HTML Purifier est une librairie écrite en PHP qui permet de filtrer du HTML pour en enlever le code « malicieux » qu’il pourrait contenir et pour le rendre « standard compliant ». À grand coups d’expressions régulières, cet outils surpuissant permet donc de lutter contre les failles XSS et permet, par exemple, de valider (W3C j’entends) le contenu d’un article écrit depuis un éditeur « wysiwig » (comme FCKeditor ou tinyMCE), c’est bluffant ! Contre partie, c’est très gourmand en ressources… mais bien utilisé c’est vraiment puissant.

Les nouveautés de cette nouvelle version : des bugs et vulnérabilités en moins, un « parsage » plus abouti, une gestion d’erreurs améliorée et plein d’autres choses… (cf la news officielle).

Si vous l’utilisez déjà, pensez à le mettre à jour, sinon, pensez à l’utiliser !

« Basée sur une collection d’expression rationnelles très bien testées, PHPIDS est capable de reconnaitre efficacement différents types d’attaques : XSS, injection SQL, lecture de dossiers, String.fromCharcode, encoding et injection distante » (extrait de cet article vu sur Nexen.net).

Convaincu par l’utilité de cette application, je poursuis mes recherche sur le sujet et je tombe sur cet article : PHPIDS pour Wordpress. Alors voici un mini tuto pour installer ce plugin génial :

1. Télécharger le plugin (en tar.gz ici ou en zip là)
2. Placer le répertoire extrait de l’archive dans le /wp-content/plugins via FTP
3. Depuis l’interface d’administration de votre Wordpress, il ne reste plus qu’à activer le plugin et à le configurer

Voilà ! Bon pour la configuration c’est en anglais mais le plugin est bien réglé par défaut. En fait ça vous permet de définir le comportement à avoir en fonction du niveau d’alerte (ne rien faire, être notifié par mail, bloquer la requête…).

Votre Wordpress est maintenant plus sécurisé et vous, probablement plus serein… N’oubliez pas de vérifier les mises à jour des filtres sur php-ids.org de temps en temps.