SlideShare une entreprise Scribd logo

Piratage WordPress: se protéger des attaques par force brute

Ya-graphic.com
Ya-graphic.com

Ce document propose une série d'actions à réaliser sur votre blog / site propulsé par le CMS WordPress pour se protéger d'un piratage de type "attaque par force brute".

Technologie
1  sur  8
Sécurité WordPress Protéger votre blog d’une attaque par force brute www.ya-graphic.com Consultant SEO, Social Media contact@ya-graphic.com
Sécurité WordPress Comme annoncé dans mon article Sécurité WordPress: Se protéger d’une attaque par force brute, je vous propose dans ce document une liste de conseils à appliquer pour garantir la sécurité de votre blog / site web propulsé par WordPress. Dans la seconde partie de ce document* je cite quelques extensions qui devraient vous permettre de sécuriser votre blog/site web. Les conseils et les extensions cités dans ce document peuvent se compléter. * Ce document ne peut être utilisé, reproduit ou communiqué sans autorisation de l’auteur.
Conseils de sécurité  Supprimez tous les thèmes inactifs, les pirates visent les thèmes WordPress non utilisés pour installer leur Backdoor.  Toujours mettre à jour WordPress, votre thème et vos extensions.  N’installez que les extensions essentielles - une dizaine environ.  Méfiez-vous des extensions de sécurité obsolètes, mal codées et lisez toujours les informations de compatibilité sur la page de l’extension  Vous pouvez cacher les pages de connexion « wp-admin » et « wp-login.php », il faudra alors ajouter la ligne « ErrorDocument 401 default » dans le fichier .htaccess.  Scannez de temps en temps les répertoires de votre blog, notamment Uploads, il ne doit pas y avoir de fichier qui se termine par « .php », ça pourrait être un Backdoor.
 Choisissez un hébergeur de sites web reconnu par sa fiabilité même si eux aussi peuvent être secoués par les attaques par force brute. HostGator, l’un des plus gros hébergeur de sites basé aux États-Unis raconte comment les attaques par force brute pouvaient déstabiliser leurs serveurs. L'entreprise affirmait que le Botnet d'installations WordPress infectées comprenait désormais plus de 90.000 sites compromis.  Faites une comparaison entre votre fichier « wp-config » actuel et le fichier « wp-config- sample » d’une installation WordPress vierge pour voir si un code malveillant aurait été inséré.  Les droits d’accès aux répertoires « wp-admin » , « wp-includes » et « wp-content » doivent être 755 ; le .htaccess 644 ; « wp-config.php » 600 et les autres fichiers 644. Jamais 777 !  Utilisez un mot de passe compliqué - long avec plusieurs types de caractères - et ne le gardez pas à vie ! Changez-le par exemple tous les 3 mois. Les pirates exploitent un fichier qui contient plus d’un milliard de mots de passe. Aujourd’hui les machines utilisées par le Botnet sont plus rapides, chaque seconde un nouveau mot de passe peut être essayé par une nouvelle adresse IP.
 Évitez le nom « admin » comme nom d’utilisateur, trouvez-en un plus original. Le Botnet utilise la plupart du temps « admin » comme identifiant, il ne lui reste donc que le mot de passe à trouver !  Limitez les échecs d’authentification. Certaines extensions de WordPress permettent de le faire : Wordfence Security ou Limit Login Attempts.  Si possible mettez en place l’authentification en 2 étapes, une fonctionnalité disponible pour les blogs hébergés chez WordPress.com.  Les extensions et le thème ne doivent être accessibles que pour l’administrateur du blog.  Changez le préfixe « wp_ » de la table de votre base de données.  Supprimez le fichier « readme.html » qui se trouve à la racine de votre blog.  Vous pouvez utiliser le service CloudFlare qui permet de bloquer automatiquement les tentatives de connexion qui portent la signature d’une attaque par force brute.
Extensions de sécurité Une extension d’authentification en 2 étapes pour WordPress: Google Authenticator Plugin for WordPress. Notez bien que ce n’est pas l’extension officielle de Google. Pour limiter les échecs d’authentification vous pouvez utiliser Wordfence Security qui est vraiment pas mal. L’extension vous permet de visualiser le trafic en temps réel de votre blog, de scanner vos fichiers, d’activer un pare-feu, de définir des niveaux de sécurité, de bloquer des IP par pays même si l’efficacité de cette fonctionnalité est limitée. Botnet exploiterait en effet plus de 90.000 adresses IP. CloudFlare, entreprise de sécurité et de performance web, a dénombré quelques 60 millions de requêtes de ses clients WordPress en l’espace d’une heure. L’extension Captcha pour WordPress est un système de captcha qui vous permet de vous protéger des robots. Il s’intègre dans votre formulaire de contact, dans votre formulaire de commentaires et dans vos pages de login - /wp-login.php et /wp-admin.
Il y a l’extension WP Security Scan qui permet de trouver d’éventuelles vulnérabilités de votre blog. L’extension Better WP Security vous permet de changer l’URL de votre page de connexion et de définir une URL personnalisée. L’extension permet aussi de trouver d’éventuelles vulnérabilité cachées dans votre blog. Pour scanner votre blog Vous avez Exploit Scanner (si vous rencontrez des problèmes avec une extension, vous pouvez la supprimer et la réinstaller) ; l’extension Theme Authenticity Checker . Le site Sucuri.net vous permet de scanner votre blog/site gratuitement. Il vous permet notamment de détecter des programmes, scripts malveillants et autres anomalies. Ces quelques extensions vous permettront de sécuriser votre blog/site WordPress. Il y a d’autres extensions, limitez-vous aux extensions essentielles , ne les installez pas toutes et évitez les gadgets.
Ya-graphic.com Digital Marketing | SEO, SEA, Social Media contact@ya-graphic.com Mob. 06-52-64-70-04 Twitter: @yagraphic Google+: ya-graphic SIRET: 51260110500012

