Sécuriser WordPress: Par où commencer ?

17 1631
plugin securite

Le jour où j’ai eu mon premier Hack, je me suis dit que WordPress n’était pas infaillible, je me suis donc posé quelques questions, et je tente d’y répondre dans cette article.

Pour sécuriser WordPress, que me faut il ?

Lors de votre première installation, par défaut, le login qui vous est fourni au démarrage (sauf depuis la V3 de WordPress) est « Admin », alors dites vous bien que si un Hacker tente de s’infiltrer dans votre installation, il va de ce fait commencer par là, c’est à dire chercher votre pseudo, donc privilégiez un nom + un nombre. Afin de limiter les chances de pénétration dans votre site.

Le second point est bien entendu le mot de passe, je vous donne une astuce, pour trouver un mot de passe, et s’en souvenir, car c’est le plus important, il vous en faut un de base:

– Je prend comme exemple « motdepasse » qui sera la base de votre mot de passe.
– Ajoutez y un code de fin de mot de passe, comme « lenomdusiteenquestion »

A partir de là, vous n’avez qu’à vous souvenir du mot de passe de base, pour ensuite retrouver facilement le code de fin pour sécuriser wordpress.

Voilà un bon début pour sécuriser wordpress.

Second point pour la sécurité de votre installation.

Vérifier que vos sites n’ont pas de faille, ça paraît facile sur WordPress de mettre en place des extensions, mais certains plugin peuvent contenir des failles, et permettre à un hacker de s’infiltrer ! J’insiste donc sur l’importance de la réputation d’un Plugin.

Les mises à jour régulières.

Lors d’une mise à jour, de WordPress dans un premier temps, les différentes failles exploitées par des pirates sont alors closes, et mettre à jour votre CMS me semble donc essentiel, afin de bien sécuriser WordPress.

Pour les plugins, c’est pareille, les updates permettent de mettre à niveau la sécurité de celui ci. Veillez donc à bien mettre à jour vos extensions.

Les autres moyens plus poussés de sécuriser wordpress.

Faites attention à ce que vous faites, ou ce que vous installer, je viens de tomber sur un site que je connaissais de nom depuis longtemps, et sur qui je suis tombé sur Twitter.

Sur ce site, vous trouverez le nom de certains plugins très sensibles, et l’auteur du site, prend la peine de réparer ces plugins, voir même d’en créer de nouveau, ou pas, car sur une Install WordPress, il faut garder en tête, que moins vous aurez de plugins, et plus votre site sera fermé aux invités non désirés.

Voici donc le site de Julio, spécialiste pour Sécuriser WordPress

Et vous, comment sécurisez vous votre WordPress ?

17 Commentaires

  1. Ton article est très intéressant, car la sécurisation du site on y pense sur du e-commerce principalement et rarement pour son blog.

    Je ne suis spas un expert mais je pense que les hackers recherche une base de donnée à revendre donc dès qu’on a un gros trafic et une newsletter, nous somme un cible potentiel.

    Qu’en pense tu ?

    Mikael

    • Chaque source de revenus est une cible, et une BDD en est une je suis d’accord avec toi.

  2. Merci bien pour la citation !
    En début d’article tu annonces que le login par défaut est « admin », mais depuis la 3.0, c’est à nous de choisir.
    Pour ce qui est de la sécurité des plugins (car c’est le vecteur n°1 des piratages de sites sous WordPress), il faut effetivement se tourner vers un professionnel de la sécurité afin de s’assurer que le plugin à installer est sécurisé ou pas.
    A bientot

    • Si tu es d’accord, tu peux me préparer un article Guest je le mettrai en ligne avec plaisir, afin de faire profiter mes lecteurs à toutes éventualités et protéger leurs sites.

    • @Rodrigue: Je ne fais pas d’article guest sur la sécu, j’en fait déjà pas beaucoup tout court. Désolé !

      @mikael : Tout site peu devenir une cible, les raisons ne manquent pas. Que ce soit pour voler ta bande passante, pour stocker des virus, utiliser ton domaine comme phishing, dérober les données BDD (comme tu le dis), afficher des messages politiques, défacer le site pour « le fun », etc etc

      @Franck : Je suis d’accord mais attention, aucun plugin n’est à l’abris d’une faille. Il y a bien spur plus de chance qu’un plugin qui a 2 ans et dont la dernière MAJ date de ce mois ci ne contienne pas de faille, mais cela ne veut rien dire. Idem pour le but du plugin, ici tu parles de http://wordpress.org/extend/plugins/wp-security-scan/ je pense, alors je t’invite à lire le changelog de la dernière version, la 3.0.9, surprise ;)

      Moralité : Sans devenir parano, pensez que chaque plugin (ou code que vous copiez/collez dans functions.php) et chaque thème peut contenir des failles. Rensignez vous un max, forum, site de l’auteur, support WP.org, google sur le nom du plugin. Vérifier le changelog à la recherche de correctifs de sécu. Si il y en a tant mieux ! C’est que des failles ont été corrigées !

