Piratage WordPress: se protéger des attaques par force brute

1. Sécurité WordPress Protéger votre blog d’une attaque par force brute www.ya-graphic.com Consultant SEO, Social Media contact@ya-graphic.com

2. Sécurité WordPress Comme annoncé dans mon article Sécurité WordPress: Se protéger d’une attaque par force brute, je vous propose dans ce document une liste de conseils à appliquer pour garantir la sécurité de votre blog / site web propulsé par WordPress. Dans la seconde partie de ce document* je cite quelques extensions qui devraient vous permettre de sécuriser votre blog/site web. Les conseils et les extensions cités dans ce document peuvent se compléter. * Ce document ne peut être utilisé, reproduit ou communiqué sans autorisation de l’auteur.

3. Conseils de sécurité  Supprimez tous les thèmes inactifs, les pirates visent les thèmes WordPress non utilisés pour installer leur Backdoor.  Toujours mettre à jour WordPress, votre thème et vos extensions.  N’installez que les extensions essentielles - une dizaine environ.  Méfiez-vous des extensions de sécurité obsolètes, mal codées et lisez toujours les informations de compatibilité sur la page de l’extension  Vous pouvez cacher les pages de connexion « wp-admin » et « wp-login.php », il faudra alors ajouter la ligne « ErrorDocument 401 default » dans le fichier .htaccess.  Scannez de temps en temps les répertoires de votre blog, notamment Uploads, il ne doit pas y avoir de fichier qui se termine par « .php », ça pourrait être un Backdoor.

4.  Choisissez un hébergeur de sites web reconnu par sa fiabilité même si eux aussi peuvent être secoués par les attaques par force brute. HostGator, l’un des plus gros hébergeur de sites basé aux États-Unis raconte comment les attaques par force brute pouvaient déstabiliser leurs serveurs. L'entreprise affirmait que le Botnet d'installations WordPress infectées comprenait désormais plus de 90.000 sites compromis.  Faites une comparaison entre votre fichier « wp-config » actuel et le fichier « wp-config- sample » d’une installation WordPress vierge pour voir si un code malveillant aurait été inséré.  Les droits d’accès aux répertoires « wp-admin » , « wp-includes » et « wp-content » doivent être 755 ; le .htaccess 644 ; « wp-config.php » 600 et les autres fichiers 644. Jamais 777 !  Utilisez un mot de passe compliqué - long avec plusieurs types de caractères - et ne le gardez pas à vie ! Changez-le par exemple tous les 3 mois. Les pirates exploitent un fichier qui contient plus d’un milliard de mots de passe. Aujourd’hui les machines utilisées par le Botnet sont plus rapides, chaque seconde un nouveau mot de passe peut être essayé par une nouvelle adresse IP.

5.  Évitez le nom « admin » comme nom d’utilisateur, trouvez-en un plus original. Le Botnet utilise la plupart du temps « admin » comme identifiant, il ne lui reste donc que le mot de passe à trouver !  Limitez les échecs d’authentification. Certaines extensions de WordPress permettent de le faire : Wordfence Security ou Limit Login Attempts.  Si possible mettez en place l’authentification en 2 étapes, une fonctionnalité disponible pour les blogs hébergés chez WordPress.com.  Les extensions et le thème ne doivent être accessibles que pour l’administrateur du blog.  Changez le préfixe « wp_ » de la table de votre base de données.  Supprimez le fichier « readme.html » qui se trouve à la racine de votre blog.  Vous pouvez utiliser le service CloudFlare qui permet de bloquer automatiquement les tentatives de connexion qui portent la signature d’une attaque par force brute.

6. Extensions de sécurité Une extension d’authentification en 2 étapes pour WordPress: Google Authenticator Plugin for WordPress. Notez bien que ce n’est pas l’extension officielle de Google. Pour limiter les échecs d’authentification vous pouvez utiliser Wordfence Security qui est vraiment pas mal. L’extension vous permet de visualiser le trafic en temps réel de votre blog, de scanner vos fichiers, d’activer un pare-feu, de définir des niveaux de sécurité, de bloquer des IP par pays même si l’efficacité de cette fonctionnalité est limitée. Botnet exploiterait en effet plus de 90.000 adresses IP. CloudFlare, entreprise de sécurité et de performance web, a dénombré quelques 60 millions de requêtes de ses clients WordPress en l’espace d’une heure. L’extension Captcha pour WordPress est un système de captcha qui vous permet de vous protéger des robots. Il s’intègre dans votre formulaire de contact, dans votre formulaire de commentaires et dans vos pages de login - /wp-login.php et /wp-admin.

7. Il y a l’extension WP Security Scan qui permet de trouver d’éventuelles vulnérabilités de votre blog. L’extension Better WP Security vous permet de changer l’URL de votre page de connexion et de définir une URL personnalisée. L’extension permet aussi de trouver d’éventuelles vulnérabilité cachées dans votre blog. Pour scanner votre blog Vous avez Exploit Scanner (si vous rencontrez des problèmes avec une extension, vous pouvez la supprimer et la réinstaller) ; l’extension Theme Authenticity Checker . Le site Sucuri.net vous permet de scanner votre blog/site gratuitement. Il vous permet notamment de détecter des programmes, scripts malveillants et autres anomalies. Ces quelques extensions vous permettront de sécuriser votre blog/site WordPress. Il y a d’autres extensions, limitez-vous aux extensions essentielles , ne les installez pas toutes et évitez les gadgets.

8. Ya-graphic.com Digital Marketing | SEO, SEA, Social Media contact@ya-graphic.com Mob. 06-52-64-70-04 Twitter: @yagraphic Google+: ya-graphic SIRET: 51260110500012

Piratage WordPress: se protéger des attaques par force brute

Piratage WordPress: se protéger des attaques par force brute

Recommended

More Related Content

Viewers also liked

Viewers also liked(8)

Piratage WordPress: se protéger des attaques par force brute