Recommandé

Comment évaluer la qualité d'un site web selon les techniques d'intégration w...
Comment évaluer la qualité d'un site web selon les techniques d'intégration w...Comment évaluer la qualité d'un site web selon les techniques d'intégration w...
Comment évaluer la qualité d'un site web selon les techniques d'intégration w...Renoir Boulanger
 
Présentation de TFE
Présentation de TFEPrésentation de TFE
Présentation de TFEAyoub Rekima
 
Création d'espaces privés sous WordPress
Création d'espaces privés sous WordPressCréation d'espaces privés sous WordPress
Création d'espaces privés sous WordPressvpratfr
 
Mettre à jour WordPress manuellement
Mettre à jour WordPress manuellementMettre à jour WordPress manuellement
Mettre à jour WordPress manuellementYa-graphic.com
 
Est-ce que le moteur de recherche Google pénalise les sites web sans raisons ?
Est-ce que le moteur de recherche Google pénalise les sites web sans raisons ?Est-ce que le moteur de recherche Google pénalise les sites web sans raisons ?
Est-ce que le moteur de recherche Google pénalise les sites web sans raisons ?Ya-graphic.com
 
Choix strategique d'un CMS
Choix strategique d'un CMSChoix strategique d'un CMS
Choix strategique d'un CMSOlivier Dommange
 
Gestion de projet web
Gestion de projet webGestion de projet web
Gestion de projet webOlivier Dommange
 
Ontologie concept applications
Ontologie concept applicationsOntologie concept applications
Ontologie concept applicationsbenouini rachid
 

Recommandé

Comment évaluer la qualité d'un site web selon les techniques d'intégration w...
Comment évaluer la qualité d'un site web selon les techniques d'intégration w...Comment évaluer la qualité d'un site web selon les techniques d'intégration w...
Comment évaluer la qualité d'un site web selon les techniques d'intégration w...Renoir Boulanger
 
Présentation de TFE
Présentation de TFEPrésentation de TFE
Présentation de TFEAyoub Rekima
 
Création d'espaces privés sous WordPress
Création d'espaces privés sous WordPressCréation d'espaces privés sous WordPress
Création d'espaces privés sous WordPressvpratfr
 
Mettre à jour WordPress manuellement
Mettre à jour WordPress manuellementMettre à jour WordPress manuellement
Mettre à jour WordPress manuellementYa-graphic.com
 
