Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top

6 techniques pour éviter de se faire pirater un blog sous WordPress

barbie hacker

Saviez vous qu'un blog WordPress peuvent se faire cracker en moins de 2 secondes... ?

Jusque là rien de nouveau sauf que la méthode n'utilise pas une quelconque faille qui sera patchée lors d'une prochaine release de WordPress mais tout simplement le système classique d'authentification. Un petit script python comme celui-ci par exemple, s'utilise très simplement et peu grâce à une liste de mots prédéfinis vous permettre de deviner le mot de passe de n'importe quel blogueur pourvu que ce sésame soit dans cette liste.

Il n'y a donc nativement aucun moyen de contrer cette technique et si votre mot de passe est un peu trop faible, vous êtes sûr d'y passer.

Mais ne tremblez pas car voici quelques petits conseils pour sécuriser un blog.

  1. Avant tout choisissez un mot de passe un peu plus costaud que vous êtes sur de ne pas voir généré dans une wordlist. Un truc avec beaucoup de caractères, des majuscules, des minuscules, des nombres, et ldes trucs bizarres genre % # et $... et mélangez moi bien tout ça... Et si vous cherchez l'inspiration, allez jeter un oeil à cette liste de générateurs de mots de passe
  2. Pour éviter le bruteforce dont je vous ai parlé au début de cet article, une solution simple existe et se présente sous la forme d'un plugin pour WordPress qui s'appelle AskApache qui va créer tout ce qu'il faut en .htaccess and co à la racine de votre blog afin de rajouter un niveau d'authentification supplémentaire gérée par Apache. Avec ça, le petit script python que je vous ai indiqué sera aussi inoffensif qu'un script kiddy habitant chez maman :-)
  3. Une autre solution permet aussi de crypter à la volée son mot de passe afin qu'il ne soit pas transmis en clair sur les réseaux Wifi auquel vous vous connectez avec votre ordinateur. Il faut installer greasemonkey et mettre en place le plugin suivant.
  4. Mais attention avec les plugins car ils sont bien sûr le premier vecteur d'insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installez. Pensez aussi à les mettre à jour. AskApache s'occupera aussi de sécuriser le répertoire wp-content/plugins pour éviter que des petits malins viennent y mettre leurs yeux... Essayez d'aller avec votre navigateur sur www.votre_site.com/wp-content/plugins/  ... surprise qui peut se regler aussi en mettant un .htaccess dans ce répertoire avec dedans "Options -Indexes"
  5. Pour éviter que les pirates en apprennent trop sur votre WordPress, vous pouvez aussi dissimuler le n° de version de celui-ci en utilisant ce plugin
  6. Bien sûr si les failles de sécurité sont votre hantise, je vous recommande aussi le plugin wp-security-scan qui vous aidera à détecter et fixer les trous de sécurité de votre blog mais aussi a faire un peu de préventif en renommant pourquoi pas certaines tables dans votre base de données.

Voilà ! Si avec tout ça vous n'évitez pas le pire, et bien c'est que quelqu'un vous en veut. Sachez tout de même que même en le sécurisant avec tout ce que je viens de vous décrire, votre blog reste faillible à un pirate bien entrainé...

Et à cela, aucune parade, si ce n'est, bien faire vos sauvegardes et ce, régulièrement avec par exemple Wp-Database Backup qui vous permettra de programmer simplement des exports de votre base de données WordPress. L'idéal restant quand même un backup quotidien de la base et des fichiers sur un serveur différent du votre.

A bon entendeur...

Autrement vous trouverez ici une liste de plugins testés qui vous permettront de sécuriser facilement WordPress.

Merci à 1ace pour la source d'inspiration...


Facebook Twitter Email Copier Url

32 Responses to “6 techniques pour éviter de se faire pirater un blog sous WordPress”

  1. Tsukasa dit :

    En même temps le bruteforce sa peut facilement aller dans les jours/années pour trouver le pass … C’est donc très limité …

  2. Séverin dit :

    Je me permet un petit lien vers un article que j’ai écrit sur la sécurité de WP.
    Des techniques qui demandent un peu plus de connaissances mais qui sont incontournables si tu es aussi parano que moi.

    http://blogblog.gamesandgeeks.com/le-blog-du-blogueur/securisons-wordpress/

  3. Merci Korben !
    Après le hackage de plusieurs blog récemment (je pense à SportsCafé et d’autres — toi aussi tu t’ai déjà fait hacker, nan ?), je commence à flipper…
    Bref : je vais commencer à sécuriser sec au niveau des mots de passes.

