Comment sécuriser votre blog

Forbes When Blogs Attack

Ma conviction personnelle me fait dire que jamais votre blog, ou le mien, ne sera suffisamment protégé. Aussi allons nous ajouter un outil supplémentaire à notre panoplie de blogueur afin de minimiser les risques et nous permettre d’avoir le cœur un peu plus léger.

Les attaques de blogs ne devraient pas exister et pourtant tous les jours de très nombreux blogs sont attaqués. En tant que professionnel de l’informatique, je suis attentif à la sécurité et si je constate qu’il y a moins de  10 tentatives de pénétration de mon blog en une journée, je considère que cette journée est « anormalement calme ».

Mais comment voulez-vous maintenir contenu et convivialité sur votre blog tout en gardant à l’esprit que la sécurité est primordiale. Comment surveiller votre blog, sans y passer la journée ? Après tout, il y a bien d’autres choses dont vous avez à vous soucier.

En 2009 j’ai découvert, un matin, que l’un de mes premiers blogs, en ligne depuis plus de 3 ans, avait été piraté, que les fichiers PHP contenaient du code malveillant et que la base de données elle même était complètement parasitée.

Ayant analysé les logs (listing des connections) de mon blog, je me suis rendu compte que je n’étais pas directement visé, mais en fait c’est l’hébergeur qui était la cible de cette attaque, et lorsque les pirates ont réussis à pénétrer un des sites, ils ont réussi à infecter tous les sites hébergés sur le serveur en question.

Résultat de l’opération : j’ai passé de nombreuses heures à effectuer des recherches pour trouver l’origine de l’intrusion, ensuite de quoi, il m’a fallu nettoyer les fichiers PHP ainsi que la base de données, et part la même j’ai perdu une très grosse partie de mon lectorat, car Google avait placé une annonce indiquant que mon blog contenait du code malveillant.

Dire que tout cela aurait pu être évité !

Aujourd’hui, je vais vous apprendre à mettre en œuvre un système de sécurisation basique, mais très utile, pour votre blog.

  1. Connectez vous à votre Tableau de bord de votre blog
  2. Allez à Extensions puis cliquez sur Ajoute
  3. Dans la zone de recherche, entrez « WordPress File Monitor » et cliquez sur Chercher parmi les extensions
  4. WordPress File Monitor apparaît en première position (à l’heure ou je tape ces lignes), cliquez sur « Installer »
  5. Une nouvelle fenêtre va apparaître, cliquez sur « Installer maintenant »
  6. A la fin de l’installation, cliquez sur « Activer l’extension »

Nous allons à présent, configurer le plugin afin que vous soyez avertis en cas d’intrusion de votre blog.

Cliquez sur Réglages et sélectionnez WordPress File Monitor Le plugin étant en anglais, je vais passer en revue les différentes options

Le plugin étant en langues anglaise, je vais vous détailler les options

  1. Zone « Dashboard Alert » en laissant Yes par défaut, un message s’affichera lors de votre prochaine connexion.
  2. Zone « Scan interval » les 30 minutes proposées sont suffisantes, pour éviter de surcharger le serveur, et éviter que vous soyez pénalisé.
  3. Zone « Detection Method » choisissez « Modification Date (faster, but less secured). Le seconde option peut générer des problèmes selon la taille du blog, donc évitez ce choix.
  4. Dans la zone « From Address » Indiquez l’ adresse email à utiliser pour les notifications.
  5. Dans la zone « Notify Address » indiquez l’adresse email sur laquelle vous souhaitez recevoir l’alerte.
  6. Ne modifiez pas la zone « Notification format », préférez l’option « Detailled »
    Choisissez « Date de modification » pour le mode de détection
  7. Site Root est automatiquement complété avec le chemin exact de votre blog sur le serveur
  8. Ajoutez ce qui suit dans « Exclude Paths »
    wp-content/uploads
    wp-admin/error_log
    wp-content/error_log
    sitemap.xml
    error_log
    sitemap.xml.gz
  9. Cliquez sur « Submit » afin d’enregistrer les paramètres.

Vous pourrez ajouter d’autres exclusions plus tard, en fonction de vos installation, les exclusions que j’ai indiqué sont les plus courantes pour les blogs.

Si vous avez suivi toutes les étapes, dorénavant, vous recevrez un email de notification à chaque fois que l’un quelconque des fichiers de votre blog sera modifié. La modification de certains fichiers peut être tout à fait normale dans le fonctionnement de votre blog, et vous pourrez donc exclure ce ou ces fichiers des futures notifications ou alors les alertes pourraient vous signaler que quelqu’un s’attaque à votre blog!

Vous obtiendrez également une liste de tous les fichiers modifiés, au cas où vous auriez une restauration à effectuer, ce qui vous permettra de ne restaurer que les fichiers endommagés, ce, aussi longtemps que vous avez une bonne sauvegarde du système de fichiers.

Image by niallkennedy via Flickr

Publié à l'origine le : 2 avril 2010 @ 20 h 51 min

Pour compléter votre lecture.