Est-ce que le moteur de recherche Google pénalise les sites web sans raisons ?
Est-ce que le moteur de recherche Google pénalise les sites web sans raisons ?Est-ce que le moteur de recherche Google pénalise les sites web sans raisons ?
Est-ce que le moteur de recherche Google pénalise les sites web sans raisons ?Ya-graphic.com
 
Choix strategique d'un CMS
Choix strategique d'un CMSChoix strategique d'un CMS
Choix strategique d'un CMSOlivier Dommange
 
Gestion de projet web
Gestion de projet webGestion de projet web
Gestion de projet webOlivier Dommange
 
Ontologie concept applications
Ontologie concept applicationsOntologie concept applications
Ontologie concept applicationsbenouini rachid
 
Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015Frédéric Pérès
 
1 er pas epi info 7
1 er pas epi info 71 er pas epi info 7
1 er pas epi info 7Eugène NJEBARIKANUYE
 
Hybrid honeypots for network security
Hybrid honeypots for network securityHybrid honeypots for network security
Hybrid honeypots for network securitychella mani
 
Personnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre clientPersonnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre clientBenjamin Denis
 
OS Security Hardening for SAP HANA
OS Security Hardening for SAP HANAOS Security Hardening for SAP HANA
OS Security Hardening for SAP HANADirk Oppenkowski
 
Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)Bastian Grimm
 
Passwords
PasswordsPasswords
PasswordsCharles Southerland
 
‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016 ‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016 niraj joshi
 

Contenu connexe

En vedette

Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015Frédéric Pérès
 
Hybrid honeypots for network security
Hybrid honeypots for network securityHybrid honeypots for network security
Hybrid honeypots for network securitychella mani
 
Personnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre clientPersonnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre clientBenjamin Denis
 
OS Security Hardening for SAP HANA
OS Security Hardening for SAP HANAOS Security Hardening for SAP HANA
OS Security Hardening for SAP HANADirk Oppenkowski
 
Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)Bastian Grimm
 
‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016 ‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016 niraj joshi
 

En vedette (8)

Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015
 
1 er pas epi info 7
1 er pas epi info 71 er pas epi info 7
1 er pas epi info 7
 
Hybrid honeypots for network security
Hybrid honeypots for network securityHybrid honeypots for network security
Hybrid honeypots for network security
 
Personnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre clientPersonnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre client
 
OS Security Hardening for SAP HANA
OS Security Hardening for SAP HANAOS Security Hardening for SAP HANA
OS Security Hardening for SAP HANA
 
Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)
 
Passwords
PasswordsPasswords
Passwords
 
‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016 ‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016
 

