Sécurité WordPress

Pourquoi verrouiller la page de connexion de votre site WordPress

9 novembre 2015

Pourquoi verrouiller la page de connexion de votre site WordPress

Depuis la nuit des temps, enfin depuis que WordPress existe, notre CMS préféré a un problème. Bien que le système ai été développé de façon très robuste et sécurisée, il laisse la porte ouverte à de trop nombreuses attaques par force brute et ce sur plusieurs points. Il semble même les faciliter, parfois!

Par exemple, sur BlogInfos il y a entre 25 et 100 attaques par jour, selon qu’il s’agisse d’une simple faille ou d’une vulnérabilité importante. Cela fait beaucoup, parce qu’à chaque fois cela consomme des ressources serveur et ralentit le blog. En outre, cela ne concerne que des attaques régulières, telles que les tentatives de connexion ou le piratage des commentaires.

Verrouiller la page de connexion de WordPress

Verrouiller la page de connexion de WordPress

Quoiqu’il en soit, WordPress comporte encore de trop nombreuses failles pour un CMS de cette catégorie.

Tentatives de hacks automatiques sans fin

Le problème de WordPress est qu’il est relativement ouvert, dans la version installée de base. Malheureusement, cette ouverture est un risque agravant, parce que WordPress est devenu une sorte de norme, de plus en plus répandue. Un nombre grandissant de sites, et même les plus grandes sociétés, utilisent WordPress.

Les commandes REST-API, à venir, rendront WordPress encore plus populaire, le faisant devenir par la même une cible encore plus grande.

Pourquoi? Dans WordPress chaque installation est construite avec presque la même structure. Donc, les pirates peuvent non seulement chercher des vulnérabilités spécifiques, mais aussi lancer des attaques automatiques par Force Brute et « s’amuser 24 heures sur 24 et 7 jours sur 7« .

Compte tenu que les fichiers et les structures de dossiers sont toujours identiques, les écarts ne sont généralement pas énormes, et il y reste généralement quelques faiblesses graves.

Par exemple, la page de connexion à WordPress est vulnérable, mais cette vulnérabilité n’est pas officiellement traitée.

Les attaquants ont la tâche facile

Si vous ne savez pas sécuriser WordPress, vous laissez potentiellement beaucoup de chances aux attaquants. Ils savent que « admin » est utilisé en tant que l’utilisateur par défaut, et que la plupart du temps personne ne pense à renommer cet utilisateur. De même, l’identifiant, par défaut, de l’administrateur est 1, et reste généralement à 1 parce que personne ne songe que cela pourrait être dangereux.

Il est donc relativement facile pour un attaquant de lire, ou de découvrir, le nom de l’utilisateur. De son côté, wp-login.php n’a rien de sécurisé. Par exemple, les messages d’erreur de WordPress continuent à s’afficher, par défaut, sur la page de connexion.

Quiconque entre un nom d’utilisateur invalide se verra informé qu’il ne s’agit pas d’un nom d’utilisateur valide. Quiconque entre un nom d’utilisateur correct avec un mauvais mot de passe, voit que seul le mot de passe est incorrect et que le nom d’utilisateur existe.

Erreurs de connexion WordPress

 

Un régal pour les attaquants potentiels, car c’est ainsi qu’ils trouvent, assez rapidement, le nom de l’utilisateur, et il ne leur reste ensuite qu’à passer en revue, automatiquement, la liste de mots de passe les plus courants afin de se connecter sans aucune difficulté à votre site WordPress.

Tout est trop facile et la protection contre les attaques par force brute n’existe pas par défaut. Même la connexion ou les tentatives de connexion ne sont pas limitées…

Soulager votre serveur et interdire l’enregistrement de nouveaux utilisateurs

Tous ces problèmes et les tentatives de piratages m’ont conduit, ces dernières années, à verrouiller l’accès à la page de connexion.

interdire l'enregistrement de nouveaux utilisateurs

L’enregistrement de nouveaux utilisateurs dans WordPress n’a absolument aucun sens, si ce n’est de permettre un accès à la base de données à une personne mal intentionnée. Alors pourquoi prendre ce risque?

Pour ma part je pense en tout cas que l’enregistrement de nouveaux utilisateurs ne devraient pas être possible, ailleurs que dans la console d’administration WordPress, et uniquement par l’administrateur. Si vous n’êtes pas prudents, vous vous retrouverez rapidement avec des utilis-hackers qui transformeront votre site en une véritable passoire.

En conclusion

Je vous conseille grandement de verrouiller tout ce qui est possible, de bloquer les accès à risques, de désactiver tout ce qui n’est pas nécessaires, tout cela dans le but de permettre à vos lecteurs une plus grande sécurité.

Pour vous permettra d’améliorer sensiblement la sécurité de votre site WordPress, et nous y reviendrons prochainement, voici quelques conseils importants:

Vous verrez que non seulement cela soulagera vos nerfs, mais cela se ressentira également sur les performances de votre serveur.

séparateur de texte

Si cet article vous a été utile, Partagez le, il intéressera d’autres personnes. Merci!

4 commentaires
  1. Adrien

    Hello Hubert et merci pour cet article fort utile. C'est quand même assez embêtant que WordPress ne soit pas amélioré sur ces vulnérabilités.Question d'un néophyte : qu'est-ce que REST-API ? Je croise ce terme de plus en plus souvent sans trouver d'explication dessus.Merci d'avance. :)

  2. Hubert

    Plutôt que de partir dans des explications longues et complexes, je vous suggère de lire l'article L’API JSON WordPress Rest (API WP): Qu’est-ce que ce est, comment ça marche. J'espère que cela vous sera utile.

  3. Sécurité informatique

    Je trouve que c’est une bonne idée. Une bonne façon d’utiliser le Big Data. De plus, bien que l’internet permet de trouver réponse à tous, cela ne pourra jamais remplacer les avantages dont on peut bénéficier par la lecture. Une technique révolutionnaire pour inciter les gens à retrouver le plaisir de lire.

  4. Hubert

    Merci. Une bonne sécurité est primordiale pour tout site Internet.

Laisser un commentaire

You have to agree to the comment policy.

-20% sur ElegantThemes.com Maintenant !Cliquez-ici !
+