') || 
	stripos($request_uri, '/.bash') || 
	stripos($request_uri, '/.git') || 
	stripos($request_uri, '/.svn') || 
	stripos($request_uri, '/.tar') || 
	stripos($request_uri, ' ') || 
	stripos($request_uri, '<') || 
	stripos($request_uri, '>') || 
	stripos($request_uri, '/=') || 
	stripos($request_uri, '...') || 
	stripos($request_uri, '+++') || 
	stripos($request_uri, '://') || 
	stripos($request_uri, '/&&') || 
	// query strings
	stripos($query_string, '?') || 
	stripos($query_string, ':') || 
	stripos($query_string, '[') || 
	stripos($query_string, ']') || 
	stripos($query_string, '../') || 
	stripos($query_string, '127.0.0.1') || 
	stripos($query_string, 'loopback') || 
	stripos($query_string, '%0A') || 
	stripos($query_string, '%0D') || 
	stripos($query_string, '%22') || 
	stripos($query_string, '%27') || 
	stripos($query_string, '%3C') || 
	stripos($query_string, '%3E') || 
	stripos($query_string, '%00') || 
	stripos($query_string, '%2e%2e') || 
	stripos($query_string, 'union') || 
	stripos($query_string, 'input_file') || 
	stripos($query_string, 'execute') || 
	stripos($query_string, 'mosconfig') || 
	stripos($query_string, 'environ') || 
	//stripos($query_string, 'scanner') || 
	stripos($query_string, 'path=.') || 
	stripos($query_string, 'mod=.') || 
	// user agents
	stripos($user_agent, 'binlar') || 
	stripos($user_agent, 'casper') || 
	stripos($user_agent, 'cmswor') || 
	stripos($user_agent, 'diavol') || 
	stripos($user_agent, 'dotbot') || 
	stripos($user_agent, 'finder') || 
	stripos($user_agent, 'flicky') || 
	stripos($user_agent, 'libwww') || 
	stripos($user_agent, 'nutch') || 
	stripos($user_agent, 'planet') || 
	stripos($user_agent, 'purebot') || 
	stripos($user_agent, 'pycurl') || 
	stripos($user_agent, 'skygrid') || 
	stripos($user_agent, 'sucker') || 
	stripos($user_agent, 'turnit') || 
	stripos($user_agent, 'vikspi') || 
	stripos($user_agent, 'zmeu')
) {
	@header('HTTP/1.1 403 Forbidden');
	@header('Status: 403 Forbidden');
	@header('Connection: Close');
	@exit;
}

Remarque : Si c'est la première fois que vous ajoutez des extraits de code dans WordPress, veuillez consulter notre guide sur la manière de copier / coller correctement des extraits de code dans WordPress, afin de ne pas casser accidentellement votre site.

Si vous avez aimé cet extrait de code, n'hésitez pas à consulter nos autres articles sur le site tels que : 18 meilleurs plugins de commentaires WordPress et comment créer un formulaire popup dans WordPress.

LinkedInPinShares0

Commentaires   Laisser une réponse

  1. Na Playing dice September 22, 2013 at 10:31 am

    merci

    Reply
  2. Paul June 29, 2012 at 5:15 am

    He Kevin, est-ce la même chose que fait Secure Wordpress (http://wordpress.org/extend/plugins/secure-wordpress/), voir l'élément de liste 11 ?

    Reply
  3. Drew Jaynes February 24, 2012 at 9:22 am

    Les niveaux d'utilisateur ont été dépréciés dans WP 3.0, vous devriez utiliser les capacités ou les rôles réels dans votre vérification current_user_can, par exemple.
    if ( ! current_user_can( 'administrator' ) ) {

    Reply
    1. Kevin Chard February 24, 2012 at 12:17 pm

       Très vrai Drew, je mettrai à jour l'extrait, merci !

      Reply
  4. Ty February 22, 2012 at 4:24 pm

    Puis-je simplement ajouter ce code à mon plugin functions.php ?

    J'aimerais aussi voir du code pour la protection POST.

    Reply
    1. Kevin Chard February 24, 2012 at 12:16 pm

       la meilleure façon d'inclure cela, je trouve, est de le placer dans le dossier mu-plugins/ si vous n'en avez pas, vous pouvez en créer un. Cela forcera le plugin à s'exécuter en tant que plugin indispensable. Téléchargez le zip ci-dessus, c'est la meilleure façon de l'exécuter.

      Reply
  5. SB February 22, 2012 at 11:33 am

    Cela ne protégera qu'une requête GET, comme index.php?name=eval(base64_decode(EVIL+CODE

    Mais sur le forum Wordpress, beaucoup de gens se font pirater via des requêtes Post, et ce code ne protégera pas.

    Avez-vous quelque chose de similaire mais pour POST ?

    Reply

Ajouter un commentaire

Nous sommes heureux que vous ayez choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre politique de confidentialité, et tous les liens sont nofollow. N'utilisez PAS de mots-clés dans le champ nom. Ayons une conversation personnelle et significative.

Liste de contrôle de lancement WordPress

La checklist ultime pour lancer un WordPress

Nous avons compilé tous les éléments essentiels de la liste de contrôle pour le lancement de votre prochain site Web WordPress dans un ebook pratique.
Oui, envoyez-moi l'eBook gratuit !
Copyright © 2015 - 2026 WPBeginner LLC. All Rights Reserved. Managed by Awesome Motive Inc.

NOTE DE LA RÉDACTION : Les opinions exprimées ici sont celles de l'auteur seul, et non de toute société d'hébergement, fournisseur de plugins, société de thèmes, Syed Balkhi ou WordPress Foundation, et n'ont pas été examinées, approuvées ou autrement cautionnées par l'une de ces entités.

AVIS DE NON-RESPONSABILITÉ : Nous déployons de grands efforts pour maintenir des données fiables sur toutes les offres présentées. Cependant, ces données sont fournies sans garantie. Les utilisateurs doivent toujours vérifier le site Web officiel du fournisseur pour connaître les conditions et les détails actuels. Les offres de produits qui apparaissent sur le site Web proviennent des sociétés d'hébergement, des sociétés de plugins et des sociétés de thèmes respectives auprès desquelles IsItWP reçoit une compensation. Cette compensation peut avoir un impact sur la manière et l'endroit où les produits apparaissent sur ce site (y compris, par exemple, l'ordre dans lequel ils apparaissent). Ce site n'inclut pas tous les produits WordPress ni toutes les offres de produits disponibles.