SlideShare une entreprise Scribd logo
Sécurité WordPress
Protéger votre blog d’une attaque par force brute
www.ya-graphic.com
Consultant SEO, Social Media
contact@ya-graphic.com
Sécurité WordPress
Comme annoncé dans mon article Sécurité WordPress: Se protéger d’une attaque par force
brute, je vous propose dans ce document une liste de conseils à appliquer pour garantir la
sécurité de votre blog / site web propulsé par WordPress.
Dans la seconde partie de ce document* je cite quelques extensions qui devraient vous
permettre de sécuriser votre blog/site web.
Les conseils et les extensions cités dans ce document peuvent se compléter.
* Ce document ne peut être utilisé, reproduit ou communiqué sans autorisation de l’auteur.
Conseils de sécurité
 Supprimez tous les thèmes inactifs, les pirates visent les thèmes WordPress non utilisés
pour installer leur Backdoor.
 Toujours mettre à jour WordPress, votre thème et vos extensions.
 N’installez que les extensions essentielles - une dizaine environ.
 Méfiez-vous des extensions de sécurité obsolètes, mal codées et lisez toujours les
informations de compatibilité sur la page de l’extension
 Vous pouvez cacher les pages de connexion « wp-admin » et « wp-login.php », il faudra
alors ajouter la ligne « ErrorDocument 401 default » dans le fichier .htaccess.
 Scannez de temps en temps les répertoires de votre blog, notamment Uploads, il ne doit
pas y avoir de fichier qui se termine par « .php », ça pourrait être un Backdoor.
 Choisissez un hébergeur de sites web reconnu par sa fiabilité même si eux aussi peuvent
être secoués par les attaques par force brute. HostGator, l’un des plus gros hébergeur de sites
basé aux États-Unis raconte comment les attaques par force brute pouvaient déstabiliser leurs
serveurs. L'entreprise affirmait que le Botnet d'installations WordPress infectées comprenait
désormais plus de 90.000 sites compromis.
 Faites une comparaison entre votre fichier « wp-config » actuel et le fichier « wp-config-
sample » d’une installation WordPress vierge pour voir si un code malveillant aurait été inséré.
 Les droits d’accès aux répertoires « wp-admin » , « wp-includes » et « wp-content » doivent
être 755 ; le .htaccess 644 ; « wp-config.php » 600 et les autres fichiers 644. Jamais 777 !
 Utilisez un mot de passe compliqué - long avec plusieurs types de caractères - et ne le
gardez pas à vie ! Changez-le par exemple tous les 3 mois. Les pirates exploitent un fichier qui
contient plus d’un milliard de mots de passe. Aujourd’hui les machines utilisées par le Botnet
sont plus rapides, chaque seconde un nouveau mot de passe peut être essayé par une
nouvelle adresse IP.
 Évitez le nom « admin » comme nom d’utilisateur, trouvez-en un plus original. Le Botnet
utilise la plupart du temps « admin » comme identifiant, il ne lui reste donc que le mot de
passe à trouver !
 Limitez les échecs d’authentification. Certaines extensions de WordPress permettent de le
faire : Wordfence Security ou Limit Login Attempts.
 Si possible mettez en place l’authentification en 2 étapes, une fonctionnalité disponible
pour les blogs hébergés chez WordPress.com.
 Les extensions et le thème ne doivent être accessibles que pour l’administrateur du blog.
 Changez le préfixe « wp_ » de la table de votre base de données.
 Supprimez le fichier « readme.html » qui se trouve à la racine de votre blog.
 Vous pouvez utiliser le service CloudFlare qui permet de bloquer automatiquement les
tentatives de connexion qui portent la signature d’une attaque par force brute.
Extensions de sécurité
Une extension d’authentification en 2 étapes pour WordPress: Google Authenticator Plugin for
WordPress. Notez bien que ce n’est pas l’extension officielle de Google.
Pour limiter les échecs d’authentification vous pouvez utiliser Wordfence Security qui est
vraiment pas mal. L’extension vous permet de visualiser le trafic en temps réel de votre blog,
de scanner vos fichiers, d’activer un pare-feu, de définir des niveaux de sécurité, de bloquer
des IP par pays même si l’efficacité de cette fonctionnalité est limitée. Botnet exploiterait en
effet plus de 90.000 adresses IP. CloudFlare, entreprise de sécurité et de performance web, a
dénombré quelques 60 millions de requêtes de ses clients WordPress en l’espace d’une heure.
L’extension Captcha pour WordPress est un système de captcha qui vous permet de vous
protéger des robots. Il s’intègre dans votre formulaire de contact, dans votre formulaire de
commentaires et dans vos pages de login - /wp-login.php et /wp-admin.
Il y a l’extension WP Security Scan qui permet de trouver d’éventuelles vulnérabilités de votre
blog.
L’extension Better WP Security vous permet de changer l’URL de votre page de connexion et
de définir une URL personnalisée. L’extension permet aussi de trouver d’éventuelles
vulnérabilité cachées dans votre blog.
Pour scanner votre blog
Vous avez Exploit Scanner (si vous rencontrez des problèmes avec une extension, vous pouvez
la supprimer et la réinstaller) ; l’extension Theme Authenticity Checker .
Le site Sucuri.net vous permet de scanner votre blog/site gratuitement. Il vous permet
notamment de détecter des programmes, scripts malveillants et autres anomalies.
Ces quelques extensions vous permettront de sécuriser votre blog/site WordPress. Il y a
d’autres extensions, limitez-vous aux extensions essentielles , ne les installez pas toutes et
évitez les gadgets.
Ya-graphic.com
Digital Marketing | SEO, SEA, Social Media
contact@ya-graphic.com
Mob. 06-52-64-70-04
Twitter: @yagraphic
Google+: ya-graphic
SIRET: 51260110500012

