Les hackers sont des gens comme les autres, enfin presque. Pour eux Internet est un immense terrain de jeux surlequel sites et blogs ne sont que des jouets qu’il faut absolumment détruire ou rendre inutilisables.
Il ya deux ou trois ans, deux de mes blogs ont été attaqués, et comme de bien entendu, à l’époque je n’avais pas de sauvegarde, puisque ce genre de chose, cela n’arrive qu’aux autres, n’est ce pas ? Internet n’étant pas ma principale activité, le temps que je remette les choses en ordre, les deux blogs n’apparaissaient plus qu’en 8ème et 10ème pages des moteurs de recherche. Ils n’ont pas été retiré du classement, mais avaient perdu toute leur valeur.
Au résultat, je pense avoir perdu quelques centaines d’euros de revenus publicitaires, pas de quoi en faire un drame. J’ai fini par purement et simplement les abandonner.
Voyons à présent où votre installation pêche et comment la corriger.
Avez-vous une sauvegarde récente ? Utilisez vous un mot de passe efficace ? Utilisez vous un mot de passe différent pour chaque blog ?
La première pierre de votre édifice sécuritaire repose dans les sauvegardes. Faites régulièrement des sauvegardes afin de palier à tout problème quel qu’il soit.
Pour vos mots de passe, je vous suggère d’utiliser un générateur de mot de passe, tel que la version en ligne de PCTools , ou suivez une des méthodes ci-après.
Il y a deux approches pour générer un mot de passe fort pour chacun de vos blogs.
La solution légère (bien qu’efficace) consiste, à partir d’un mot de passe courant, d’y ajouter des chiffres, que vous pourrez mémoriser aisément, telle que le numéro de votre maison dans votre rue, ensuite ajoutez quelques lettres du nom de domaine, par exemple 5 lettres, pratiqment tout est permis dans les mots de passe, mis à part les espaces.
L’utilisation conjointe de majuscules et de minuscules rendra votre mot de passe plus complexe. Ainsi, si votre mot de passe est hercule24, et votre nom de domaine est mondomaine.com, votre mot de passe pourrait être HerculE24MondO, qui est un mot de passe relativement fort qui pourra résister aux attaques générales des hackers tentant de pénétrer votre blog.
La solution coriace, celle que j’utilise, est d’utiliser un outil de génération et de stockage de mots de passe, disponible pour les navigateurs. Certains aiment Roboform, pour ma part, je préfère 1Password, un outil porté du Mac vers le PC. Tous deux sont payant, mais disposent d’une version gratuite de 30 jours. Ces deux outils génèrent des mots de passe extrêmement sécurisés, que vous pourrez mettre en œuvre pour vos blogs.
A présent nous allons parler de points plus spécifiques à WordPress. Lors de chaque installation de WordPress, il vous faut éditer le fichier config-sample.php, le renommer en config.php, et y insérer le nom de votre base de données, votre nom d’utilisateur ainsi que le mot de passe de votre base de données.
Quelques autres modifications sont à apporter en plus du mot de passe.
Une des sections de config-sample.php se nomme « Authentication Unique Keys ». Il y a huit définitions qui apparaissent dans cette partie :
En vous rendant sur le site https://api.wordpress.org/secret-key/1.1/salt/ comme indiqué dans le fichier config-sample.php, vous obtiendrez des clés sécurisées pour les huit définitions, telle que celles-ci :
La prochaine étape, lors de l’installation, sera de modifier le préfixe wp_ utilisé dans votre base de données.
Cette modification peut également se faire sur un blog existant, mais c’est un autre sujet, nous y reviendrons dans un autre article. Le changement de préfixe est une des étapes nécessaires, changez wp_ en ce que vous souhaitez. Vous êtes libres d’utiliser des lettres, des chiffres, un tiret ou le caractère souligné. Cette modification permettra de contrecarrer les tentatives d’injection SQL, qui consistent en une détérioration de votre base de données. Ce type d’attaque permet également de créer un nouvel utilisateur avec tous les pouvoirs d’administrations. Il va sans dire que ce genre d’attaque rendra votre site totalement inexploitable.
Autre point critique à surveiller, vous devez utiliser la dernière version de WordPress, ceci est primordial , afin d’avoir toutes les mises à jour permettant de réparer d’ éventuelles failles de sécurité.
Enfin nous allons ajouter le plugin WordPress Security Scan qui vous permettra de vérifier plusieurs points de sécurité puis Security, et vous préviendra en cas d’oubli. Il vous indiquera également que l’utilisateur « admin » exite déjà, bien sûr il s’agit de votre compte administrateur. Une fois installé, vous pourrez accédez au plugin via l’option sécurité de votre console d’administration. Vous pouvez également changer le nom d’utilisateur, car « admin » est trop souvent utilisé, et de ce fait, c’ est une des clés utilisée par les hackers.
WordPress Security Scan vous indiquera que votre répertoire wp-admin ne contient pas de fichier .htaccess. Vous pouvez ajouter un fichier .htaccess afin de contrôler l’accès au répertoire. De nombreux sites vous fournirons des informations sur l’utilisation du fichier .htaccess.
Je vous recommande également l’installation du plugin Login LockDown si vous ne voulez pas utiliser de fichier .htaccess. Le plugin bloquera les accès interdits provenant d’une adresse IP spécifique, pour une heure, après trois tentatives infructueuses. Si vous installez ce plugin, vous pourrez tout de même accéder à votre console d’administration depuis un autre ordinateur, tout en étant protéger des hackers.
Nous avons passé en revue la protection minimale nécessaire pour tout blog WordPress. Nous reviendrons ultérieurement sur le sujet en l’approfondissant davantage.
Publié à l'origine le : 1 novembre 2010 @ 23 h 13 min