Sécurité WordPress

1,108 views
1,026 views

Published on

Sécuriser votre site WordPress.

Published in: Technology
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,108
On SlideShare
0
From Embeds
0
Number of Embeds
7
Actions
Shares
0
Downloads
64
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

Sécurité WordPress

  1. 1. Sécuriser un siteWordPressWordPressAlgérieLa Semaine Du Web - 2013SLIMANI Nour El Houdak.nourslimani@gmail.com
  2. 2. WordPressAlgérieLa Semaine Du Web - 2013Sommaire• Introduction• Raisons pour pirater un site• Les risques les plus connus• Techniques de base pour sécuriser un site WordPress– Lors de l’installation– Après l’installation– Plugins requis• Conclusion
  3. 3. Introduction• Saviez-vous que WordPress est le CMS open source le plusutilisé au monde ?• Environ 15% des sites internet dans le monde s’en servent.• Qui dit succès, dit revers de la médaille! Il est donc nécessaire dese protéger le mieux possible.• WordPress est un logiciel de gestion de contenu très sécuritairemais qu’aucun système même très protégé n’est infaillible.• La sécurité 100 % n’existe pas sur Internet ni d’ailleurs dansn’importe quel domaine.WordPressAlgérieLa Semaine Du Web - 2013
  4. 4. Le problème du hacking estsans fin !WordPressAlgérieLa Semaine Du Web - 2013
  5. 5. The web site whose URL is written in thisnote shall be hacked !WordPressAlgérieLa Semaine Du Web - 2013
  6. 6. WordPressAlgérieLa Semaine Du Web - 2013Si mon site se fait pirater, je le saurai assezrapidement ??
  7. 7. WordPressAlgérieLa Semaine Du Web - 2013Les causes les plus fréquentes de la vulnérabilité desblogs Wordpress• Version Wordpress obsolète• Installation de thèmes et plugins douteux.• Le niveau de sécurité faible du mot de passe.• Accès FTP volés.• Problèmes de sécurité avec l’hébergeur
  8. 8. WordPressAlgérieLa Semaine Du Web - 2013Raisons pour pirater un site• La redirection du trafic vers d’autres sites.• L’utilisation du site pour voler les informations critiques.• L’insertion de liens de spams dans le contenu du site enquestion (articles et commentaires) pour améliorer leréférencement de leurs sites.• Tant que vous avez un site wordpress, il y aura toujours desraisons de vous faire pirater.• Just for the fun :p
  9. 9. Sécuriser votre siteWordPress n’est pasune affaire despécialiste !
  10. 10. SÉCURISERWORDPRESS:COMMENT FAIRE?Tout le monde na pas forcément lescompétences techniques pour trouverles failles de son site ni savoir lescombler afin de dormir sur ses 2 oreilles.
  11. 11. WordPressAlgérieLa Semaine Du Web - 2013Sécuriser Wordpress:Quelques clefspour améliorer la protection devotre plate-forme Web.
  12. 12. Niveau=0;Niveau Facile
  13. 13. WordPressAlgérieLa Semaine Du Web - 2013Sécuriser Wordpress:Dès l’installation: il faut se préparer au pire !Mieux vaut prévenir que guérir !
  14. 14. Compte Admin :Eliminer le maillon faible!WordPressAlgérieLa Semaine Du Web - 2013Virezmoi ce« Admin »
  15. 15. Compte Admin• Admin est le maillon faible des utilisateurs de Wordpress.• Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettredes bâtons dans les roues à ceux qui veulent vous nuire !• Si vous manquez dinspiration : Le plugin Wordpress Google Authenticator ;)WordPressAlgérieLa Semaine Du Web - 2013
  16. 16. I.2 Mot de passe• Disposer d’un mot de passe d’au moins 8 caractères incluant :– Majuscules & Miniscules– Des chiffres ;– Des symboles spéciaux ;• Blindez le mot de passe dans le genre« jesuis_*_sur=que@tu&nele|trouveras$pas»• Laissez faire votre imagination ou un générateur de mot de passe!• Évitez toute donnée faisant référence à votre vie personnelle• Plugin Limit Login Attempts : limiter le nombre de tentatives dansun temps donné (ex : 3 tentatives toutes les 10minutes.WordPressAlgérieLa Semaine Du Web - 2013
  17. 17. WordPressAlgérieLa Semaine Du Web - 2013I.3 Préfixes de tables : Protéger sa base de données• Modifiez vos préfixes de tables à l’installation, au lieu de wp_préférez un truc du genre : « commenttuvasgalerer_ »• Renforcer la sécurité de votre BDD d’injections SQL quipeuvent transformer votre blog en ferme de lien.• Plugin WP Security Scan permet de renommer le préfixe.
  18. 18. Once the installation process is completethere is still quite a bit of work to be donesecuring WordPress.WordPressAlgérieLa Semaine Du Web - 2013