Contenu connexe

En vedette

Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015
Frédéric Pérès
 
Hybrid honeypots for network security
Hybrid honeypots for network securityHybrid honeypots for network security
Hybrid honeypots for network security
chella mani
 
Personnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre clientPersonnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre client
Benjamin Denis
 
OS Security Hardening for SAP HANA
OS Security Hardening for SAP HANAOS Security Hardening for SAP HANA
OS Security Hardening for SAP HANA
Dirk Oppenkowski
 
Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)
Bastian Grimm
 
Passwords
PasswordsPasswords
‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016 ‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016
niraj joshi
 

En vedette (8)

Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015Intervention Frédéric PERES WPMX Biarritz 2015
Intervention Frédéric PERES WPMX Biarritz 2015
 
1 er pas epi info 7
1 er  pas epi info 71 er  pas epi info 7
1 er pas epi info 7
 
Hybrid honeypots for network security
Hybrid honeypots for network securityHybrid honeypots for network security
Hybrid honeypots for network security
 
Personnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre clientPersonnaliser le back office de WordPress pour votre client
Personnaliser le back office de WordPress pour votre client
 
OS Security Hardening for SAP HANA
OS Security Hardening for SAP HANAOS Security Hardening for SAP HANA
OS Security Hardening for SAP HANA
 
Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)Hardening WordPress - Friends of Search 2014 (WordPress Security)
Hardening WordPress - Friends of Search 2014 (WordPress Security)
 
Passwords
PasswordsPasswords
Passwords
 
‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016 ‘123456’ worst password of the year 2016
‘123456’ worst password of the year 2016
 

Dernier

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
OCTO Technology
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
Université de Franche-Comté
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
AlbertSmithTambwe
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
Horgix
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Laurent Speyser
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
UNITECBordeaux
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
abderrahimbourimi
 

Dernier (7)

Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
Le Comptoir OCTO - Qu’apporte l’analyse de cycle de vie lors d’un audit d’éco...
 
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'universitéDe l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
De l'IA comme plagiat à la rédaction d'une « charte IA » à l'université
 
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptxPRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
PRESENTATION DE L'ACTIVE DIRECTORY SOUS WINDOWS SERVEUR.pptx
 
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
MongoDB in a scale-up: how to get away from a monolithic hell — MongoDB Paris...
 
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
Ouvrez la porte ou prenez un mur (Agile Tour Genève 2024)
 
Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024Le support de présentation des Signaux 2024
Le support de présentation des Signaux 2024
 
Les écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptxLes écrans informatiques au fil du temps.pptx
Les écrans informatiques au fil du temps.pptx
 

