HeartBleed et WordPress (ce que vous devez savoir)

Depuis la semaine passée, il a eu de nombreux articles concernant le bug HeartBleed et cette vulnérabilité a dû effrayer bon nombre de propriétaires de sites WordPress.

Dans cet article je vais essayer de vous expliquer ce qu’est la vulnérabilité HeartBleed et ce qu’il convient de faire pour protéger votre site WordPress (le cas échéant).

WordPress et HeartBleed

Qu’est-ce que la vulnérabilité HeartBleed?

Le bug Heartbleed est une vulnérabilité récemment découverte au sein d’une bibliothèque d’un logiciel de cryptographie OpenSSL. Cette bibliothèque est utilisée pour crypter les communications Web pour de nombreuses entreprises, parmi lesquels se trouvent Google, Yahoo, Facebook etc… Cette vulnérabilité permet le vol d’informations protégées par le cryptage SSL / TLS.

Voici comment ce bug fonctionne dans un langage facile à comprendre:

La faille de sécurité HeartBleed permet à un attaquant de lire 64 Ko de mémoire de votre serveur. L’attaquant peut ainsi récupérer des informations telles que le nom d’utilisateur, le mot de passe, des clés privées, etc … au cœur même de la mémoire.

Vous pouvez lire tous les détails concernant cette vulnérabilité sur le site Heartbleed.com (site en anglais).

Votre site WordPress est-il concerné ?

Cette vulnérabilité peut avoir de nombreux impacts directs et indirects. Cependant, voici ce que vous devez savoir en tant que administrateur du site WordPress.

Si votre site WordPress n’utilise pas le protocole HTTPS (ce qui signifie que vous n’avez jamais installé de certificat SSL sur votre site), alors vous n’avez pas trop à vous soucier de cette vulnérabilité.

La majorité des utilisateurs de WordPress n’utilise pas le protocole HTTPS sur leurs sites de sorte que beaucoup d’entre vous seront probablement soulagé d’apprendre qu’il n’ont rien à craindre.

Que faire pour se protéger ?

Si vous utilisez le protocole HTTPS sur votre site, vous devez faire ce qui suit aussitôt que possible :

1. Mise à niveau du logiciel

Contactez votre fournisseur d’hébergement et demandez si votre serveur est affecté (ce qui signifie qu’il utilise une version vulnérable de la bibliothèque Open SSL). Si votre serveur est affecté,  demandez leur de mettre le logiciel à jour afin de corriger ce bug. En théorie, votre hébergeur est susceptible d’avoir déjà corrigé ce problème avant que vous ne le contactiez.

2. Obtenez un nouveau certificat SSL / TLS

Contactez votre fournisseur de certificats  SSL / TLS (dans la plupart des cas, ce sera votre hébergemeur, si vous l’avez acquis chez lui) et demandez leur de réviser le certificat. Vous devez faire cela afin de vous assurer que les nouvelles clés publiques et privées sont émises pour vous. Sinon, si l’attaquant a volé la clé privée, il (ou elle) peut décrypter les données à l’aide de cette clé, même après la mise à niveau du logiciel.

3. Changez les mots de passe utilisateurs

Si vous ne l’avez pas déjà fait, changez votre mot de passe immédiatement. Si vous avez plusieurs utilisateurs sur votre site WordPress, vous devez leur demander de changer leurs mots de passe immédiatement.

Il est important de comprendre que cette étape doit se faire après avoir fait les étapes 1 et 2. Tant que le certificat SSL n’a pas été remplacé, tous les nouveaux mots de passe courent le même danger d’être volés que les anciens mots de passe.

Fin de la vulnérabilité HeartBleed

Si vous avez suivi toutes les étapes décrites ci-dessus, vouas avez pris les mesures nécessaires pour protéger votre site WordPress, et vous ne courez plus de risques avec HeartBleed.

Si j’ai oublié un détail, n’hésitez pas à me le communiquer dans les commentaires ci-dessous.

Si cet article vous a plu, merci de le partager avec vos amis sur les réseaux sociaux grâce aux boutons ci-dessous.

Publié à l'origine le : 14 avril 2014 @ 9 h 00 min

Pour compléter votre lecture.