  3. Je rajouterais l’utilisation du Plug-in WordPress security Scan qui permet de vérifier les points importants et vous alerte en cas d’anomalie. Exemple : MAJ à faire, permissions de fichiers, protection des fichiers…

  4. Pour les paranos et aller un peu plus loin, il faudrait supprimer toute trace dans le code que l’on utilise le cms wordpress. Par exemple, il y a une ligne qui indique la version de wordpress dans le code. Mais ce n’est pas tout pour qu’il passe plus inaperçu, on pourrait changer les chemins de l’admin, des fichiers, des plugins etc…
    Je ne l’ai jamais fait car du coup, les mises à jour WP seraient plus compliquées à faire dans le futur. Mais je pense que c’est une bonne solution pour éviter toutes les attaque ciblées particulièrement sur les failles connues du CMS.

  5. Article et commentaires instructifs ! :-)

    J’ajouterai également une astuce que j’utilise pour mes mots de passe: je prends une phrase simple et facile à retenir. Par exemple: « Mon blog informatique s’appelle Pexiweb. » et je prends ensuite le premier caractère de chaque mot. Ce qui fait: « Mbis’aP. »

    Et voilà un password très difficile à deviner ou bruteforcer ! :-) (évidemment, plus la phrase est longue, mieux c’est)

    • @pyo : « plus la phrase est longue, mieux c’est » alors pourquoi réduire le mot de passe « Mon blog informatique s’appelle Pexiweb. » qui fait 41c. en « Mbis’aP. » qui n’en fait que 8 ! 8 malheureux caractères tu trouves ça plus difficile à brute forcer ? Sais tu comment fonctionne un BF ? Sachant que les 8 caractères se retrouvent aussi dans la phrase, il n’est certainement pas plus difficile à BF !
      D’ailleurs, ce qui te semble difficile, c’est de le retenir facilement ou rapidement, il n’est pas mnémotechnique, donc un humain aura du mal, mais pas un script. Un caractère est un caractère, point.
      Je t’invite à te persuader de ceci grâce au site « http://howsecureismypassword.net/ », tu verras que le pass de 8c. prends 29jours maxi pour un BF et l’autre de 41 prends 1 novemdecillion d’années … je te laisse seul juge ;)
      ps : ne prenez pas au pied de la lettre la durée de BF de ce site, comparer juste les résultats, mais 29 jours, c’est vraiment très bas …

    • Ne t’inquiète pas pour moi, je suis bien placé pour savoir si un password est sécurisé ou non ;-)

      L’exemple que j’ai donné est volontairement court pour un exemple facile. Maintenant, il suffit de lui rajouter un chiffre pour compliquer exponentiellement un bruteforce.

      De plus, il est, justement, tout à fait mnémotechnique : il suffit de se souvenir de la phrase (qui peut être une évidence comme, par exemple, « Ma femme s’appelle Charlotte et est née en 1980. »

      Et pourquoi ne pas garder une phrase entière ? Tout bêtement parce que ça prend plus de temps ! Si, à chaque fois que je me connecte sur un site, je dois taper 75 caractères, ça devient vite lourd. (Surtout qu’un password de 10 caractères avec caractères spéciaux, majuscules et chiffres est, de nos jours, amplement suffisant !)

    • Oui enfin tu viens de conseiller d’utiliser un pass de 8 caractères sans chiffres …
      Quand je dis qu’il n’est pas mnémo c’est pour une personne qui ne connait pas ta phrase, moi je vois ça 3 secondes, je ne l’ai pas retenu. Mais si je vois « voitures » qui contient 8c. aussi, c’est mnémo.

      « Ne t’inquiète pas pour moi, je suis bien placé pour savoir si un password est sécurisé ou non » Tu travailles dans la sécurité web ? Dis moi non s’il te plait. #troll

    • Quelle est l’utilité d’avoir un password mnémotechnique qui le soit pour les autres ? A priori, un password ne se partage pas ^^

      Et sinon, je présentais simplement une technique pour avoir des passwords compliqués et faciles à retenir. Après ça, les règles précédemment dites tiennent évidemment. (à savoir: utilisation de caractères spéciaux, chiffres et casse).

      Non, je ne bosse pas dans la sécurité web: je suis actuellement un master en informatique et j’ai eu pas mal de cours de sécu (avec tout plein de combinatoires :D)

      Enfin, l’important est qu’on est quand même d’accord sur ce qu’est un bon password ;-)

  6. Salut à tous,

    Ouïe, que tout cela parait imperméable à un novice…je me suis fait hacker avec mon premier blog par des terroristes palestiniens!
    Je n’ai jamais su d’où cela venait…peut-être d’un mot de passe trop simple. Sûrement même.
    Mais quand je vois tout ce qu’il faut faire pour sécuriser un blog, ça devient affolant.

    Et ce qui l’est autant, ce sont le connaissances qu’il faut avoir en informatique.

    Pas sorti de l’auberge, la flèche que je suis dans ce domaine.

    @+
    Christian.

  7. Bonjour,

    Un article intéressant. Pour ma part, j’ai sécurisé mon dossier /wp-admin/ avec un fichier .htaccess et mes sites utilisent le plugin Login Lockdown. Depuis que j’utilise cet outil, je n’ai plus rencontré la moindre tentative d’intrusion, sur aucune de mes installations ! Le plugin bloque les IP qui tentent de se connecter avec un mauvais identifiant ou un mot de passe erroné.

    Enfin, je change de password tous les 30 jours, histoire de décourager les plus téméraires :-)

Réagis