6 techniques pour éviter de se faire pirater un blog sous Wordpress
Par Korben le 27 juillet 2008
Saviez vous qu’un blog Wordpress peuvent se faire cracker en moins de 2 secondes… ?
Jusque là rien de nouveau sauf que la méthode n’utilise pas une quelconque faille qui sera patchée lors d’une prochaine release de Wordpress mais tout simplement le système classique d’authentification. Un petit script python comme celui-ci par exemple, s’utilise très simplement et peu grâce à une liste de mots prédéfinis vous permettre de deviner le mot de passe de n’importe quel blogueur pourvu que ce sésame soit dans cette liste.
Il n’y a donc nativement aucun moyen de contrer cette technique et si votre mot de passe est un peu trop faible, vous êtes sûr d’y passer.
Mais ne tremblez pas car voici quelques petits conseils pour sécuriser un blog.
- Avant tout choisissez un mot de passe un peu plus costaud que vous êtes sur de ne pas voir généré dans une wordlist. Un truc avec beaucoup de caractères, des majuscules, des minuscules, des nombres, et ldes trucs bizarres genre % # et $… et mélangez moi bien tout ça… Et si vous cherchez l’inspiration, allez jeter un oeil à cette liste de générateurs de mots de passe
- Pour éviter le bruteforce dont je vous ai parlé au début de cet article, une solution simple existe et se présente sous la forme d’un plugin pour Wordpress qui s’appelle AskApache qui va créer tout ce qu’il faut en .htaccess and co à la racine de votre blog afin de rajouter un niveau d’authentification supplémentaire gérée par Apache. Avec ça, le petit script python que je vous ai indiqué sera aussi inoffensif qu’un script kiddy habitant chez maman
- Une autre solution permet aussi de crypter à la volée son mot de passe afin qu’il ne soit pas transmis en clair sur les réseaux Wifi auquel vous vous connectez avec votre ordinateur. Il faut installer greasemonkey et mettre en place le plugin suivant.
- Mais attention avec les plugins car ils sont bien sûr le premier vecteur d’insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installez. Pensez aussi à les mettre à jour. AskApache s’occupera aussi de sécuriser le répertoire wp-content/plugins pour éviter que des petits malins viennent y mettre leurs yeux… Essayez d’aller avec votre navigateur sur www.votre_site.com/wp-content/plugins/ … surprise qui peut se regler aussi en mettant un .htaccess dans ce répertoire avec dedans “Options -Indexes”
- Pour éviter que les pirates en apprennent trop sur votre Wordpress, vous pouvez aussi dissimuler le n° de version de celui-ci en utilisant ce plugin
- Bien sûr si les failles de sécurité sont votre hantise, je vous recommande aussi le plugin wp-security-scan qui vous aidera à détecter et fixer les trous de sécurité de votre blog mais aussi a faire un peu de préventif en renommant pourquoi pas certaines tables dans votre base de données.
Voilà ! Si avec tout ça vous n’évitez pas le pire, et bien c’est que quelqu’un vous en veut. Sachez tout de même que même en le sécurisant avec tout ce que je viens de vous décrire, votre blog reste faillible à un pirate bien entrainé…
Et à cela, aucune parade, si ce n’est, bien faire vos sauvegardes et ce, régulièrement avec par exemple Wp-Database Backup qui vous permettra de programmer simplement des exports de votre base de données Wordpress. L’idéal restant quand même un backup quotidien de la base et des fichiers sur un serveur différent du votre.
A bon entendeur…
Merci à 1ace pour la source d’inspiration…
Je vous recommande aussi la lecture des sujets suivants
- Comment accèder à son blog Wordpress quand on a perdu son mot de passe
- Un peu plus de sécurité sous Wordpress
- Testez les failles de votre Blog
Grossefaille non patchée dans Wordpress ! Amis bloggers, voici l’astuce pour éviter le drame…- Insérez rapidement des photos libres de droits dans vos articles Wordpress
Tsukasa
En même temps le bruteforce sa peut facilement aller dans les jours/années pour trouver le pass … C’est donc très limité …
Posté le 27 juillet 2008 à 20:03:26
Séverin
Je me permet un petit lien vers un article que j’ai écrit sur la sécurité de WP.
Des techniques qui demandent un peu plus de connaissances mais qui sont incontournables si tu es aussi parano que moi.
http://blogblog.gamesandgeeks.com/le-blog-du-blogueur/securisons-wordpress/
Posté le 27 juillet 2008 à 20:23:39
AbriCoCotier
Merci Korben !
Après le hackage de plusieurs blog récemment (je pense à SportsCafé et d’autres — toi aussi tu t’ai déjà fait hacker, nan ?), je commence à flipper…
Bref : je vais commencer à sécuriser sec au niveau des mots de passes.
Par contre, @tous : j’ai déjà vu des attaques de trojan en temps réel, sur des machines à priori non infectés (via des techniques de Firewall que je ne peux pas expliquer ici) : c’est impressionnant.
Bref : utilisez des OS sûr (les anti-virus & autres Firewall sur Windows ne fonctionnent jamais à 100%), comme… Linux (tapez “Ubuntu” sur internet).
