Il y a certainement quelque chose à faire pour éviter d’être la cible d’un script Kiddy qui met en l’air votre site just’for’fun. Il peut facile de réaliser ce genre d’exploit lorsque l’on ne fait que reprendre une faille qui a été identifiée et que l’on cherche juste à s’engouffrer dans le site pour faire un maximum de dégats.
Il y a un minimum de précautions qui s’imposent pour rendre ce type d’attaque plus compliqué, il ne s’agit pas de sécurisation ultime, personne ne peut garantir ce genre de protection mais simplement de bons réflexes à avoir pour minimiser les éventuels saccages.
Avant toute chose, une sauvegarde régulière de sa base de données, réalisée via PhpMyAdmin et pour ceux qui n’y ont pas accès la possibilité de réaliser cette sauvegarde par le biais d’un plugin installé directement sur WordPress
Ensuite, il faut prévoir de sauvegarder le dossier wp-content ainsi que le dossier concernant vos uploads, une dernière attention pour le fichier wp-config.php et le .htaccess
Vous voila donc paré pour une migration, donc vous pourrez remettre en place à n’importe quel moment et sur n’importe quel serveur votre blog.
Maintenant comment limiter la casse a priori ?
Premier réflexe : Avoir la dernière version de WordPress, vous êtes prévenus en temps et heures lorsqu’une nouvelle version est disponible : cette version corrigera les éventuelles failles et l’ensemble des correctifs rendra votre blog plus sûr !
Deuxième réflexe : ne donner pas le bâton pour vous faire battre : personnaliser tout ce qui peut l’être et ne pas laisser inchangées les options créées par défaut :
- Le préfixe des tables de la base de données, par défaut c’est wp_, n’hésitez pas à changer pour wpmabase567_ (c’est un exemple bien sur 😉 )
- Supprimer le compte admin, autre option créée par défaut lors de l’installation de WordPress : le login, c’est quasiment la moitié de la sécurité du couple mot de passe/login : pour ce faire vous créez un nouveau compte administrateur avec un login différent de votre prénom ou nom (vous savez celui qui s’affiche lorsqu’on lit l’un de vos articles. Vous vous déconnectez de votre compte actuel, vous vous reconnectez avec le nouveau login administrateur et vous supprimer le compte admin. Au passage, vous attribuez tous les articles et pages créés par admin à votre nouveau login.
- L’autre partie du couple login/motdepasse, c’est le mot de passe : faites le choix d’un mot de passe fort : + de 7 caractères, casse différente : majuscules, minuscule, des chiffres, des caractères spéciaux.
Votre mot de passe est testé en direct avec WordPress 2.7, profitez en !
Note par rapport au mot de passe : plus que de chercher à mémoriser un mot de passe, mémoriser la façon de le concevoir : un exemple :
Toto (c’est pas un mot de passe, c’est un appel au hack)
Un truc dont je vais me souvenir : ma première voiture : une 4L ce qui peut donner quatrel
La date de mon permis 1988
A l’arrivée quatrel1988, ça commence à être pas mal mais on peut faire mieux 1988 sans la touche maj ça donne &ç__
On reprend Quatrel&ç__ c’est quand mieux que toto
Vous pouvez tester vos mots de passe en direct :
Pour en générer et ainsi faire travailler vos méninges pour les retenir.
Troisième réflexe : Eviter le glanage d’information :
- Pourquoi indiquer à un visiteur malveillant qui veut forcer l’entrée ce qui ne va pas dans son comple login/mot de passe : en effet, par défaut, WordPress ,qui est bienveillant, indique à l’étourdi ce qui est incorrect dans le couple login/password : soit Erreur : identifiant non valide, dans ce cas là je n’ai qu’à essayer avec un nouveau login, soit Erreur : mot de passe incorrect, dans ce cas, j’ai déjà la moitié du sésame (le login) je n’ai plus qu’à tester le mot de passe.
Pour éviter cela, et si votre thème le permet, Menu Apparence > Editeur > Fonctions du thème
Ajouter la ligne suivante add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
et mettez à jour le fichier l’indication d’erreur ne sera plus disponible. - Bien plus simple et tant pis pour les étourdis qui ont tendance à ne pas faire attention à leur login/password, limitez le nombre d’essai pour s’identifier sur votre site.
Pour cela il existe un excellent petit plugin qui vous permet de bloquer purement et simplement l’accès à la partie administration du site après un certain nombre d’échecs pour une durée déterminée avec la possibilité d’augmenter la durée de blocage en cas de réitération intempestive l’adresse IP de l’étourdi est enregistrée, l’administrateur peut même recevoir un message (tout est à configurer)..Votre site est ainsi immunisé aux attaques de force brute.
Dernier réflexe : Une dernière petite chose : les autorisations d’écriture / lecture / exécution pour les différents dossier : le fameux chmod.
Pour une sécurité renforcée, il faut définir le chmod du :
- Dossier à la racine : ce qui contient tout votre blog : 755
- Dossier wp-includes : 755
- .htaccess : 644
- wp-admin/index.php : 644
- wp-admin/js/:755
- wp-content/themes/ : 755
- wp-content/plugins/: 755
- wp-admin/ : 755
- wp-content/: 755
Pour ceux qui veulent voir l’étendue des dégats, en termes de failles, je recommande deux plugins :
Un petit tour sur BlogSecurity dont WP-scanner est un tout plug in a installer temporairement sur son blog pour permettre de voir les failles et un test grandeur nature à réaliser sur le site (n’oubliez surtout pas de désactiver le plugin après usage)
WP Security Scan, un plugin qui vous permet de vérifier que la plupart des points abordés dans cet articles sont bien respectés.