Entrez vos identifiants

x
OU
Vous avez oublié votre mot de passe ?
Utilisateur wiki : vous n'aviez pas d'email ?

Korben - Site d'actualité geek et tech

Go Top


6 techniques pour éviter de se faire pirater un blog sous WordPress

barbie hacker

Saviez vous qu'un blog WordPress peuvent se faire cracker en moins de 2 secondes... ?

Jusque là rien de nouveau sauf que la méthode n'utilise pas une quelconque faille qui sera patchée lors d'une prochaine release de WordPress mais tout simplement le système classique d'authentification. Un petit script python comme celui-ci par exemple, s'utilise très simplement et peu grâce à une liste de mots prédéfinis vous permettre de deviner le mot de passe de n'importe quel blogueur pourvu que ce sésame soit dans cette liste.

Il n'y a donc nativement aucun moyen de contrer cette technique et si votre mot de passe est un peu trop faible, vous êtes sûr d'y passer.

Mais ne tremblez pas car voici quelques petits conseils pour sécuriser un blog.

  1. Avant tout choisissez un mot de passe un peu plus costaud que vous êtes sur de ne pas voir généré dans une wordlist. Un truc avec beaucoup de caractères, des majuscules, des minuscules, des nombres, et ldes trucs bizarres genre % # et $... et mélangez moi bien tout ça... Et si vous cherchez l'inspiration, allez jeter un oeil à cette liste de générateurs de mots de passe
  2. Pour éviter le bruteforce dont je vous ai parlé au début de cet article, une solution simple existe et se présente sous la forme d'un plugin pour WordPress qui s'appelle AskApache qui va créer tout ce qu'il faut en .htaccess and co à la racine de votre blog afin de rajouter un niveau d'authentification supplémentaire gérée par Apache. Avec ça, le petit script python que je vous ai indiqué sera aussi inoffensif qu'un script kiddy habitant chez maman :-)
  3. Une autre solution permet aussi de crypter à la volée son mot de passe afin qu'il ne soit pas transmis en clair sur les réseaux Wifi auquel vous vous connectez avec votre ordinateur. Il faut installer greasemonkey et mettre en place le plugin suivant.
  4. Mais attention avec les plugins car ils sont bien sûr le premier vecteur d'insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installez. Pensez aussi à les mettre à jour. AskApache s'occupera aussi de sécuriser le répertoire wp-content/plugins pour éviter que des petits malins viennent y mettre leurs yeux... Essayez d'aller avec votre navigateur sur www.votre_site.com/wp-content/plugins/  ... surprise qui peut se regler aussi en mettant un .htaccess dans ce répertoire avec dedans "Options -Indexes"
  5. Pour éviter que les pirates en apprennent trop sur votre WordPress, vous pouvez aussi dissimuler le n° de version de celui-ci en utilisant ce plugin
  6. Bien sûr si les failles de sécurité sont votre hantise, je vous recommande aussi le plugin wp-security-scan qui vous aidera à détecter et fixer les trous de sécurité de votre blog mais aussi a faire un peu de préventif en renommant pourquoi pas certaines tables dans votre base de données.

Voilà ! Si avec tout ça vous n'évitez pas le pire, et bien c'est que quelqu'un vous en veut. Sachez tout de même que même en le sécurisant avec tout ce que je viens de vous décrire, votre blog reste faillible à un pirate bien entrainé...

Et à cela, aucune parade, si ce n'est, bien faire vos sauvegardes et ce, régulièrement avec par exemple Wp-Database Backup qui vous permettra de programmer simplement des exports de votre base de données WordPress. L'idéal restant quand même un backup quotidien de la base et des fichiers sur un serveur différent du votre.

A bon entendeur...

Autrement vous trouverez ici une liste de plugins testés qui vous permettront de sécuriser facilement WordPress.

Merci à 1ace pour la source d'inspiration...


Facebook Twitter Email Copier Url

32 Responses to “6 techniques pour éviter de se faire pirater un blog sous WordPress”

  1. Tsukasa dit :

    En même temps le bruteforce sa peut facilement aller dans les jours/années pour trouver le pass … C’est donc très limité …

  2. Séverin dit :

    Je me permet un petit lien vers un article que j’ai écrit sur la sécurité de WP.
    Des techniques qui demandent un peu plus de connaissances mais qui sont incontournables si tu es aussi parano que moi.

    http://blogblog.gamesandgeeks.com/le-blog-du-blogueur/securisons-wordpress/

  3. Merci Korben !
    Après le hackage de plusieurs blog récemment (je pense à SportsCafé et d’autres — toi aussi tu t’ai déjà fait hacker, nan ?), je commence à flipper…
    Bref : je vais commencer à sécuriser sec au niveau des mots de passes.

    Par contre, @tous : j’ai déjà vu des attaques de trojan en temps réel, sur des machines à priori non infectés (via des techniques de Firewall que je ne peux pas expliquer ici) : c’est impressionnant.
    Bref : utilisez des OS sûr (les anti-virus & autres Firewall sur Windows ne fonctionnent jamais à 100%), comme… Linux (tapez “Ubuntu” sur internet).

