10 conseils pour sécuriser WordPress (2)

Bonjour,

j’avais commencé une série d’articles sur la sécurité des blogs wordpress il y a quelques semaines.

Il se trouve que depuis le premier article publié, j’ai vu bon nombre de blogs  Wordpress corrompus par des hackers.

Pendant cette période, j’ai testé beaucoup de solutions pour sécuriser convenablement WordPress. Au fure et à  mesure, j’ai recommandé à  mes clients d’installer des extensions afin de combler les failles de WordPress utilisées par les Hackeurs.

Un peu comme dans un laboratoire, cette démarche m’a permis de connaître les extensions qui sont vraiment efficaces et celles qui le sont moins ou pas du tout.

Beaucoup des clients hébergés sur les serveurs Global Net Concept utilisent WordPress. Les résultats que je vous livre aujourd’hui sont d’autant plus intéressants qu’ils concernent un panel de noms de domaine sur différents comptes avec des configurations variées. Quand un blog est hacké, le premier réflexe du client est de me contacter afin de lui débloquer la situation. En effet, le hacker a généralement changé les codes d’accès au tableau de bord WordPress et corrompu la base de données. Si le client n’a pas effectué de sauvegarde, il est coincé. Soit il efface tout et perd l’ensemble de son travail, soit il me contacte.

Ce qui ne marche pas :

- Firewall 2

- Les extensions Wordfence et Sucuri Scaner (pour celles ou ceux qui les utilisent) ne sont pas plus sûr.

- Idem pour l’extension BulletProof Security

Associer ces extensions ne bloque pas les hackeurs. J’ai testé ces extensions ou l’association de ces extensions sur plusieurs comptes (soit des sites WordPress que j’ai personnellement créés pour des clients et dont j’assure la maintenance et les mises à  jour, soit pour des clients en hébergement).

Actuellement (j’écris actuellement, car les hackeurs cherchent toujours de nouvelles failles), pour protéger vos blogs de façon efficace, vous devez :

- Prendre en compte les 5 premiers points du précédent article

Ces points sont importants

Le point numéro 6 concernant l’extension firewall 2 n’est plus d’actualité puisque les hackeurs arrivent à  contourner cette protection.

Vous devez installer :

Pour un maximum de sécurité, vous devez installer l’extension Better WP Security

Cette extension est très complète. Bien configurée, elle sécurise totalement votre blog WordPress. Si vous ne savez pas comment la configurer, posez vos questions dans les commentaires ci-dessous. Attention, certaines options sont susceptibles de changer les chemins des répertoires de votre blog ou d’acitiver le SSL pour les connections au panel d’administration. Si vous les activez sans faire les modifications adéquates, votre blog ne fonctionnera plus.

Vous pouvez également installer d’autres extensions de firewall qui vous permettront de recevoir des alertes. Par exemple OSE Firewall.

Quelques précisions importantes :

- Sachez qu’il y a, actuellement, une forte recrudescence d’attaques et peu importe l’hébergeur de vos sites. Certains sites importants sur le web sont régulièrement hackés. Par exemple le dernier en date :  http://www.huffingtonpost.fr/2012/10/28/piratage-site-euromillions-message-religieux-anti-jeu-maroc_n_2034606.html?utm_hp_ref=france

- Cet article n’a pas pour vocation de vous faire peur. Ce n’est pas le genre de la maison. Simplement, en tant qu’hébergeur, je suis régulièrement confronté à  ce problème. Trouver des solutions, c’est d’abord aider les clients qui me font confiance. Ce week-end j’ai personnellement aidé 6 de mes clients à  nettoyer leurs sites.

- Je ne peux apporter un support technique qu’à  mes clients. Si vous n’êtes pas client Global Net Concept, contactez votre hébergeur pour toute demande de support. Si vous souhaitez que Global Net Concept héberge vos sites, rendez-vous ici http://www.global-net-concept.com/hebergement/index.php

Amicalement,

signature Eric Cardonnel

Eric Cardonnel
Global Net Concept

10 conseils pour sécuriser WordPress (1)

Bonjour,

même si WordPress est un script vraiment fantastique, comme tous les scripts php, WordPress contient des failles de sécurité. Ces failles sont des portes ouvertes aux hackers de tout poil qui vont les utiliser généralement pour spammer à  grande échelle à  partir de votre domaine ou rediriger vos visiteurs à  l’aide d’iframes non visibles vers des sites au contenu peu recommandable.

En tant qu’hébergeur, je vois souvent des blogs se faire bêtement hacker.

Vous pouvez protéger simplement vos blogs. Voici 5 conseils pour sécuriser WordPress.

1. Configurer «proprement » WordPress

Quand vous installez WordPress, il est très important de remplir correctement le fichier wp-config :
- Le mot de passe d’utilisateur de la base de données attachée à  votre blog doit être TRàˆS compliqué. à‡a ne sert à  rien de faire simple, puisque que vous n’avez pas besoin de retenir ce mot de passe.

