Your SlideShare is downloading. ×
0
Piratage WordPress: se protéger des attaques par force brute
Piratage WordPress: se protéger des attaques par force brute
Piratage WordPress: se protéger des attaques par force brute
Piratage WordPress: se protéger des attaques par force brute
Piratage WordPress: se protéger des attaques par force brute
Piratage WordPress: se protéger des attaques par force brute
Piratage WordPress: se protéger des attaques par force brute
Piratage WordPress: se protéger des attaques par force brute
Piratage WordPress: se protéger des attaques par force brute
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Piratage WordPress: se protéger des attaques par force brute

1,934

Published on

Ce document propose une série d'actions à réaliser sur votre blog / site propulsé par le CMS WordPress pour se protéger d'un piratage de type "attaque par force brute".

Ce document propose une série d'actions à réaliser sur votre blog / site propulsé par le CMS WordPress pour se protéger d'un piratage de type "attaque par force brute".

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,934
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Sécurité WordPress Protéger votre blog d’une attaque par force brute www.ya-graphic.com Consultant SEO, Social Media contact@ya-graphic.com
  • 2. Sécurité WordPress Comme annoncé dans mon article Sécurité WordPress: Se protéger d’une attaque par force brute, je vous propose dans ce document une liste de conseils à appliquer pour garantir la sécurité de votre blog / site web propulsé par WordPress. Dans la seconde partie de ce document* je cite quelques extensions qui devraient vous permettre de sécuriser votre blog/site web. Les conseils et les extensions cités dans ce document peuvent se compléter. * Ce document ne peut être utilisé, reproduit ou communiqué sans autorisation de l’auteur.
  • 3. Conseils de sécurité  Supprimez tous les thèmes inactifs, les pirates visent les thèmes WordPress non utilisés pour installer leur Backdoor.  Toujours mettre à jour WordPress, votre thème et vos extensions.  N’installez que les extensions essentielles - une dizaine environ.  Méfiez-vous des extensions de sécurité obsolètes, mal codées et lisez toujours les informations de compatibilité sur la page de l’extension  Vous pouvez cacher les pages de connexion « wp-admin » et « wp-login.php », il faudra alors ajouter la ligne « ErrorDocument 401 default » dans le fichier .htaccess.  Scannez de temps en temps les répertoires de votre blog, notamment Uploads, il ne doit pas y avoir de fichier qui se termine par « .php », ça pourrait être un Backdoor.
  • 4.  Choisissez un hébergeur de sites web reconnu par sa fiabilité même si eux aussi peuvent être secoués par les attaques par force brute. HostGator, l’un des plus gros hébergeur de sites basé aux États-Unis raconte comment les attaques par force brute pouvaient déstabiliser leurs serveurs. L'entreprise affirmait que le Botnet d'installations WordPress infectées comprenait désormais plus de 90.000 sites compromis.  Faites une comparaison entre votre fichier « wp-config » actuel et le fichier « wp-config- sample » d’une installation WordPress vierge pour voir si un code malveillant aurait été inséré.  Les droits d’accès aux répertoires « wp-admin » , « wp-includes » et « wp-content » doivent être 755 ; le .htaccess 644 ; « wp-config.php » 600 et les autres fichiers 644. Jamais 777 !  Utilisez un mot de passe compliqué - long avec plusieurs types de caractères - et ne le gardez pas à vie ! Changez-le par exemple tous les 3 mois. Les pirates exploitent un fichier qui contient plus d’un milliard de mots de passe. Aujourd’hui les machines utilisées par le Botnet sont plus rapides, chaque seconde un nouveau mot de passe peut être essayé par une nouvelle adresse IP.
  • 5.  Évitez le nom « admin » comme nom d’utilisateur, trouvez-en un plus original. Le Botnet utilise la plupart du temps « admin » comme identifiant, il ne lui reste donc que le mot de passe à trouver !  Limitez les échecs d’authentification. Certaines extensions de WordPress permettent de le faire : Wordfence Security ou Limit Login Attempts.  Si possible mettez en place l’authentification en 2 étapes, une fonctionnalité disponible pour les blogs hébergés chez WordPress.com.  Les extensions et le thème ne doivent être accessibles que pour l’administrateur du blog.  Changez le préfixe « wp_ » de la table de votre base de données.  Supprimez le fichier « readme.html » qui se trouve à la racine de votre blog.  Vous pouvez utiliser le service CloudFlare qui permet de bloquer automatiquement les tentatives de connexion qui portent la signature d’une attaque par force brute.
  • 6. Extensions de sécurité Une extension d’authentification en 2 étapes pour WordPress: Google Authenticator Plugin for WordPress. Notez bien que ce n’est pas l’extension officielle de Google. Pour limiter les échecs d’authentification vous pouvez utiliser Wordfence Security qui est vraiment pas mal. L’extension vous permet de visualiser le trafic en temps réel de votre blog, de scanner vos fichiers, d’activer un pare-feu, de définir des niveaux de sécurité, de bloquer des IP par pays même si l’efficacité de cette fonctionnalité est limitée. Botnet exploiterait en effet plus de 90.000 adresses IP. CloudFlare, entreprise de sécurité et de performance web, a dénombré quelques 60 millions de requêtes de ses clients WordPress en l’espace d’une heure. L’extension Captcha pour WordPress est un système de captcha qui vous permet de vous protéger des robots. Il s’intègre dans votre formulaire de contact, dans votre formulaire de commentaires et dans vos pages de login - /wp-login.php et /wp-admin.
  • 7. Il y a l’extension WP Security Scan qui permet de trouver d’éventuelles vulnérabilités de votre blog. L’extension Better WP Security vous permet de changer l’URL de votre page de connexion et de définir une URL personnalisée. L’extension permet aussi de trouver d’éventuelles vulnérabilité cachées dans votre blog. Pour scanner votre blog Vous avez Exploit Scanner (si vous rencontrez des problèmes avec une extension, vous pouvez la supprimer et la réinstaller) ; l’extension Theme Authenticity Checker . Le site Sucuri.net vous permet de scanner votre blog/site gratuitement. Il vous permet notamment de détecter des programmes, scripts malveillants et autres anomalies. Ces quelques extensions vous permettront de sécuriser votre blog/site WordPress. Il y a d’autres extensions, limitez-vous aux extensions essentielles , ne les installez pas toutes et évitez les gadgets.
  • 8. Référencement WordPress • Audit SEO complet • Blog optimisé pour les moteurs de recherche • Contenu optimisé. • Sécurité WordPress. • Acquisition régulière de liens entrants (Netlinking). • Rapports d’actions réalisées. 59,80 € par mois 12 mois 1 mois gratuit inclus
  • 9. Ya-graphic.com Digital Marketing | SEO, SEA, Social Media contact@ya-graphic.com Mob. 06-52-64-70-04 Twitter: @yagraphic Google+: ya-graphic SIRET: 51260110500012

×