  4. Korben dit :

    @AbriCoCotier: Ca m’est déjà arrivé oui mais c’etait un script automatisé qui m’a pourri mes pages avec des virus…etc
    Depuis je suis sur mon propres serveur, et je surveille ça de près

  5. touriste dit :

    ouai c’est sympa tout ca :)
    un bon mot de passe c’est le plus important, après cacher la version un peu moins…
    à titre d’exemple j’ai généré une liste comprenant toutes les possibilités de 0 à 9 + a à z (minuscule) en 6 caractères, et ca prend tout de même 17Go le dico décompressé…
    Mais 5 caractères simplement en minuscule (de a à z) la c’est quand même du petit dico rapide à passer…

    Et après c’est sur que les pluggins plus y en a plus y a de risques (et surtout plus de choses à surveiller en terme de “MAJ”)

  6. Pour éviter le bruteforce vous pouvez aussi utilisez le daemon fail2ban qui est un indispensable pour la secu ;)

  7. Korben dit :

    @petitchevalroux: Fail2ban, je confirme, c’est de la boulette ! :-) Mais encore faut il disposer d’un serveur dédié

  8. Héhé ;) un bon ouvrier s’équipe avec de bons outils

  9. 1ace dit :

    de rien :)

    sinon, pour générer un vrai pass bien fiable, rien ne vaut:
    cat /dev/urandom | head -c16; printf "\n" :D

    quoi, trop compliqué ? bon, d’accord:
    </dev/urandom tr -dc A-Za-z0-9 | head -c16; printf "\n"
    toujours pas convaincu ? remplaçez “-c16” par “-cX” pour que le pass fasse X caractères de long, et remplaçez “A-Za-z0-9” par la plage de caractères que vous voulez ;)

  10. Jérôme dit :

    “Mais attention avec les plugins car ils sont bien sûr le premier vecteur d’insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installé. Pensez aussi à les mettre à jour.”

    je plussoie fortement: mon blog fut défacé par injection sql en passant par une faille sql d’un plugin :s

    Sinon avec wordpress 2.6, si vous avez mis à jour depuis une version précédente, il faut ajouter un bout de code dans wp-config.php et y mettre une passphrase, c’est un paramètre supplémentaire d’authentification:

    define(’AUTH_KEY’, ‘mettez votre expression unique ici’);
    define(’SECURE_AUTH_KEY’, ‘mettez votre expression unique ici’);
    define(’LOGGED_IN_KEY’, ‘mettez votre expression unique ici’);

  11. Rahim dit :

    Petit papier que j’ai écris sur la sécurisation de sites (+CMS) ici :

    http://www.rahimblakblog.fr/how-to-be-secure/

    (A destination de tout esprit curieux voulant en savoir un peu plus sur la chose :p)

  12. Korben dit :

    @Rahim: Merci Rahim… toujours de bons tuyaux

  13. hichamsoft dit :

    Extrêmement intersectant merci korben ;) ça tombe à pique un petit lamer veux hacker mon blog :P

  14. Unicornis dit :

    DotClear n’est il pas plus fiable ?
    Si c’est le cas pourquoi utiliser WordPress ?

  15. 1ace dit :

    @Unicornis: j’ai jamais entendu que DC soit plus fiable que WP (je ne me suis pas spécialement renseigné non-plus)
    par contre, ce qui est sûr, c’est que la communauté qui entoure WP est beaucoup plus grande, ce qui fait plus de personnes pour voir les failles, et donc aussi plus de personnes pour les corriger ;)

  16. PoP dit :

    Perso j’ai utilisé le white paper que tu as déjà présenté sur ton blog pour configurer mon wordpress. Des .htaccess pour bloquer l’accès aux wp-content et consors, du HTTPS pour le login, mots de passe générés aléatoirement,…

  17. Piwaï dit :

    Merci pour ces infos !

    PoP (ou Korben) : Ya moyen que tu balances le lien sur ce White paper ?

    Sinon, je viens d’installer un WP 2.6 tout neuf et..

    – tout d’abord, au départ on a pas le choix du mot de passe pour le compte admin, et c’est un mot de passe plutôt coriace qui est généré.

    – ensuite, le répertoire /wp-content/plugins/ n’est pas accessible, et pourtant j’ai strictement rien changé.

    – fail2ban : j’aime beaucoup ce truc, mais moi il me sert que pour l’authentification Ssh il me semble.. WP met des logs de tentatives d’authentification quelque part ? Parce qu’avec fail2ban, on peut définir un pattern (regex) pour lire les logs, et ensuite bloquer les ip qui tentent de s’authentifier. Quelqu’un l’a déjà fait ? Toute solution est bienvenue ;) .

    – Sinon, comme je l’ai dit je viens d’installer un WP, et je trouve que quand on débarque, on sait pas trop par où commencer au niveau configuration et plugins “essentiels”. Ta ptet fait déjà des articles à ce sujet, mais le nombre d’articles que tu as fait sur WP est phénoménal, et les choses évoluent vite.. vous avez des liens sympa ?