  19. 19. Archivez, Archivez, Archivez !WordPressAlgérieLa Semaine Du Web - 2013
  20. 20. Archivage et sauvegarde• Même si on a beau bien se protéger, notre vie peut prendreune tournure différente ! Backup, Backup, Backup !• Faut toujours avoir un plan de sauvegarde et de restauration.• Avant toute intervention, faites des backup régulièrement devotre site WordPress– Votre base de données MySQL ;– Votre compte FTP ;WordPressAlgérieLa Semaine Du Web - 2013
  21. 21. Archivage et sauvegarde : WP-DB-Backup• Sauvegarder la base de données WordPress• Choisir les tables à sauvegarder,• Recevoir les tables par eMail,• La base de données pourra être réinjectée à distance elleaussi.WordPressAlgérieLa Semaine Du Web - 2013
  22. 22. More ?
  23. 23. Si seulement …• Sauvegarder Wordpress dans son intégralité (Base de données+ fichiers),• L’envoyer par mail• Sur FTP ( dans un dossier de sauvegarde)• Soit dans un autre FTP (plus malin je trouve ^^)• Vers DropBox: Recevoir chaque {mois|semaine|jour|heure} unesauvegarde du FTP sur mon bureau dans le dossier DropBox de monOrdi donc même si le pirate met le feu chez moi, OSEF :p je pourrai tjrsrécupérer ma sauvegarde.• Et pourquoi pas d’autres options en plus :p ? Juste pour la beauté de mesyeux , hein ?? J’ai le droit de rêver au final :p• Avant que j’oublie … Faut qu’il soit gratuit comme on les aime ;)WordPressAlgérieLa Semaine Du Web - 2013
  24. 24. Tout est désormais possibleDon’t worry ! :p
  25. 25. BackWPup• Plugin de sauvegarde le plus complet• Sauvegarde de la Base de données• Export articles et pages en XML• Optimisation et réparation de la Base de données• Sauvegarde des fichiers et répertoires• Backup aux formats zip, tar, tar.gz, tar.bz2• Sauvegarde envoyée sur votre serveur FTP, Amazon S3, GoogleStorage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync...• Envoi des logs et backups sur votre emailWordPressAlgérieLa Semaine Du Web - 2013
  26. 26. What else ?
  27. 27. WordPressAlgérieLa Semaine Du Web - 2013Installation des extensions & plugins• N’installez pas n’importe quoi sur votre site :• Préférez les extensions proposées par le site officiel de WordPress• Favoriser ceux qui ont des mises à jours régulière et faites les cesmises à jour,• Choisissez les extensions qui ont un nombre de vote (et de votant)très bon• Un plugin qui n’est pas souvent mis à jour peut contenir desfailles de sécurité.• Informez-vous sur les rapports de bug et failles de sécurité desditsplugins.
  28. 28. WordPressAlgérieLa Semaine Du Web - 2013Mise à jour extensions et versionWordpressLa mise à jour de son blog peut donner quelques sueurs froidesmais le piratage de votre blog pourrait vous donner un mal detête bien plus conséquent !!!• Tenir à jour votre architecture WordPress et vos extensions,• Tenez vous également au courant des mises à jour de votrethème…Et appliquez les ;)
  29. 29. WordPressAlgérieLa Semaine Du Web - 2013• Avoir un mot de passe digne de ce nom.• Sachez convenablement organiser votre thème• Protéger repertoires sensibles– Regle générale : 755 pour les folders & 644 pour les files,– .htaccess : Options All –Indexes• Améliorer encore la sécurité avec le plugin «Ask Apache ».– Protéger le dossier wp-admin par une authentification au niveau duserveur.– Désactiver les liens malveillants et l’accès direct aux répertoires wp-content et wp-includesWordPressAlgérieLa Semaine Du Web - 2013Protéger les accès à Wordpress et ses répertoires
  30. 30. Niveau ++;Niveau Intermédiaire
  31. 31. WordPressAlgérieLa Semaine Du Web - 2013Niveau intermédiaire• Prendre toutes les précautions nécessaire à la protection devotre site, c’est bien.Mais• Ne pas exposer vos données sensibles aux grand soleil, c’estencore mieux.
  32. 32. WordPressAlgérieLa Semaine Du Web - 2013Suppression du fichier readme.html• Placé à la racine de votre site, ce fichier contient la versionWordPress de votre site,(testez avec www.votresite.com/readme.html).
  33. 33. Chouchoutez vos fichiers sensibles !• “wp-config.php”• “.htaccess”WordPressAlgérieLa Semaine Du Web - 2013
  34. 34. Protéger wp-config.php• Erreurs PHP qui offrent l’accès au fichier wp-config.php• Le fichier wp-config.php peut-être protégé par des clés de sécurité alorspourquoi s’en priver ?• Générer et y insérez les grâce au lien :https://api.wordpress.org/secret-key/1.1/salt/• Reconnecter sur vos bloc après cette manipulationWordPressAlgérieLa Semaine Du Web - 2013