Piratage WordPress: se protéger des attaques par force brute

  • 1. Sécurité WordPress Protéger votre blog d’une attaque par force brute www.ya-graphic.com Consultant SEO, Social Media contact@ya-graphic.com
  • 2. Sécurité WordPress Comme annoncé dans mon article Sécurité WordPress: Se protéger d’une attaque par force brute, je vous propose dans ce document une liste de conseils à appliquer pour garantir la sécurité de votre blog / site web propulsé par WordPress. Dans la seconde partie de ce document* je cite quelques extensions qui devraient vous permettre de sécuriser votre blog/site web. Les conseils et les extensions cités dans ce document peuvent se compléter. * Ce document ne peut être utilisé, reproduit ou communiqué sans autorisation de l’auteur.
  • 3. Conseils de sécurité  Supprimez tous les thèmes inactifs, les pirates visent les thèmes WordPress non utilisés pour installer leur Backdoor.  Toujours mettre à jour WordPress, votre thème et vos extensions.  N’installez que les extensions essentielles - une dizaine environ.  Méfiez-vous des extensions de sécurité obsolètes, mal codées et lisez toujours les informations de compatibilité sur la page de l’extension  Vous pouvez cacher les pages de connexion « wp-admin » et « wp-login.php », il faudra alors ajouter la ligne « ErrorDocument 401 default » dans le fichier .htaccess.  Scannez de temps en temps les répertoires de votre blog, notamment Uploads, il ne doit pas y avoir de fichier qui se termine par « .php », ça pourrait être un Backdoor.
  • 4.  Choisissez un hébergeur de sites web reconnu par sa fiabilité même si eux aussi peuvent être secoués par les attaques par force brute. HostGator, l’un des plus gros hébergeur de sites basé aux États-Unis raconte comment les attaques par force brute pouvaient déstabiliser leurs serveurs. L'entreprise affirmait que le Botnet d'installations WordPress infectées comprenait désormais plus de 90.000 sites compromis.  Faites une comparaison entre votre fichier « wp-config » actuel et le fichier « wp-config- sample » d’une installation WordPress vierge pour voir si un code malveillant aurait été inséré.  Les droits d’accès aux répertoires « wp-admin » , « wp-includes » et « wp-content » doivent être 755 ; le .htaccess 644 ; « wp-config.php » 600 et les autres fichiers 644. Jamais 777 !  Utilisez un mot de passe compliqué - long avec plusieurs types de caractères - et ne le gardez pas à vie ! Changez-le par exemple tous les 3 mois. Les pirates exploitent un fichier qui contient plus d’un milliard de mots de passe. Aujourd’hui les machines utilisées par le Botnet sont plus rapides, chaque seconde un nouveau mot de passe peut être essayé par une nouvelle adresse IP.
  • 5.  Évitez le nom « admin » comme nom d’utilisateur, trouvez-en un plus original. Le Botnet utilise la plupart du temps « admin » comme identifiant, il ne lui reste donc que le mot de passe à trouver !  Limitez les échecs d’authentification. Certaines extensions de WordPress permettent de le faire : Wordfence Security ou Limit Login Attempts.  Si possible mettez en place l’authentification en 2 étapes, une fonctionnalité disponible pour les blogs hébergés chez WordPress.com.  Les extensions et le thème ne doivent être accessibles que pour l’administrateur du blog.  Changez le préfixe « wp_ » de la table de votre base de données.  Supprimez le fichier « readme.html » qui se trouve à la racine de votre blog.  Vous pouvez utiliser le service CloudFlare qui permet de bloquer automatiquement les tentatives de connexion qui portent la signature d’une attaque par force brute.
  • 6. Extensions de sécurité Une extension d’authentification en 2 étapes pour WordPress: Google Authenticator Plugin for WordPress. Notez bien que ce n’est pas l’extension officielle de Google. Pour limiter les échecs d’authentification vous pouvez utiliser Wordfence Security qui est vraiment pas mal. L’extension vous permet de visualiser le trafic en temps réel de votre blog, de scanner vos fichiers, d’activer un pare-feu, de définir des niveaux de sécurité, de bloquer des IP par pays même si l’efficacité de cette fonctionnalité est limitée. Botnet exploiterait en effet plus de 90.000 adresses IP. CloudFlare, entreprise de sécurité et de performance web, a dénombré quelques 60 millions de requêtes de ses clients WordPress en l’espace d’une heure. L’extension Captcha pour WordPress est un système de captcha qui vous permet de vous protéger des robots. Il s’intègre dans votre formulaire de contact, dans votre formulaire de commentaires et dans vos pages de login - /wp-login.php et /wp-admin.
  • 7. Il y a l’extension WP Security Scan qui permet de trouver d’éventuelles vulnérabilités de votre blog. L’extension Better WP Security vous permet de changer l’URL de votre page de connexion et de définir une URL personnalisée. L’extension permet aussi de trouver d’éventuelles vulnérabilité cachées dans votre blog. Pour scanner votre blog Vous avez Exploit Scanner (si vous rencontrez des problèmes avec une extension, vous pouvez la supprimer et la réinstaller) ; l’extension Theme Authenticity Checker . Le site Sucuri.net vous permet de scanner votre blog/site gratuitement. Il vous permet notamment de détecter des programmes, scripts malveillants et autres anomalies. Ces quelques extensions vous permettront de sécuriser votre blog/site WordPress. Il y a d’autres extensions, limitez-vous aux extensions essentielles , ne les installez pas toutes et évitez les gadgets.
  • 8. Ya-graphic.com Digital Marketing | SEO, SEA, Social Media contact@ya-graphic.com Mob. 06-52-64-70-04 Twitter: @yagraphic Google+: ya-graphic SIRET: 51260110500012