Posté le 27 juillet 2008 à 20:48:57
Korben
@AbriCoCotier: Ca m’est déjà arrivé oui mais c’etait un script automatisé qui m’a pourri mes pages avec des virus…etc
Depuis je suis sur mon propres serveur, et je surveille ça de près
Posté le 27 juillet 2008 à 21:18:00
touriste
ouai c’est sympa tout ca
un bon mot de passe c’est le plus important, après cacher la version un peu moins…
à titre d’exemple j’ai généré une liste comprenant toutes les possibilités de 0 à 9 + a à z (minuscule) en 6 caractères, et ca prend tout de même 17Go le dico décompressé…
Mais 5 caractères simplement en minuscule (de a à z) la c’est quand même du petit dico rapide à passer…
Et après c’est sur que les pluggins plus y en a plus y a de risques (et surtout plus de choses à surveiller en terme de “MAJ”)
Posté le 27 juillet 2008 à 21:26:55
petitchevalroux
Pour éviter le bruteforce vous pouvez aussi utilisez le daemon fail2ban qui est un indispensable pour la secu
Posté le 27 juillet 2008 à 21:41:24
Korben
@petitchevalroux: Fail2ban, je confirme, c’est de la boulette !
Mais encore faut il disposer d’un serveur dédié
Posté le 27 juillet 2008 à 21:46:51
petitchevalroux
Héhé
un bon ouvrier s’équipe avec de bons outils
Posté le 27 juillet 2008 à 21:52:55
1ace
de rien
sinon, pour générer un vrai pass bien fiable, rien ne vaut:
…
quoi, trop compliqué ? bon, d’accord:
toujours pas convaincu ? remplaçez ”
” par ”
” pour que le pass fasse X caractères de long, et remplaçez ”
” par la plage de caractères que vous voulez
Posté le 27 juillet 2008 à 22:28:08
Jérôme
“Mais attention avec les plugins car ils sont bien sûr le premier vecteur d’insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installé. Pensez aussi à les mettre à jour.”
je plussoie fortement: mon blog fut défacé par injection sql en passant par une faille sql d’un plugin :s
Sinon avec wordpress 2.6, si vous avez mis à jour depuis une version précédente, il faut ajouter un bout de code dans wp-config.php et y mettre une passphrase, c’est un paramètre supplémentaire d’authentification:
define(’AUTH_KEY’, ‘mettez votre expression unique ici’);
define(’SECURE_AUTH_KEY’, ‘mettez votre expression unique ici’);
define(’LOGGED_IN_KEY’, ‘mettez votre expression unique ici’);
Posté le 27 juillet 2008 à 23:10:42
Rahim
Petit papier que j’ai écris sur la sécurisation de sites (+CMS) ici :
http://www.rahimblakblog.fr/how-to-be-secure/
(A destination de tout esprit curieux voulant en savoir un peu plus sur la chose :p)
Posté le 28 juillet 2008 à 00:15:50
Korben
@Rahim: Merci Rahim… toujours de bons tuyaux
Posté le 28 juillet 2008 à 00:42:23
hichamsoft
Extrêmement intersectant merci korben
ça tombe à pique un petit lamer veux hacker mon blog 
Posté le 28 juillet 2008 à 01:40:20
Unicornis
DotClear n’est il pas plus fiable ?
Si c’est le cas pourquoi utiliser Wordpress ?
Posté le 28 juillet 2008 à 01:41:10
1ace
@Unicornis: j’ai jamais entendu que DC soit plus fiable que WP (je ne me suis pas spécialement renseigné non-plus)
par contre, ce qui est sûr, c’est que la communauté qui entoure WP est beaucoup plus grande, ce qui fait plus de personnes pour voir les failles, et donc aussi plus de personnes pour les corriger
Posté le 28 juillet 2008 à 02:26:35
PoP
Perso j’ai utilisé le white paper que tu as déjà présenté sur ton blog pour configurer mon wordpress. Des .htaccess pour bloquer l’accès aux wp-content et consors, du HTTPS pour le login, mots de passe générés aléatoirement,…
Posté le 28 juillet 2008 à 09:01:38
Piwaï
Merci pour ces infos !
PoP (ou Korben) : Ya moyen que tu balances le lien sur ce White paper ?
Sinon, je viens d’installer un WP 2.6 tout neuf et..
- tout d’abord, au départ on a pas le choix du mot de passe pour le compte admin, et c’est un mot de passe plutôt coriace qui est généré.
- ensuite, le répertoire /wp-content/plugins/ n’est pas accessible, et pourtant j’ai strictement rien changé.
- fail2ban : j’aime beaucoup ce truc, mais moi il me sert que pour l’authentification Ssh il me semble.. WP met des logs de tentatives d’authentification quelque part ? Parce qu’avec fail2ban, on peut définir un pattern (regex) pour lire les logs, et ensuite bloquer les ip qui tentent de s’authentifier. Quelqu’un l’a déjà fait ? Toute solution est bienvenue
.
- Sinon, comme je l’ai dit je viens d’installer un WP, et je trouve que quand on débarque, on sait pas trop par où commencer au niveau configuration et plugins “essentiels”. Ta ptet fait déjà des articles à ce sujet, mais le nombre d’articles que tu as fait sur WP est phénoménal, et les choses évoluent vite.. vous avez des liens sympa ?
Posté le 28 juillet 2008 à 09:34:55
Korben
@Piwaï: hop Sécuriser son installation de Wordpress
Posté le 28 juillet 2008 à 09:48:05
Bertrand
Bonjour,
il y a aussi ce site pour tester son mot de passe:
http://www.passwordmeter.com/
Posté le 28 juillet 2008 à 18:19:25
Mathias
Le greffons sont une “bonne” source de faiblesses, surtout quand le répertoire n’est pas protégé : http://fr.search.yahoo.com/search?p=inurl:/wp-content/plugins/
Posté le 29 juillet 2008 à 14:55:13
styza
bonjour
J’ai une petite question concernant la sécurité des mots de passe.
Sous Firefox j’enregistre toujours les mots de passe de mes comptes qui sont protégés par un mot de passe principal assez costaud.
Est ce que cette protection est suffisante ?
NB : je suis sous Linux
Posté le 24 août 2008 à 16:50:23