    Par contre, @tous : j’ai déjà vu des attaques de trojan en temps réel, sur des machines à priori non infectés (via des techniques de Firewall que je ne peux pas expliquer ici) : c’est impressionnant.
    Bref : utilisez des OS sûr (les anti-virus & autres Firewall sur Windows ne fonctionnent jamais à 100%), comme… Linux (tapez “Ubuntu” sur internet).

  4. Korben dit :

    @AbriCoCotier: Ca m’est déjà arrivé oui mais c’etait un script automatisé qui m’a pourri mes pages avec des virus…etc
    Depuis je suis sur mon propres serveur, et je surveille ça de près

  5. touriste dit :

    ouai c’est sympa tout ca :)
    un bon mot de passe c’est le plus important, après cacher la version un peu moins…
    à titre d’exemple j’ai généré une liste comprenant toutes les possibilités de 0 à 9 + a à z (minuscule) en 6 caractères, et ca prend tout de même 17Go le dico décompressé…
    Mais 5 caractères simplement en minuscule (de a à z) la c’est quand même du petit dico rapide à passer…

    Et après c’est sur que les pluggins plus y en a plus y a de risques (et surtout plus de choses à surveiller en terme de “MAJ”)

  6. Pour éviter le bruteforce vous pouvez aussi utilisez le daemon fail2ban qui est un indispensable pour la secu ;)

  7. Korben dit :

    @petitchevalroux: Fail2ban, je confirme, c’est de la boulette ! :-) Mais encore faut il disposer d’un serveur dédié

  8. Héhé ;) un bon ouvrier s’équipe avec de bons outils

  9. 1ace dit :

    de rien :)

    sinon, pour générer un vrai pass bien fiable, rien ne vaut:
    cat /dev/urandom | head -c16; printf "\n" :D

    quoi, trop compliqué ? bon, d’accord:
    </dev/urandom tr -dc A-Za-z0-9 | head -c16; printf "\n"
    toujours pas convaincu ? remplaçez “-c16” par “-cX” pour que le pass fasse X caractères de long, et remplaçez “A-Za-z0-9” par la plage de caractères que vous voulez ;)

  10. Jérôme dit :

    “Mais attention avec les plugins car ils sont bien sûr le premier vecteur d’insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installé. Pensez aussi à les mettre à jour.”

    je plussoie fortement: mon blog fut défacé par injection sql en passant par une faille sql d’un plugin :s

    Sinon avec wordpress 2.6, si vous avez mis à jour depuis une version précédente, il faut ajouter un bout de code dans wp-config.php et y mettre une passphrase, c’est un paramètre supplémentaire d’authentification:

    define(’AUTH_KEY’, ‘mettez votre expression unique ici’);
    define(’SECURE_AUTH_KEY’, ‘mettez votre expression unique ici’);
    define(’LOGGED_IN_KEY’, ‘mettez votre expression unique ici’);

  11. Rahim dit :

    Petit papier que j’ai écris sur la sécurisation de sites (+CMS) ici :

    http://www.rahimblakblog.fr/how-to-be-secure/

    (A destination de tout esprit curieux voulant en savoir un peu plus sur la chose :p)

  12. Korben dit :

    @Rahim: Merci Rahim… toujours de bons tuyaux

  13. hichamsoft dit :

    Extrêmement intersectant merci korben ;) ça tombe à pique un petit lamer veux hacker mon blog :P

  14. Unicornis dit :

    DotClear n’est il pas plus fiable ?
    Si c’est le cas pourquoi utiliser WordPress ?

  15. 1ace dit :

    @Unicornis: j’ai jamais entendu que DC soit plus fiable que WP (je ne me suis pas spécialement renseigné non-plus)
    par contre, ce qui est sûr, c’est que la communauté qui entoure WP est beaucoup plus grande, ce qui fait plus de personnes pour voir les failles, et donc aussi plus de personnes pour les corriger ;)

  16. PoP dit :

    Perso j’ai utilisé le white paper que tu as déjà présenté sur ton blog pour configurer mon wordpress. Des .htaccess pour bloquer l’accès aux wp-content et consors, du HTTPS pour le login, mots de passe générés aléatoirement,…

  17. Piwaï dit :

    Merci pour ces infos !

    PoP (ou Korben) : Ya moyen que tu balances le lien sur ce White paper ?

    Sinon, je viens d’installer un WP 2.6 tout neuf et..

    – tout d’abord, au départ on a pas le choix du mot de passe pour le compte admin, et c’est un mot de passe plutôt coriace qui est généré.

    – ensuite, le répertoire /wp-content/plugins/ n’est pas accessible, et pourtant j’ai strictement rien changé.

