Sécuriser un site WordPress - Semaine du web

Sécuriser un site
WordPress
WordPressAlgérieLa Semaine Du Web - 2013
SLIMANI Nour El Houda
k.nourslimani@gmail.com

Sommaire
• Introduction
• Raisons pour pirater un site
• Les risques les plus connus
• Techniques de base pour sécuriser un site WordPress
– Lors de l’installation
– Après l’installation
– Plugins requis
• Conclusion

Introduction
• Saviez-vous que WordPress est le CMS open source le plus
utilisé au monde ?
• Environ 15% des sites internet dans le monde s’en servent.
• Qui dit succès, dit revers de la médaille! Il est donc nécessaire de
se protéger le mieux possible.
• WordPress est un logiciel de gestion de contenu très sécuritaire
mais qu’aucun système même très protégé n’est infaillible.
• La sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans
n’importe quel domaine.

Le problème du hacking est
sans fin !

The web site whose URL is written in this
note shall be hacked !

Si mon site se fait pirater, je le saurai assez
rapidement ??

Les causes les plus fréquentes de la vulnérabilité des
blogs Wordpress
• Version Wordpress obsolète
• Installation de thèmes et plugins douteux.
• Le niveau de sécurité faible du mot de passe.
• Accès FTP volés.
• Problèmes de sécurité avec l’hébergeur

Raisons pour pirater un site
• La redirection du trafic vers d’autres sites.
• L’utilisation du site pour voler les informations critiques.
• L’insertion de liens de spams dans le contenu du site en
question (articles et commentaires) pour améliorer le
référencement de leurs sites.
• Tant que vous avez un site wordpress, il y aura toujours des
raisons de vous faire pirater.
• Just for the fun :p

Sécuriser votre site
WordPress n’est pas
une affaire de
spécialiste !

SÉCURISERWORDPRESS:
COMMENT FAIRE?
Tout le monde n'a pas forcément les
compétences techniques pour trouver
les failles de son site ni savoir les
combler afin de dormir sur ses 2 oreilles.

Sécuriser Wordpress:
Quelques clefspour améliorer la protection de
votre plate-forme Web.

Sécuriser Wordpress:
Dès l’installation: il faut se préparer au pire !
Mieux vaut prévenir que guérir !

Compte Admin :
Eliminer le maillon faible!
Virezmoi ce
« Admin »

Compte Admin
• Admin est le maillon faible des utilisateurs de Wordpress.
• Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre
des bâtons dans les roues à ceux qui veulent vous nuire !
• Si vous manquez d'inspiration : Le plugin Wordpress Google Authenticator ;)

I.2 Mot de passe
• Disposer d’un mot de passe d’au moins 8 caractères incluant :
– Majuscules & Miniscules
– Des chiffres ;
– Des symboles spéciaux ;
• Blindez le mot de passe dans le genre
« jesuis_*_sur=que@tu&nele|trouveras$pas»
• Laissez faire votre imagination ou un générateur de mot de passe!
• Évitez toute donnée faisant référence à votre vie personnelle
• Plugin Limit Login Attempts : limiter le nombre de tentatives dans
un temps donné (ex : 3 tentatives toutes les 10minutes.

I.3 Préfixes de tables : Protéger sa base de données
• Modifiez vos préfixes de tables à l’installation, au lieu de wp_
préférez un truc du genre : « commenttuvasgalerer_ »
• Renforcer la sécurité de votre BDD d’injections SQL qui
peuvent transformer votre blog en ferme de lien.
• Plugin WP Security Scan permet de renommer le préfixe.

Once the installation process is complete
there is still quite a bit of work to be done
securing WordPress.

Archivez, Archivez, Archivez !

