Aller au contenu
Korben, roi d’internet, logo bébé avec des lunettes en mode thug life

6 techniques pour éviter de se faire pirater un blog sous WordPress

barbie hacker

Saviez vous qu’un blog WordPress peuvent se faire cracker en moins de 2 secondes… ?

Jusque là rien de nouveau sauf que la méthode n’utilise pas une quelconque faille qui sera patchée lors d’une prochaine release de WordPress mais tout simplement le système classique d’authentification. Un petit script python comme celui-ci par exemple, s’utilise très simplement et peu grâce à une liste de mots prédéfinis vous permettre de deviner le mot de passe de n’importe quel blogueur pourvu que ce sésame soit dans cette liste.

Il n’y a donc nativement aucun moyen de contrer cette technique et si votre mot de passe est un peu trop faible, vous êtes sûr d’y passer.

Mais ne tremblez pas car voici quelques petits conseils pour sécuriser un blog.

  1. Avant tout choisissez un mot de passe un peu plus costaud que vous êtes sur de ne pas voir généré dans une wordlist. Un truc avec beaucoup de caractères, des majuscules, des minuscules, des nombres, et ldes trucs bizarres genre % # et $… et mélangez moi bien tout ça… Et si vous cherchez l’inspiration, allez jeter un oeil à cette liste de générateurs de mots de passe
  2. Pour éviter le bruteforce dont je vous ai parlé au début de cet article, une solution simple existe et se présente sous la forme d’un plugin pour WordPress qui s’appelle AskApache qui va créer tout ce qu’il faut en .htaccess and co à la racine de votre blog afin de rajouter un niveau d’authentification supplémentaire gérée par Apache. Avec ça, le petit script python que je vous ai indiqué sera aussi inoffensif qu’un script kiddy habitant chez maman 🙂
  3. Une autre solution permet aussi de crypter à la volée son mot de passe afin qu’il ne soit pas transmis en clair sur les réseaux Wifi auquel vous vous connectez avec votre ordinateur. Il faut installer greasemonkey et mettre en place le plugin suivant.
  4. Mais attention avec les plugins car ils sont bien sûr le premier vecteur d’insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installez. Pensez aussi à les mettre à jour. AskApache s’occupera aussi de sécuriser le répertoire wp-content/plugins pour éviter que des petits malins viennent y mettre leurs yeux… Essayez d’aller avec votre navigateur sur www.votre_site.com/wp-content/plugins/  … surprise qui peut se regler aussi en mettant un .htaccess dans ce répertoire avec dedans « Options -Indexes »
  5. Pour éviter que les pirates en apprennent trop sur votre WordPress, vous pouvez aussi dissimuler le n° de version de celui-ci en utilisant ce plugin
  6. Bien sûr si les failles de sécurité sont votre hantise, je vous recommande aussi le plugin wp-security-scan qui vous aidera à détecter et fixer les trous de sécurité de votre blog mais aussi a faire un peu de préventif en renommant pourquoi pas certaines tables dans votre base de données.

Voilà ! Si avec tout ça vous n’évitez pas le pire, et bien c’est que quelqu’un vous en veut. Sachez tout de même que même en le sécurisant avec tout ce que je viens de vous décrire, votre blog reste faillible à un pirate bien entrainé…

Et à cela, aucune parade, si ce n’est, bien faire vos sauvegardes et ce, régulièrement avec par exemple Wp-Database Backup qui vous permettra de programmer simplement des exports de votre base de données WordPress. L’idéal restant quand même un backup quotidien de la base et des fichiers sur un serveur différent du votre.

A bon entendeur…

Autrement vous trouverez ici une liste de plugins testés qui vous permettront de sécuriser facilement WordPress.

Merci à 1ace pour la source d’inspiration…


Les articles du moment