    – fail2ban : j’aime beaucoup ce truc, mais moi il me sert que pour l’authentification Ssh il me semble.. WP met des logs de tentatives d’authentification quelque part ? Parce qu’avec fail2ban, on peut définir un pattern (regex) pour lire les logs, et ensuite bloquer les ip qui tentent de s’authentifier. Quelqu’un l’a déjà fait ? Toute solution est bienvenue ;) .

    – Sinon, comme je l’ai dit je viens d’installer un WP, et je trouve que quand on débarque, on sait pas trop par où commencer au niveau configuration et plugins “essentiels”. Ta ptet fait déjà des articles à ce sujet, mais le nombre d’articles que tu as fait sur WP est phénoménal, et les choses évoluent vite.. vous avez des liens sympa ?

  18. Bertrand dit :

    Bonjour,
    il y a aussi ce site pour tester son mot de passe:
    http://www.passwordmeter.com/

  19. Mathias dit :

    Le greffons sont une “bonne” source de faiblesses, surtout quand le répertoire n’est pas protégé : http://fr.search.yahoo.com/search?p=inurl:/wp-content/plugins/

  20. styza dit :

    bonjour

    J’ai une petite question concernant la sécurité des mots de passe.
    Sous Firefox j’enregistre toujours les mots de passe de mes comptes qui sont protégés par un mot de passe principal assez costaud.
    Est ce que cette protection est suffisante ?
    NB : je suis sous Linux ;-)

  21. yannick dit :

    jai un souci avec un blog on me deplace, mes photo je ai pas comment jai spybot peerguardian et avg pouvez vous mindiket un des bon moyen de protection ou logiciel

  22. qjc133202 dit :

    Korben nous propose 6 techniques pour éviter de se faire pirater un blog sous WordPress

  23. inconnu mais que tu connais dit :

    Je pense que c’est un très bon site!

  24. Your blog is fine. I just want to comment on the design. Its too loud. Its doing approach an excessive amount of and it takes away from what youve received to say –which I think is de facto important. I dont know when you didnt suppose that your words could hold everyones consideration, but you have been wrong. Anyway, in my language, there are not a lot good source like this.

  25. mouton dit :

    Hier on m’a piraté deux blogs WP, j’ai suivi ce tuto pour l’un des deux et devinez quoi… Ce soir j’en ai un seul de piraté sur les deux :)

    Merci Korben pour ces infos et à 1ace.

La menace des failles 0-Day

capture-vjhj

"En avril 2014, les chercheurs en sécurité de Google sont tombé sur une vulnérabilité présente à l’intérieur de la bibliothèque cryptographique OpenSSL. Petit problème, OpenSSL est utilisé sur les 2/3 des sites web qui utilisent HTTPS mais aussi par les téléphones Android. Heartbleed était né."

Si comme moi vous êtes un passionné de sécurité informatique et que vous vous demandez qu'est-ce qu'un truc comme Heartbleed peut causer comme dommages, la lecture de cet article sur les failles 0-Day est pour vous...et je vous rassure je ne parle pas du dernier film Blackhat récemment vu au ciné ;)

Lire la suite

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 55248 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 55248 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Univers Populaires

  • Site hébergé par
    Agarik Sponsor Korben
  • Vidéos

  • DANS TON CHAT (BASHFR)

    <fatftw> vous vous êtes jamais demandé pourquoi ya jamais d'autre solution que de répondre " OK " quand on une erreur survient sur windows ?
    <fatftw> sans déconner j'imagine bien la chose en vrai, une erreur "survient" genre tu rentre chez toi et ta maison est en train de cramer.. et là, l'unique chose qui te vient à l'esprit c'est " OK "
    <fatftw> bon c'est décidé je me lance dans la prog rien que pour réussir à changer le " OK " en quelque chose ressemblant a " Vista je t'encule "

    -- http://danstonchat.com/9031.html
  • Themes

  • Une astuce pour rendre

    Windows 10 plus rapide

    Si vous trouvez que Windows 10 est un peu lent, que vos applications ne se lancent pas très vite, que vos compilations prennent du temps, voici une petite astuce débusquée par Brominou pour accélérer le bouzin. Cliquez dans la zone de recherche de la barre Windows et tapez le mot clé...lire la suite

    Cryptool pour s'initier à la cryptographie

    Alors attention, ce n'est pas nouveau, mais je me suis dit que ce serait intéressant de vous en parler si vous ne connaissez pas encore. Cryptool est un logiciel open source éducatif qui va vous permettre de comprendre les principes de base de la cryptographie. Dans sa version 2, Cryptool intègre...lire la suite

    En ce moment dans l'univers "Windows"

    Voir tous les articles »