Archivage et sauvegarde
• Même si on a beau bien se protéger, notre vie peut prendre
une tournure différente ! Backup, Backup, Backup !
• Faut toujours avoir un plan de sauvegarde et de restauration.
• Avant toute intervention, faites des backup régulièrement de
votre site WordPress
– Votre base de données MySQL ;
– Votre compte FTP ;

Archivage et sauvegarde : WP-DB-Backup
• Sauvegarder la base de données WordPress
• Choisir les tables à sauvegarder,
• Recevoir les tables par eMail,
• La base de données pourra être réinjectée à distance elle
aussi.

Si seulement …
• Sauvegarder Wordpress dans son intégralité (Base de données+ fichiers),
• L’envoyer par mail
• Sur FTP ( dans un dossier de sauvegarde)
• Soit dans un autre FTP (plus malin je trouve ^^)
• Vers DropBox: Recevoir chaque {mois|semaine|jour|heure} une
sauvegarde du FTP sur mon bureau dans le dossier DropBox de mon
Ordi donc même si le pirate met le feu chez moi, OSEF :p je pourrai tjrs
récupérer ma sauvegarde.
• Et pourquoi pas d’autres options en plus :p ? Juste pour la beauté de mes
yeux , hein ?? J’ai le droit de rêver au final :p
• Avant que j’oublie … Faut qu’il soit gratuit comme on les aime ;)

Tout est désormais possible
Don’t worry ! :p

BackWPup
• Plugin de sauvegarde le plus complet
• Sauvegarde de la Base de données
• Export articles et pages en XML
• Optimisation et réparation de la Base de données
• Sauvegarde des fichiers et répertoires
• Backup aux formats zip, tar, tar.gz, tar.bz2
• Sauvegarde envoyée sur votre serveur FTP, Amazon S3, Google
Storage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync...
• Envoi des logs et backups sur votre email

Installation des extensions & plugins
• N’installez pas n’importe quoi sur votre site :
• Préférez les extensions proposées par le site officiel de WordPress
• Favoriser ceux qui ont des mises à jours régulière et faites les ces
mises à jour,
• Choisissez les extensions qui ont un nombre de vote (et de votant)
très bon
• Un plugin qui n’est pas souvent mis à jour peut contenir des
failles de sécurité.
• Informez-vous sur les rapports de bug et failles de sécurité desdits
plugins.

Mise à jour extensions et versionWordpress
La mise à jour de son blog peut donner quelques sueurs froides
mais le piratage de votre blog pourrait vous donner un mal de
tête bien plus conséquent !!!
• Tenir à jour votre architecture WordPress et vos extensions,
• Tenez vous également au courant des mises à jour de votre
thème…Et appliquez les ;)

• Avoir un mot de passe digne de ce nom.
• Sachez convenablement organiser votre thème
• Protéger repertoires sensibles
– Regle générale : 755 pour les folders & 644 pour les files,
– .htaccess : Options All –Indexes
• Améliorer encore la sécurité avec le plugin «Ask Apache ».
– Protéger le dossier wp-admin par une authentification au niveau du
serveur.
– Désactiver les liens malveillants et l’accès direct aux répertoires wp-
content et wp-includes
Protéger les accès à Wordpress et ses répertoires

Niveau ++;
Niveau Intermédiaire

Niveau intermédiaire
• Prendre toutes les précautions nécessaire à la protection de
votre site, c’est bien.
Mais
• Ne pas exposer vos données sensibles aux grand soleil, c’est
encore mieux.

Suppression du fichier readme.html
• Placé à la racine de votre site, ce fichier contient la version
WordPress de votre site,
(testez avec www.votresite.com/readme.html).

Chouchoutez vos fichiers sensibles !
• “wp-config.php”
• “.htaccess”

Protéger wp-config.php
• Erreurs PHP qui offrent l’accès au fichier wp-config.php
• Le fichier wp-config.php peut-être protégé par des clés de sécurité alors
pourquoi s’en priver ?
• Générer et y insérez les grâce au lien :https://api.wordpress.org/secret-key/1.1/salt/
• Reconnecter sur vos bloc après cette manipulation

Exemple de clefsd’authentification et salage

Protéger .htaccess
• Restreindre les droits d’accès au seul propriétaire
– A partir d’un navigateur FTP ( ex: Filezilla)« Droit d’accès au fichier » =>
644
– Grâce à WP Security Scan
• Protégez votre fichier .htaccess

WordPressAlgérie
Masquez votre version!!
Mais pourquoi ?

