Depuis la nuit des temps, enfin depuis que WordPress existe, notre CMS préféré a un problème. Bien que le système ai été développé de façon très robuste et sécurisée, il laisse la porte ouverte à de trop nombreuses attaques par force brute et ce sur plusieurs points. Il semble même les faciliter, parfois!
Par exemple, sur BlogInfos il y a entre 25 et 100 attaques par jour, selon qu’il s’agisse d’une simple faille ou d’une vulnérabilité importante. Cela fait beaucoup, parce qu’à chaque fois cela consomme des ressources serveur et ralentit le blog. En outre, cela ne concerne que des attaques régulières, telles que les tentatives de connexion ou le piratage des commentaires.
Verrouiller la page de connexion de WordPress
Quoiqu’il en soit, WordPress comporte encore de trop nombreuses failles pour un CMS de cette catégorie.
Tentatives de hacks automatiques sans fin
Le problème de WordPress est qu’il est relativement ouvert, dans la version installée de base. Malheureusement, cette ouverture est un risque agravant, parce que WordPress est devenu une sorte de norme, de plus en plus répandue. Un nombre grandissant de sites, et même les plus grandes sociétés, utilisent WordPress.
Les commandes REST-API, à venir, rendront WordPress encore plus populaire, le faisant devenir par la même une cible encore plus grande.
Pourquoi? Dans WordPress chaque installation est construite avec presque la même structure. Donc, les pirates peuvent non seulement chercher des vulnérabilités spécifiques, mais aussi lancer des attaques automatiques par Force Brute et « s’amuser 24 heures sur 24 et 7 jours sur 7« .
Compte tenu que les fichiers et les structures de dossiers sont toujours identiques, les écarts ne sont généralement pas énormes, et il y reste généralement quelques faiblesses graves.
Par exemple, la page de connexion à WordPress est vulnérable, mais cette vulnérabilité n’est pas officiellement traitée.
Les attaquants ont la tâche facile
Si vous ne savez pas sécuriser WordPress, vous laissez potentiellement beaucoup de chances aux attaquants. Ils savent que « admin » est utilisé en tant que l’utilisateur par défaut, et que la plupart du temps personne ne pense à renommer cet utilisateur. De même, l’identifiant, par défaut, de l’administrateur est 1, et reste généralement à 1 parce que personne ne songe que cela pourrait être dangereux.
Il est donc relativement facile pour un attaquant de lire, ou de découvrir, le nom de l’utilisateur. De son côté, wp-login.php n’a rien de sécurisé. Par exemple, les messages d’erreur de WordPress continuent à s’afficher, par défaut, sur la page de connexion.
Quiconque entre un nom d’utilisateur invalide se verra informé qu’il ne s’agit pas d’un nom d’utilisateur valide. Quiconque entre un nom d’utilisateur correct avec un mauvais mot de passe, voit que seul le mot de passe est incorrect et que le nom d’utilisateur existe.
Un régal pour les attaquants potentiels, car c’est ainsi qu’ils trouvent, assez rapidement, le nom de l’utilisateur, et il ne leur reste ensuite qu’à passer en revue, automatiquement, la liste de mots de passe les plus courants afin de se connecter sans aucune difficulté à votre site WordPress.
Tout est trop facile et la protection contre les attaques par force brute n’existe pas par défaut. Même la connexion ou les tentatives de connexion ne sont pas limitées…
Soulager votre serveur et interdire l’enregistrement de nouveaux utilisateurs
Tous ces problèmes et les tentatives de piratages m’ont conduit, ces dernières années, à verrouiller l’accès à la page de connexion.
L’enregistrement de nouveaux utilisateurs dans WordPress n’a absolument aucun sens, si ce n’est de permettre un accès à la base de données à une personne mal intentionnée. Alors pourquoi prendre ce risque?
Pour ma part je pense en tout cas que l’enregistrement de nouveaux utilisateurs ne devraient pas être possible, ailleurs que dans la console d’administration WordPress, et uniquement par l’administrateur. Si vous n’êtes pas prudents, vous vous retrouverez rapidement avec des utilis-hackers qui transformeront votre site en une véritable passoire.
En conclusion
Je vous conseille grandement de verrouiller tout ce qui est possible, de bloquer les accès à risques, de désactiver tout ce qui n’est pas nécessaires, tout cela dans le but de permettre à vos lecteurs une plus grande sécurité.
Pour vous permettra d’améliorer sensiblement la sécurité de votre site WordPress, et nous y reviendrons prochainement, voici quelques conseils importants:
- Utiliser un plugin de sécurité tel qu’iThemes Security
- Verrouiller la page de connexion(avec iThemes Security)
- Utiliser un pare-feu comme NinjaFirewall
- Changer le nom de l’administrateur (avec iThemes Security)
- Changer l’identifiant de l’administrateur (avec iThemes Security)
- Renommer wp-content (avec iThemes Security)
- Désactiver XML-RPC
- Changer l’URL de connexion
Vous verrez que non seulement cela soulagera vos nerfs, mais cela se ressentira également sur les performances de votre serveur.
Si cet article vous a été utile, Partagez le, il intéressera d’autres personnes. Merci!
Publié à l'origine le : 9 novembre 2015 @ 15 h 07 min