  35. 35. Exemple de clefsd’authentification et salageWordPressAlgérieLa Semaine Du Web - 2013
  36. 36. WordPressAlgérieLa Semaine Du Web - 2013Protéger .htaccess• Restreindre les droits d’accès au seul propriétaire– A partir d’un navigateur FTP ( ex: Filezilla)« Droit d’accès au fichier » =>644– Grâce à WP Security Scan• Protégez votre fichier .htaccess
  37. 37. WordPressAlgérieMasquez votre version!!Mais pourquoi ?
  38. 38. Masquezvotre version• Editer le fichier functions.php : présent dans votre thème(dans /wp-content/themes/VotreTheme) et ajouter:• Editer le fichier header.php en supprimant la ligne :• Autre alternative : l’extension Better security WP.• Jouer avec vos assaillants en leur mentant sur la version quevous utilisez avec le plugin Replace WP-Version;)WordPressAlgérieLa Semaine Du Web - 2013
  39. 39. Empêcher les attaques par Brute Forcing :• Bloquer les tentatives multiples de connexions au panneaud’administration• Remédier à cela en utilisant le plugin LoginLockDown.WordPressAlgérieLa Semaine Du Web - 2013
  40. 40. Limiter le nombre de tentatives deconnexions• Blocagepar adresseIP ne sera pas efficace• Une meilleure alternative consiste à activer uneauthentification en 2 temps (2-factor authentication) :• Plugin pour le mettre en place rapidement sur votre site :GoogleAuthenticator.WordPressAlgérieLa Semaine Du Web - 2013
  41. 41. Désactiver Windows LiveWriter ) :• WordPress vous offres la possibilité de publier vos articles viaWindows Live Writer.• Supprimer les lignes indésirables• Editer le fichier functions.php:WordPressAlgérieLa Semaine Du Web - 2013Unelignedecodesuspectese cacheici !
  42. 42. Attention à faillesTimThumb• Script TimThumb .• Ré-écrire le fichier .htaccess• Le plugin TimThumbVulnerabilityWordPressAlgérieLa Semaine Du Web - 2013
  43. 43. WordPressAlgérieLa Semaine Du Web - 2013Quelques précautions supplémentaires• Ne laisser aucune donnée sensible dans wp-content !– Ex: L’archive de base de données que certains plugins comme WP-backup le stockent dans wp-content.• Supprimer tous les utilisateurs inactifs à fort pouvoir(administrateur).
  44. 44. WordPressAlgérieLa Semaine Du Web - 2013Des plugins à votre secours !• Better WP Security• WP-Scurity Scan• TAC (Theme Authenticity Checker)
  45. 45. Niveau ++;Niveau Expert
  46. 46. Masquer les erreurs de connexion• Renforcer la sécurité en masquant les erreurs de connexionaffichés lors de tentative infructueuse.=> Eviter de divulguer les messages aux yeux de tous• Editer le fichier functions.php de votre thème et d’y ajouter:• Recommencer cette manipulation Si vous changiez de thème.WordPressAlgérieLa Semaine Du Web - 2013
  47. 47. Autres plugins
  48. 48. Antivirus pour Wordpress: Wordfence• Gratuit & Puissant• Analyse en profondeur un site Wordpress• Accès au fichier incriminé pour rapidement faire le ménage• Visualiseur géolocalisé et en direct du trafic de votre siteWordPressAlgérieLa Semaine Du Web - 2013
  49. 49. Anti-Malware (Get Off Malicious Scripts)• Anti-Malware/Anti-virus Plugin• Solution prometteuse !WordPressAlgérieLa Semaine Du Web - 2013
  50. 50. Theme check• Utilitaire simple et efficace pour analyser votre thème• Un très bon outilWordPressAlgérieLa Semaine Du Web - 2013
  51. 51. WordPress Firewall 2• Bloquer les directory traversals• Bloquer les requêtes d’injection SQL• Bloquer les termes spécifiques ( wp_, user_login, etc.)• Bloquer l’upload de fichier .exe, .php• Avertir par mail en cas de tentatives d’attaques• Rediriger les attaques vers une page 404 ou la page d’accueil• Et bien d’autres fonctionnalités que je vous laisse découvrir….WordPressAlgérieLa Semaine Du Web - 2013
  52. 52. WordPressAlgérieLa Semaine Du Web - 2013C’est la vie !• En dépit de toutes précautions le risque ne sera jamais nul !le risque zéro nexiste pas...• Pour prévenir toute mauvaise surprise, il convient de fairedes backups régulièrement.• Le plugin WP-Database Backup est une bonne solution !
  53. 53. WordPress AlgérieLa Semaine Du Web - 2013SLIMANI NourEL Houda PhD Student at Laboratoryof Research in ArtificialIntelligence LRIA, USTHB. Wordpress Member Web developper Just Me ;)WordPress

×