Masquezvotre version
• Editer le fichier functions.php : présent dans votre thème
(dans /wp-content/themes/VotreTheme) et ajouter:
• Editer le fichier header.php en supprimant la ligne :
• Autre alternative : l’extension Better security WP.
• Jouer avec vos assaillants en leur mentant sur la version que
vous utilisez avec le plugin Replace WP-Version;)

Empêcher les attaques par Brute Forcing :
• Bloquer les tentatives multiples de connexions au panneau
d’administration
• Remédier à cela en utilisant le plugin LoginLockDown.

Limiter le nombre de tentatives deconnexions
• Blocagepar adresseIP ne sera pas efficace
• Une meilleure alternative consiste à activer une
authentification en 2 temps (2-factor authentication) :
• Plugin pour le mettre en place rapidement sur votre site :
GoogleAuthenticator.

Désactiver Windows LiveWriter ) :
• WordPress vous offres la possibilité de publier vos articles via
Windows Live Writer.
• Supprimer les lignes indésirables
• Editer le fichier functions.php:
Unelignede
codesuspecte
se cacheici !

Attention à faillesTimThumb
• Script TimThumb .
• Ré-écrire le fichier .htaccess
• Le plugin TimThumbVulnerability

Quelques précautions supplémentaires
• Ne laisser aucune donnée sensible dans wp-content !
– Ex: L’archive de base de données que certains plugins comme WP-
backup le stockent dans wp-content.
• Supprimer tous les utilisateurs inactifs à fort pouvoir
(administrateur).

Des plugins à votre secours !
• Better WP Security
• WP-Scurity Scan
• TAC (Theme Authenticity Checker)

Masquer les erreurs de connexion
• Renforcer la sécurité en masquant les erreurs de connexion
affichés lors de tentative infructueuse.
=> Eviter de divulguer les messages aux yeux de tous
• Editer le fichier functions.php de votre thème et d’y ajouter:
• Recommencer cette manipulation Si vous changiez de thème.

Antivirus pour Wordpress: Wordfence
• Gratuit & Puissant
• Analyse en profondeur un site Wordpress
• Accès au fichier incriminé pour rapidement faire le ménage
• Visualiseur géolocalisé et en direct du trafic de votre site

Anti-Malware (Get Off Malicious Scripts)
• Anti-Malware/Anti-virus Plugin
• Solution prometteuse !

Theme check
• Utilitaire simple et efficace pour analyser votre thème
• Un très bon outil

WordPress Firewall 2
• Bloquer les directory traversals
• Bloquer les requêtes d’injection SQL
• Bloquer les termes spécifiques ( wp_, user_login, etc.)
• Bloquer l’upload de fichier .exe, .php
• Avertir par mail en cas de tentatives d’attaques
• Rediriger les attaques vers une page 404 ou la page d’accueil
• Et bien d’autres fonctionnalités que je vous laisse découvrir….

C’est la vie !
• En dépit de toutes précautions le risque ne sera jamais nul !
le risque zéro n'existe pas...
• Pour prévenir toute mauvaise surprise, il convient de faire
des backups régulièrement.
• Le plugin WP-Database Backup est une bonne solution !

WordPress AlgérieLa Semaine Du Web - 2013
SLIMANI NourEL Houda
 PhD Student at Laboratory
of Research in Artificial
Intelligence LRIA, USTHB.
 Wordpress Member
 Web developper
 Just Me ;)
WordPress

Sécuriser un site WordPress - Semaine du web

Contenu connexe

Tendances

Similaire à Sécuriser un site WordPress - Semaine du web

Sécuriser un site WordPress - Semaine du web