  18. Bertrand dit :

    Bonjour,
    il y a aussi ce site pour tester son mot de passe:
    http://www.passwordmeter.com/

  19. Mathias dit :

    Le greffons sont une “bonne” source de faiblesses, surtout quand le répertoire n’est pas protégé : http://fr.search.yahoo.com/search?p=inurl:/wp-content/plugins/

  20. styza dit :

    bonjour

    J’ai une petite question concernant la sécurité des mots de passe.
    Sous Firefox j’enregistre toujours les mots de passe de mes comptes qui sont protégés par un mot de passe principal assez costaud.
    Est ce que cette protection est suffisante ?
    NB : je suis sous Linux ;-)

  21. yannick dit :

    jai un souci avec un blog on me deplace, mes photo je ai pas comment jai spybot peerguardian et avg pouvez vous mindiket un des bon moyen de protection ou logiciel

  22. qjc133202 dit :

    Korben nous propose 6 techniques pour éviter de se faire pirater un blog sous WordPress

  23. inconnu mais que tu connais dit :

    Je pense que c’est un très bon site!

  24. Your blog is fine. I just want to comment on the design. Its too loud. Its doing approach an excessive amount of and it takes away from what youve received to say –which I think is de facto important. I dont know when you didnt suppose that your words could hold everyones consideration, but you have been wrong. Anyway, in my language, there are not a lot good source like this.

  25. mouton dit :

    Hier on m’a piraté deux blogs WP, j’ai suivi ce tuto pour l’un des deux et devinez quoi… Ce soir j’en ai un seul de piraté sur les deux :)

    Merci Korben pour ces infos et à 1ace.

Dolby Audio Challenge – Coder pour le bonheur des oreilles

Capture du 2016-04-28 18:04:55

Si vous êtes développeur web en agence (par exemple) il vous arrive sûrement d'avoir dans votre Slack ou ailleurs des commandes pour des sites qui intègrent du son.

Pause
Wait, je sais le son en arrière plan d'une page web c'est bad really bad, mais là je parle d'autre chose.
End pause

Je veux parler de ces sites commandés à votre boîte par Warner, Universal, Ubisoft, où même toi dev freelance qui veut te faire un portfolio qui claque sa maman et qui ont besoin d'une bande son en arrière plan pour plonger l'internaute dans l'univers du jeu, trailer vidéo ou whatever.

B'hein en règle générale, c'est une mouise sans nom pour avoir un rendu sonore correct.
Pour pallier au problème Dolby a développé une techno qui est censée régler le problème et pour vous en faire la demo, ils vous invitent à la tester en participant à leur code challenge.

En y participant, vous aurez toutes les ressources nécessaires afin d'intégrer le nouveau son multi-dimensionnel (just marketing mais ça à l'air quand même cool) de Dolby. Accédez au hub où les développeurs Dolby animeront des tutoriels et webinars en one-to-one pour implémenter Dolby Digital Plus sur votre site.

A la clé un money pot de 15,000$.

Pour y participer où voir de plus près la techno pour les plus curieux c'est ici

Vous avez aimé cet article ? Alors partagez-le avec vos amis en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin email
Rejoignez les 56870 korbenautes
et réveillez le bidouilleur qui est en vous
abonnez-vous en savoir plus
"Vous aimez bidouiller ?" Oui j'adore l'informatique et la technologie
Suivez Korben Un jour ça vous sauvera la vie.. Ou celle d'un(e) ami(e)
  • Rejoignez les 56870 bidouilleurs de la grande famille des Korbenautes
    «Je considère que votre email est aussi important que le mien.»
    Korben
  • Les Derniers Articles du Blog

  • Inscrivez vous aux bon plans

  •  
  • Site hébergé par
    Agarik Sponsor Korben
  • DANS TON CHAT (BASHFR)

    <Mani> Alors ? Et avec ta copine , comment ca se passe ?
    <Drack> Bah jvai faire les préliminaires là :p
    <Mani> Okay bah ... bonne chance ^^
    * Drack a modifié son statut en Parti manger
    <Mani> U_U"

    -- http://danstonchat.com/10213.html
  • Un boitier externe pour booter des ISO à

    gogo sans se prendre la tête

    Il s'agit d'un boitier externe pour disque dur 2,5" fabriqué par la société Zalman, qui a la particularité d'avoir un petit écran de contrôle et qui permet de choisir l'ISO sur laquelle vous souhaitez booter...lire la suite

    Microsoft récupère vos clés de chiffrement.

    Voici comment les en empêcher

    Si vous avez acheté un appareil sous Windows 10 équipé d'une puce qui chiffre par défaut le disque, ne vous pensez pas en sécurité pour autant : La clé de récupération qui vous permet de déchiffrer vos données...lire la suite

    En ce moment dans l'univers "Raspberry Pi"

    Voir tous les articles »