Sécurité WordPress

7 Points a securiser sur votre blog

16 janvier 2013

7 Points a securiser sur votre blog

sécuriser votre blogSécuriser votre blog, cela sert à quoi ?

Je reçois régulièrement des emails de personnes souhaitant créer un blog WordPress, mais craignant que leur blog soit piraté, elles me demandent des conseils pour sécuriser leur blog.

Dans cette article, je vais me faire passer pour un cyber pirate débutant cherchant à pirater votre blog.

7 points à sécuriser sur votre blog

Si je devais « m’amuser » avec votre blog, voici les sept points sur lesquels je me baserai pour mes forfaits, et je vous explique ensuite comment faire pour m’empêcher de parvenit à mes fins.

1. Mise à niveau vers la dernière version de WordPress

Je commencerai par rechercher les vulnérabilités connues dans les précédentes versions de WordPress et je scannerai le web à la recherche de sites utilisant une ancienne version de WordPress non sécurisée.

Je pourrai aller jusqu’à  automatiser l’ensemble du processus. Une fois que mon script automatisé aura trouvé que votre blog utilise une ancienne version de WordPress, je pourrais y accéder facilement  grâce aux failles de sécurité répertoriées et connues depuis des mois, voire des années.

Solution anti-pirate : Mettez votre blog à niveau vers la dernière version de WordPress, qui au moment d’écrire ces lignes est , la version 3.5 . Sécuriser votre blog commence lors de sa création.

2. Mise à niveau des thèmes et plugins vers leur dernière version

Au cas où vous utilisez la version la plus récente de WordPress, je regarderai du côté de vos thèmes et plugins. J’ essayerai de trouver une ancienne version du thème ayant une faille de sécurité et si vous utilisez cette version du thème, le petit diable qui est en moi, ira tout casser.

Solution anti-pirate : Il ne suffit pas de vouloir sécuriser votre blog, il faut agir.Vous pouvez éviter bien des soucis, en veillant à ce que tous vos thèmes et plugins soit mis à niveau immédiatement lorsqu’une nouvelle version est disponible. Sécuriser son blog requiert quelques efforts.

3. Supprimez l’utilisateur «admin»

Si les fichiers de base de votre blog WordPress,  thèmes et plugins sont à jour, je tenterai de trouver le mot de passe de votre compte “admin”. Je sais que l’utilisateur “admin” existe par défaut sur la plupart des sites WordPress, et je pourrai donc écrire un script qui tentera de se connecter en utilisant tous les mots de passe de mon dictionnaire de « parfait mauvais garçon ».

Solution anti-pirate : La meilleure solution pour parer à ce type de problème est de créer un nouvel utilisateur ayant les privilèges « Administrateur ». Ensuite, supprimez l’ancien utilisateur “admin” et assurez-vous d’attribuer tous les messages et les pages de l’utilisateur “admin” à votre nouvel administrateur. Sécuriser votre blog peut vous éviter bien des ennuis.

4. Assurez-vous que vos mots de passe soient fiables

OK, votre site est un peu plus sécurisé que je le pensais, mais j’ai d’autres cartes dans ma manche. Lorsque vous postez un article vous utilisez un nom d’utilisateur, je vais donc regarder ce nom de l’utilisateur, et  je vais utiliser mon bon vieux script pour découvrir votre mot de passe en utilisant le nom d’utilisateur que vous utilisez dans votre plus récent article.

Solution anti-pirate : Assurez vous que votre mot de passe n’existe pas dans un dictionnaire de mauvaises intentions et utilisez des chiffres, une combinaison de majuscules et de minuscules ainsi que des caractères spéciaux. Sécuriser votre mot de passe n’est pas qu’une idée, c’est une nécessité.

5. Connaître les autres applications installées

Hmmm. Vous êtes un client difficile. Mais je n’ai pas encore fini. WordPress n’est pas la seule porte d’entrée que je peux utiliser. Beaucoup de sites ont également des scripts de forum,d’assistance ou d’autres applications installées. Des failles de sécurité sont également découvertes régulièrement dans ces applications,je vais donc analyser votre site, tenter de découvrir les applications que vous utilisez et ensuite voir si l’une d’entre elles est répertoriée pour  des problèmes de sécurité connus.

Solution anti-pirate : Faites en sorte que toutes les scripts et applications installées sur votre blog soient à jour et n’ont pas de failles de sécurité connue. Adressez vous au vendeur ou créateur du script pour avoir d’éventuels correctifs. Sécuriser vos script fait partie de votre quotidien.

6. Assurez-vous que les autres services en cours d’exécution sur votre serveur Web soient sécurisés

Votre site semble difficile d’accès pour les gens mal intentionnés. Ah! Je vois que vous utilisez un serveur de messagerie IMAP ainsi qu’un serveur FTP. Je vais donc utiliser un outil appelé ‘nmap’ pour rechercher les ports ouverts sur la machine qui exécute votre blog WordPress. .

Je vais tenter de me connecter à votre serveur de messagerie et au serveur FTP en essayant de trouver les mots de passe. Je vais également vérifier si le logiciel serveur ou le système d’exploitation est d’une version ayant des failles de sécurité que je peux exploiter.

Solution anti-pirate : Faites en sorte que votre blog WordPress soit hébergé sur un serveur sécurisé et à jour. Le système d’exploitation doit avoir les derniers correctifs et tous les services qui s’exécutent sur la machine doivent être connus. N’hésitez pas à interroger votre hébergeur pour les questions de sécurité. Ne rien sécuriser équivaut à laisser la porte ouverte.

7. Assurez-vous de ne pas être trop “amical”

Eh bien, votre site semble trop sécurisé pour mes compétences. Je vais donc utiliser mon charme personnel pour arriver à mes fins.

Je vais vous appeler, en me faisant passer pour votre hébergeur afin d’obtenir des informations personnelles qui pourraient être utiles. Le mot de passe serait “la cerise sur le gâteau”, mais je prendrai tout ce que je pourrai obtenir:

  • Les prénoms de votre famille
  • Le nom de  votre animal de compagnie préféré
  • Votre numéro de téléphone
  • Date de votre anniversaire
  • Etc …

Tout ce qui pourrait m’aider à deviner les mots de passe me donnat accès à votre blog

Solution anti-pirate : Ne jamais donner de mots de passe par téléphone et ne divulguez aucune information personnelles sans avoir au préalable vérifié à qui vous parlez.

Une bonne tactique si l’on vous appelle est de demander un numéro de rappel en prétextant être très occupé. Ensuite, vérifiez ce que fait la société, que le numéro de téléphone correspond bien à la société appelante, avant de rappeler. L’ingénierie sociale est la tactique préférée des pirates pour accéder aux blogs.

Sécuriser c’est prévenir les risques

Maintenant que vous connaissez la plupart des manières sournoises de pirater un blog, assurez vous que tous les points cités soient sécurisés sur votre blog et gardez à l’esprit que le manque de sécurité est la porte ouverte aux mauvais garçons.

Pour votre information rien qu’hier il y a eu 15 tentatives d’intrusions sur ce blog, alors faut-il sécuriser votre blog, ou pas ?

Et vous, que faites vous pour sécuriser votre blog ?

Enhanced by Zemanta
Laisser un commentaire

You have to agree to the comment policy.

-20% sur ElegantThemes.com Maintenant !Cliquez-ici !
+