Archive pour le mot-clef ‘Sécurité’

Sortie de HTML Purifier 3.2.0

Lundi 3 novembre 2008

Petite news pour annoncer la sortie de la nouvelle version de HTML Purifier, la 3.2.0.

Logo HTML Purifier

HTML Purifier est une librairie écrite en PHP qui permet de filtrer du HTML pour en enlever le code “malicieux” qu’il pourrait contenir et pour le rendre “standard compliant”. À grand coups d’expressions régulières, cet outils surpuissant permet donc de lutter contre les failles XSS et permet, par exemple, de valider (W3C j’entends) le contenu d’un article écrit depuis un éditeur “wysiwig” (comme FCKeditor ou tinyMCE), c’est bluffant ! Contre partie, c’est très gourmand en ressources… mais bien utilisé c’est vraiment puissant.

Les nouveautés de cette nouvelle version : des bugs et vulnérabilités en moins, un “parsage” plus abouti, une gestion d’erreurs améliorée et plein d’autres choses… (cf la news officielle).

Si vous l’utilisez déjà, pensez à le mettre à jour, sinon, pensez à l’utiliser !

Mieux sécuriser Wordpress avec PHPIDS et le plugin WP-IDS

Mercredi 26 mars 2008

J’ai découvert il y a peu un outils très intéressant pour lutter contre les failles de sécurité les plus répandues sur le Web (XSS, injections SQL…), son nom : PHPIDS (PHP-Intrusion Detection System). Cette application est développée en PHP et est placée sous licence LGPL.

Basée sur une collection d’expression rationnelles très bien testées, PHPIDS est capable de reconnaitre efficacement différents types d’attaques : XSS, injection SQL, lecture de dossiers, String.fromCharcode, encoding et injection distante” (extrait de cet article vu sur Nexen.net).

Convaincu par l’utilité de cette application, je poursuis mes recherche sur le sujet et je tombe sur cet article : PHPIDS pour Wordpress. Alors voici un mini tuto pour installer ce plugin génial :

1. Télécharger le plugin (en tar.gz ici ou en zip )
2. Placer le répertoire extrait de l’archive dans le /wp-content/plugins via FTP
3. Depuis l’interface d’administration de votre Wordpress, il ne reste plus qu’à activer le plugin et à le configurer

Voilà ! Bon pour la configuration c’est en anglais mais le plugin est bien réglé par défaut. En fait ça vous permet de définir le comportement à avoir en fonction du niveau d’alerte (ne rien faire, être notifié par mail, bloquer la requête…).

Votre Wordpress est maintenant plus sécurisé et vous, probablement plus serein… N’oubliez pas de vérifier les mises à jour des filtres sur php-ids.org de temps en temps.