- Modifiez également le préfixe des tables de la base (autre chose que wp_ )

- Configurez les clés d’autorisation (Authentication Unique Keys and Salts).
Cela ne prend que quelques secondes. Il vous suffit de vous rendre sur cette url : https://api.wordpress.org/secret-key/1.1/salt/ et de copier/coller le résultat dans votre fichier wp-config.
Vous serez ainsi sûr d’avoir des clés uniques.

- Au moment d’indiquer vos codes d’accès à  l’administration de WordPress, choisissez un nom d’utilisateur (identifiant) plus compliqué que ‘admin’. Choisissez également un mot de passe TRàˆS compliqué. Si vous n’avez pas d’idées, effectuez la recherche « générateur de mot de passe » dans Google et vous aurez accès à  de nombreux site qui vous permettrons de générer des mots de passe impossible à  cracker. Il va de soi qu’il vous faut retenir ce mot de passe. à‰videment, il n’est pas possible de le faire de tête, à  moins de s’appeler Vincent Delourmel. De mon côté, je dois avoir un minimum de 1 000 mots de passe en activité. J’utilise donc un logiciel comme 1password qui me permet de générer, retenir et servir les mots de passe dont j’ai besoin et ce peu importe le périphérique que j’utilise (ordi(s), smartphone, etc.).

2. Effectuez toujours les mises à  jour de WordPress

Même si chaque mise à  jour apporte son lot de «nouveautés», les mise à  jour permettent également de corriger des failles de sécurité. Il faut comprendre que les développeurs de scripts ont toujours un temps de retard par rapport aux « pirates ». Dès qu’une faille est découverte, une mise à  jour est proposée. Celle-ci permet de « boucher » le trou, la faille que peut utiliser un pirate. Le revers de la médaille c’est qu’en publiant la correction d’une faille de sécurité, elle est ainsi dévoilée aux personnes mal intentionnées qui ne la connaissaient pas. Il leurs suffit de se mettre en piste de blog n’ayant pas fait la mise à  jour pour les hacker.

- Effacez le fichier  ’readme.html’ qui donne la version de WordPress que vous utilisez (indication précieuse).

WordPress vous indique les mises à  jour disponible dans le Tableau de bord de votre blog. Un clic suffit pour récupérer la mise à  jour et l’installer automatiquement.

3. Effectuez toujours les mises à  jour des extensions que vous utilisez.

Rien ne sert de mettre à  jour WordPress, si les extensions que vous utilisez contiennent des failles de sécurité. Mettez à  jour vos extensions.

4. Installez des extensions dignes de confiance

Ce n’est pas parce qu’une extension WordPress à  l’air géniale, qu’elle l’est. Avant d’installer une extension, effectuer une recherche sur Goggle à  son sujet. Des recherches de ce type vous permettront de savoir si celle-ci contient une faille : « nom extension + sécurité » « nom extension + failles » « nom extension + problème » « nom extension + security ».

Les extensions les plus à  risque concernent bien souvent :

- Les générateurs de formulaires
- Utilisation de polices de caractères font face
- Gestionnaire d’images (galeries)
- Utilisation de javascript (JS)
- ClickHeat
- etc.

En gros, toutes les extensions qui permettent d’envoyer des données vers votre site.
Les formulaires sont particulièrement risqués. Une technique utilisée pour hacker un site et d’envoyer du code « malicieux » dans un formulaire à  la place des infos demandées. Ces techniques sont connues depuis des lustres, pourtant beaucoup de formulaires ne sont pas sécurisés. Et dans WordPress, des formulaires, il y en a… partout…

5. Installez le plugin « Firewall 2″

Afin d’éviter l’injection de code malicieux, vous pouvez installer un plugin très performant : firewall 2 (gratuit). Ce plugin va contrôler tout ce qui « rentre » sur votre site et bloquer, le cas échéant, les « entrées » potentiellement dangereuses. Un must have sur tous vos vos blogs.

 

La prochaine fois, je vous donnerai d’autres conseils utiles pour protéger vos blogs WordPress.
Ensuite, je vous expliquerai comment nettoyer et remettre en route un blog corrompus.

Important : ne prenez pas ces conseils à  la légère. Même si le but de cette série d’articles n’est pas de vous effrayer, considérez que cela est loin de n’arriver qu’aux autres. Nettoyer un blog piraté prend du temps et vous risquez plusieurs désagréments (fermeture de votre compte par votre hébergeur, site inaccessible depuis Google, utilisation de votre bande passante, etc.).

 

N’hésitez pas à  intervenir pour donner vos bons conseils. Il n’y a pas et il n’y aura jamais de liste exhaustive en matière de sécurité (les hackers ont toujours un temps d’avance).

Amicalement,

signature Eric Cardonnel

Eric Cardonnel
Global Net Concept’„¢