SecuPress

SecuPress 1.4 aka Hotrod

Blog SecuPress SecuPress 1.4 aka Hotrod
0 commentaire

SecuPress 1.4 est arrivé ! Après un moment sans mise à jour la 1.4 est enfin là. Le but de cette version est d’être plus compatible avec les hébergeurs, ouvrir les portes des prochaines versions de cette branche avec ses nouveaux filtres, et garder un œil sur une veille de sécurité pour retirer des choses. Car nouvelle version ne veut pas juste dire ajout de fonctionnalités, mais aussi parfois, en retirer.

Hotrod est le nom d’une des voitures de Tony Stark et aussi le nom de code de la Mark 22. Comme vous l’aurez remarqué, chaque version majeure a un nom de code d’une armure de Iron Man des comics Marvel.

Pourquoi “Hotrod” ? Cela veut littéralement dire “bâton chaud” mais ici c’est plutôt “Hot Road” d’où les flammes sur le bas de caisse et les mollets de l’armure, “route chaude” dans le sens “la route était longue pour venir ici”. Cette 1.4 est une ouverture aux prochaines versions mineures qui arriveront dans les semaines à venir.

Quoi de neuf

Ok alors quoi de neuf, le changelog est assez gros, voici la liste avec des captures :

PHP 5.4 et WordPress 4.0 sont requis

Point important, avant, SecuPress était compatible avec PHP 5.3 et WordPress 3.7. Nous avons décidé de nourrir ces chiffres, et quelques mois plus tard ils ont grandi. Ils continueront de grandir à chaque version majeure. Le but est d’être à 2 versions majeures de retard pour WordPress et toujours dans une version supportée de PHP.

Tenez à jour votre site, tenez à jour votre serveur, tenez VOUS à jour !

Bloquer l’énumération des utilisateurs

Nouvelle fonctionnalité gratuite ! C’est une demande des utilisateurs, le blocage de l’énumération des utilisateurs et auteurs est demandé depuis quelques temps. Nous l’avons fait, bloquer le côté REST API et les pages des auteurs.

Bannir les 404 sur les .php

Nouvelle fonctionnalité gratuite ! Même chose, une demande des utilisateurs via le formulaire de contact et support. Quand une vague d’attaques est lancée, les bots des attaquants vont essayer de voir si votre site contient certains fichier connus pour être malicieux. Ces fichier sont des .php, si ils peuvent y accéder, ils peuvent exploiter la vulnérabilité. Mais si votre site n’est pas vulnérable (merci Secupress), leurs essais donneront des pages 404 : bannissons leur IP automatiquement et de suite !

Bloquer les faux bots SEO

Nouvelle fonctionnalité gratuite ! Et encore une demande utilisateur, nous donnons une grande importance aux demandes récurrentes plutôt que suite une ToDo arbitraire ! Le but ici est de bloquer les bots qui se font passer pour GoogleBot, par exemple ils essaient de dire “hey laisse moi entrer et crawler, je suis… euh… GoogleBot?!” Nous vérifions si c’est un vrai, que ce soit de chez Google mais aussi Yahoo, Bing, Facebook, DuckDuckGo, Baidu, Yandex, Alexa …

Clé de licence

Vous pouvez maintenant utiliser 2 constantes PHP commées SECUPRESS_API_EMAIL et SECUPRESS_API_KEY pour paramétrer votre licence. Si elles sont présentes, la licence s’auto activera et le bloc de licence sera caché, vous pouvez aussi le cacher manuellement en utilisant l’autre nouvelle constante SECUPRESS_HIDE_API_KEY.

Si vous utilisez cette astuce sur la version Free, alors la version PRO sera téléchargée, installée, activée, licence validée sans rien faire. Bonheur.

Nouveaux Filtres

  • secupress.pre_scan.$class pour court-circuiter un résultat de scanner
  • secupress.get_email pour modifier le compte du mail d’envoie
  • secupress.nginx.notice pour empêcher les notices Nginx de se montrer
  • secupress.settings.load_plugin.$plugin pour cacher un bloc de paramètres
  • secupress.settings.field.$args['name'] pour cacher une option d’un bloc de paramètres

Suppression

Car la sécurité en 2015 n’est pas la même qu’en 2018, nous avons supprimé des scanners et des fonctionnalités désuets : Blocage total de REST API, Période de non connexion, DirectoryIndex, Interdire le HTML non filtré, vous n’avez plus besoin de ça.

Petits changements

  • La version PRO est maintenant requise pour réaliser les corrections automatiques en étape 2 du scanner.
  • Quand la version PRO est active, vous verrez un petit Ezio (l’aigle) jaune sur chaque fonctionnalité PRO, vous savez maintenant laquelle est pour la pro.
  • Changement de la façon dont nous affichons le code pour l’anti SQLi scanner, plus de lorem, plus de ipsum, moins d’aléatoire.
  • Changement de la façon dont le module de déplacement de la page de connexion (Move Login) se charge pour empêcher les extensions de “gestion des 404” de laisser une 404 sur votre nouvelle page de connexion.
  • Move Login laissera la priorité aux extensions “WPS Hide Login” et “SF Move Login”.
  • Move Login redirige maintenant un utilisateur que le tableau de bord s’il est déjà connecté.
  • Nous ne gardons plus les IPs bannies dans les journaux.
  • Suppression des publicité (hardcodées) pour ajouter une sidebar plus utile.

Le futur

Dans un futur très proche, les version 1.4.x seront publiées avec des modifications dans les modules AntiSpam, Malware Scanner, Journaux, Backups, liste blanche des plugins, mauvaises extension et thèmes, nouveau tableau de bord, nouveaux “addons” et aussi des nouvelles fonctionnalités comme le changement de préfixe manuel, malware scan pour les contenus, CSP…

Mettez vos versions de SecuPress à jour maintenant !

À propos de Julio Potier Tous les articles de Julio Potier

Créateur de SecuPress et de la Formation LearnWPSecurity, Julio est aussi organisateur du WordCamp Lille.
Orateur compulsif, formateur sénior et ingénieur WordPress, il s’est spécialisé dans la sécurité depuis 2002 et contribue à WordPress sous diverses formes.

Ceci pourrait vous intéresser

0 commentaire