Piratage WordPress: se protéger des attaques par force brute

  • 1. Sécurité WordPress Protéger votre blog d’une attaque par force brute www.ya-graphic.com Consultant SEO, Social Media contact@ya-graphic.com
  • 2. Sécurité WordPress Comme annoncé dans mon article Sécurité WordPress: Se protéger d’une attaque par force brute, je vous propose dans ce document une liste de conseils à appliquer pour garantir la sécurité de votre blog / site web propulsé par WordPress. Dans la seconde partie de ce document* je cite quelques extensions qui devraient vous permettre de sécuriser votre blog/site web. Les conseils et les extensions cités dans ce document peuvent se compléter. * Ce document ne peut être utilisé, reproduit ou communiqué sans autorisation de l’auteur.
  • 3. Conseils de sécurité  Supprimez tous les thèmes inactifs, les pirates visent les thèmes WordPress non utilisés pour installer leur Backdoor.  Toujours mettre à jour WordPress, votre thème et vos extensions.  N’installez que les extensions essentielles - une dizaine environ.  Méfiez-vous des extensions de sécurité obsolètes, mal codées et lisez toujours les informations de compatibilité sur la page de l’extension  Vous pouvez cacher les pages de connexion « wp-admin » et « wp-login.php », il faudra alors ajouter la ligne « ErrorDocument 401 default » dans le fichier .htaccess.  Scannez de temps en temps les répertoires de votre blog, notamment Uploads, il ne doit pas y avoir de fichier qui se termine par « .php », ça pourrait être un Backdoor.
  • 4.  Choisissez un hébergeur de sites web reconnu par sa fiabilité même si eux aussi peuvent être secoués par les attaques par force brute. HostGator, l’un des plus gros hébergeur de sites basé aux États-Unis raconte comment les attaques par force brute pouvaient déstabiliser leurs serveurs. L'entreprise affirmait que le Botnet d'installations WordPress infectées comprenait désormais plus de 90.000 sites compromis.  Faites une comparaison entre votre fichier « wp-config » actuel et le fichier « wp-config- sample » d’une installation WordPress vierge pour voir si un code malveillant aurait été inséré.  Les droits d’accès aux répertoires « wp-admin » , « wp-includes » et « wp-content » doivent être 755 ; le .htaccess 644 ; « wp-config.php » 600 et les autres fichiers 644. Jamais 777 !  Utilisez un mot de passe compliqué - long avec plusieurs types de caractères - et ne le gardez pas à vie ! Changez-le par exemple tous les 3 mois. Les pirates exploitent un fichier qui contient plus d’un milliard de mots de passe. Aujourd’hui les machines utilisées par le Botnet sont plus rapides, chaque seconde un nouveau mot de passe peut être essayé par une nouvelle adresse IP.
  • 5.  Évitez le nom « admin » comme nom d’utilisateur, trouvez-en un plus original. Le Botnet utilise la plupart du temps « admin » comme identifiant, il ne lui reste donc que le mot de passe à trouver !  Limitez les échecs d’authentification. Certaines extensions de WordPress permettent de le faire : Wordfence Security ou Limit Login Attempts.  Si possible mettez en place l’authentification en 2 étapes, une fonctionnalité disponible pour les blogs hébergés chez WordPress.com.  Les extensions et le thème ne doivent être accessibles que pour l’administrateur du blog.  Changez le préfixe « wp_ » de la table de votre base de données.  Supprimez le fichier « readme.html » qui se trouve à la racine de votre blog.  Vous pouvez utiliser le service CloudFlare qui permet de bloquer automatiquement les tentatives de connexion qui portent la signature d’une attaque par force brute.
  • 6. Extensions de sécurité Une extension d’authentification en 2 étapes pour WordPress: Google Authenticator Plugin for WordPress. Notez bien que ce n’est pas l’extension officielle de Google. Pour limiter les échecs d’authentification vous pouvez utiliser Wordfence Security qui est vraiment pas mal. L’extension vous permet de visualiser le trafic en temps réel de votre blog, de scanner vos fichiers, d’activer un pare-feu, de définir des niveaux de sécurité, de bloquer des IP par pays même si l’efficacité de cette fonctionnalité est limitée. Botnet exploiterait en effet plus de 90.000 adresses IP. CloudFlare, entreprise de sécurité et de performance web, a dénombré quelques 60 millions de requêtes de ses clients WordPress en l’espace d’une heure. L’extension Captcha pour WordPress est un système de captcha qui vous permet de vous protéger des robots. Il s’intègre dans votre formulaire de contact, dans votre formulaire de commentaires et dans vos pages de login - /wp-login.php et /wp-admin.
  • 7. Il y a l’extension WP Security Scan qui permet de trouver d’éventuelles vulnérabilités de votre blog. L’extension Better WP Security vous permet de changer l’URL de votre page de connexion et de définir une URL personnalisée. L’extension permet aussi de trouver d’éventuelles vulnérabilité cachées dans votre blog. Pour scanner votre blog Vous avez Exploit Scanner (si vous rencontrez des problèmes avec une extension, vous pouvez la supprimer et la réinstaller) ; l’extension Theme Authenticity Checker . Le site Sucuri.net vous permet de scanner votre blog/site gratuitement. Il vous permet notamment de détecter des programmes, scripts malveillants et autres anomalies. Ces quelques extensions vous permettront de sécuriser votre blog/site WordPress. Il y a d’autres extensions, limitez-vous aux extensions essentielles , ne les installez pas toutes et évitez les gadgets.
  • 8. Ya-graphic.com Digital Marketing | SEO, SEA, Social Media contact@ya-graphic.com Mob. 06-52-64-70-04 Twitter: @yagraphic Google+: ya-graphic SIRET: 51260110500012