Block Bad Queries ou BBQ pour les intimes

bbq[1]
BBQ: Block Bad Queries

Block Bad Queries, Block Bad Queries ... Vous connaissez déjà ? C'est normal ! Ce plugin existe depuis le 05 mars 2010 et est selon moi un plugin à avoir. Il est développé à la base par Jeff Starr et je suis depuis aujourd'hui co-auteur avec grand plaisir !

Et ça sert à quoi Block Bad Queries ?

Block Bad Queries ou BBQ, va bloquer les "mauvaises requêtes" vers votre site. Des expressions régulières sont définies comme étant potentiellement malicieuses, BBQ va rechercher des correspondances dans la requête et la bloquer. Block Bad Queries permets donc de bloquer les exploits de failles XSS, SQL injection, ou CSRF/XSRF.

BBQ scanne 3 parties de la requête :

  1. La 'Request URI'
  2. La 'Query String'
  3. Le 'User Agent'

En vérifiant ces variables volontairement et stratégiquement pernicieuses et connues pour être potentiellement malicieuse, BBQ vous protège de nombreuses attaques.

Comment être sûr(e) que ça marche ?

Et bien une fois le plugin installé, allez sur ce genre d'adresse en remplaçant bien spur "example.com" par votre site :
http://www.example.com/../../etc/passwd
http://www.example.com/?var=eval()

Ce ne sont que quelques exemples du type de bazar possiblement frauduleux que va bloquer BBQ. Si vous obtenez une erreur "403 Forbidden" pour ces exemples, BBQ fait alors bien son travail.

L'équipe

Je ne suis pas l'auteur de ce plugin, c'est Jeff Starr, mais il y a aussi AldolatWpBlogHost & James Wilkes.
Mon rôle pour cette version a été de refondre le plugin pour gagner en performances et flexibilité  J'ai donc remplacer les 76 stripos() contre 3 preg_match() ainsi que 3 filtres qui permettront de supprimer ou ajouter des éléments en cas de problèmes.

Je suis développeur, quels sont les filtres ?

  1. request_uri_items : Permets d'ajouter ou supprimer des éléments concernant le lien vers votre site, avant le "?"
  2. query_string_items : Permets d'ajouter ou supprimer des éléments concernant la requête sur site, après le "?"
  3. user_agent_items : Permets d'ajouter ou supprimer des éléments concernant les user agent des navigateurs qui arrivent sur votre site

Help !

Le support se trouve sur les forums de support ;)

Share!

Commentaires

  1. mike a écrit

    Bonjour,
    merci pour vos excellent plugins !

    Est-ce que bbq et anti CSRF sont toujours bon avec la version actuelle 4.1.1 de WordPress et sont-ils toujours nécessaires ?

    Merci beaucoup.
    A bientôt

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>