Récemment certains de nos sites ont été victimes d’attaques de pirates, une équipe du nom de UR0B0R0X. Comme par hasard, les sites fonctionnaient sous WordPress 3.4. Il a donc suffi d’un petit nettoyage et d’une mise à jour de la plateforme pour régler le problème.
Suite à cette aventure notre équipe a décidé de produire un guide explicatif pour sécuriser les installations de WordPress et de vous la partager. Nous avons basé notre travail sur ce guide de sécurité WordPress en anglais et avons gardé les conseils les plus simples à implanter.
Conseils classiques
Voici la liste des conseils que à rappeler pour avoir bonne conscience 😉 : tenez à jour votre plateforme et vos extensions, sauvegardez fréquemment, n’installez que les thèmes et extensions nécessaires et effacez ceux que vous n’utilisez pas.
Protection contre la brute force
Les attaques “brute force” sont une technique qui vise à essayer des combinaisons d’informations de connexion jusqu’à ce que l’attaquant puisse se connecter.
Renommez le compte Administrateur
Évidement le nom d’utilisateur ‘admin’ est celui que l’attaquant essaiera en premier. Voici un script SQL pour le modifier. Changez UTILISATEUR et MOT_DE_PASSE pour les informations de connexion désirées et voilà!
UPDATE `wp_secure`.`wp_users`
SET `user_login` = 'UTILISATEUR',
`user_pass` = MD5( 'MOT_DE_PASSE' ) ,
`user_nicename` = 'UTILISATEUR'
WHERE `wp_users`.`ID` =1;
Limitez les tentatives de connexion
Bien que certaines extensions ajoutent des vulnérabilités à votre installation celle-ci vous offrira une protection supplémentaire : Limit Login Attempts
L’extension bloque automatiquement les tentatives de connexion abusives et prend en note les événements liés à celles-ci.
Ajustements à la configuration
Voici quelques ajustements à la configuration de votre installation qui doivent être effectués.
Ajout des clés de sécurités
Le fichier wp-config.php comprend une section ou vous devez ajouter des clés de sécurité. Vous trouverez le code suivant :
define('AUTH_KEY', '');
define('SECURE_AUTH_KEY', '');
define('LOGGED_IN_KEY', '');
define('NONCE_KEY', '');
define('AUTH_SALT', '');
define('SECURE_AUTH_SALT', '');
define('LOGGED_IN_SALT', '');
define('NONCE_SALT', '');
Vous pouvez générer les clés avec l’outil officiel de WordPress.
Désactiver les inscriptions publiques
Par défaut WordPress permet à n’importe qui de créer un compte sur votre site et cela peut être utilisé pour compromettre votre site.
Dans le Tableau de bord -> Réglages -> Général il y une option “Inscription – Tout le monde peut s’enregistrer”. Décochez-la.
Effacez les comptes utilisateurs bidons
Si l’option précédente était active, il y a fort à parier que plusieurs comptes bidons ont été créés. Allez dans l’onglet “Utilisateurs” et effacez les comptes indésirables.
Protégez vos utilisateurs du spam
WordPress est présentement la plateforme web la plus utilisée donc vos commentaires seront inévitablement remplis de liens pointant vers des sites douteux qui peuvent contenir des malwares.
L’extension Askimet (http://akismet.com/) vient avec toutes les installations de WordPress. Par contre pour l’activer vous devez obtenir une clé. Il suffit de créer un compte et de faire un don de 0$.
Fichier robots.txt
Vous pouvez empêcher les moteurs de recherche de trouver vos pages privées en modifier le fichier robots.txt qui se trouve dans la racine de votre dossier FTP. Si le fichier n’y est pas vous pouvez le créer.
Ajouter y ce code :
User-agent: *
Disallow: /feed/
Disallow: /trackback/
Disallow: /wp-admin/
Disallow: /wp-content/
Disallow: /wp-includes/
Disallow: /xmlrpc.php
Disallow: /wp-
Supprimer les fichiers inutiles
Vous pouvez supprimer les fichiers suivant pour éviter que des attaquants n’obtiennent de l’information sur vos installations :
/license.txt
/readme.html
/wp-config-sample.php
Supprimez aussi tous les fichiers de type ‘readme’ dans vos extensions.
‘‘Google ne vous aime que lorsque tout le monde vous aime’’ Wendy Piersall Vous êtes-vous…
‘‘Je plie et ne romps pas’’ Le Chêne et le Roseau. Jean de la Fontaine…
‘’ Les liens sont vraiment importants pour nous, afin de trouver du contenu.’’ John Mueller,…
“Toutes les images que nous avons de la nature, c'est aux peintres que nous les…
Le contenu dupliqué plombe le classement d'un site Web. Plusieurs éléments sur votre site Web…
Avez-vous déjà reçu une lettre retournée par l’expéditeur ? C’est agaçant. Surtout si la réponse…
This website uses cookies.