BlogBang

6 techniques pour éviter de se faire pirater un blog sous Wordpress

Par Korben | Nb visites : 503

barbie hacker

Saviez vous qu’un blog Wordpress peuvent se faire cracker en moins de 2 secondes… ?

Jusque là rien de nouveau sauf que la méthode n’utilise pas une quelconque faille qui sera patchée lors d’une prochaine release de Wordpress mais tout simplement le système classique d’authentification. Un petit script python comme celui-ci par exemple, s’utilise très simplement et peu grâce à une liste de mots prédéfinis vous permettre de deviner le mot de passe de n’importe quel blogueur pourvu que ce sésame soit dans cette liste.

Il n’y a donc nativement aucun moyen de contrer cette technique et si votre mot de passe est un peu trop faible, vous êtes sûr d’y passer.

Mais ne tremblez pas car voici quelques petits conseils pour sécuriser un blog.

  1. Avant tout choisissez un mot de passe un peu plus costaud que vous êtes sur de ne pas voir généré dans une wordlist. Un truc avec beaucoup de caractères, des majuscules, des minuscules, des nombres, et ldes trucs bizarres genre % # et $… et mélangez moi bien tout ça… Et si vous cherchez l’inspiration, allez jeter un oeil à cette liste de générateurs de mots de passe
  2. Pour éviter le bruteforce dont je vous ai parlé au début de cet article, une solution simple existe et se présente sous la forme d’un plugin pour Wordpress qui s’appelle AskApache qui va créer tout ce qu’il faut en .htaccess and co à la racine de votre blog afin de rajouter un niveau d’authentification supplémentaire gérée par Apache. Avec ça, le petit script python que je vous ai indiqué sera aussi inoffensif qu’un script kiddy habitant chez maman :-)
  3. Une autre solution permet aussi de crypter à la volée son mot de passe afin qu’il ne soit pas transmis en clair sur les réseaux Wifi auquel vous vous connectez avec votre ordinateur. Il faut installer greasemonkey et mettre en place le plugin suivant.
  4. Mais attention avec les plugins car ils sont bien sûr le premier vecteur d’insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installez. Pensez aussi à les mettre à jour. AskApache s’occupera aussi de sécuriser le répertoire wp-content/plugins pour éviter que des petits malins viennent y mettre leurs yeux… Essayez d’aller avec votre navigateur sur www.votre_site.com/wp-content/plugins/  … surprise qui peut se regler aussi en mettant un .htaccess dans ce répertoire avec dedans « Options -Indexes »
  5. Pour éviter que les pirates en apprennent trop sur votre Wordpress, vous pouvez aussi dissimuler le n° de version de celui-ci en utilisant ce plugin
  6. Bien sûr si les failles de sécurité sont votre hantise, je vous recommande aussi le plugin wp-security-scan qui vous aidera à détecter et fixer les trous de sécurité de votre blog mais aussi a faire un peu de préventif en renommant pourquoi pas certaines tables dans votre base de données.

Voilà ! Si avec tout ça vous n’évitez pas le pire, et bien c’est que quelqu’un vous en veut. Sachez tout de même que même en le sécurisant avec tout ce que je viens de vous décrire, votre blog reste faillible à un pirate bien entrainé…

Et à cela, aucune parade, si ce n’est, bien faire vos sauvegardes et ce, régulièrement avec par exemple Wp-Database Backup qui vous permettra de programmer simplement des exports de votre base de données Wordpress. L’idéal restant quand même un backup quotidien de la base et des fichiers sur un serveur différent du votre.

A bon entendeur…

Merci à 1ace pour la source d’inspiration…

Publicité

Je vous recommande aussi la lecture des sujets suivants


Faites un lien vers cette news sur votre site



28 commentaires

  1. Tsukasa Reply to this comment


    En même temps le bruteforce sa peut facilement aller dans les jours/années pour trouver le pass … C’est donc très limité …

    Posté le 27 juillet 2008 à 20:03:26

  2. Séverin Reply to this comment


    Je me permet un petit lien vers un article que j’ai écrit sur la sécurité de WP.
    Des techniques qui demandent un peu plus de connaissances mais qui sont incontournables si tu es aussi parano que moi.

    http://blogblog.gamesandgeeks.com/le-blog-du-blogueur/securisons-wordpress/

    Posté le 27 juillet 2008 à 20:23:39

  3. AbriCoCotier Reply to this comment


    Merci Korben !
    Après le hackage de plusieurs blog récemment (je pense à SportsCafé et d’autres — toi aussi tu t’ai déjà fait hacker, nan ?), je commence à flipper…
    Bref : je vais commencer à sécuriser sec au niveau des mots de passes.

    Par contre, @tous : j’ai déjà vu des attaques de trojan en temps réel, sur des machines à priori non infectés (via des techniques de Firewall que je ne peux pas expliquer ici) : c’est impressionnant.
    Bref : utilisez des OS sûr (les anti-virus & autres Firewall sur Windows ne fonctionnent jamais à 100%), comme… Linux (tapez « Ubuntu » sur internet).

    Posté le 27 juillet 2008 à 20:48:57

  4. Korben Reply to this comment


    @AbriCoCotier: Ca m’est déjà arrivé oui mais c’etait un script automatisé qui m’a pourri mes pages avec des virus…etc
    Depuis je suis sur mon propres serveur, et je surveille ça de près

    Posté le 27 juillet 2008 à 21:18:00

  5. touriste Reply to this comment


    ouai c’est sympa tout ca :)
    un bon mot de passe c’est le plus important, après cacher la version un peu moins…
    à titre d’exemple j’ai généré une liste comprenant toutes les possibilités de 0 à 9 + a à z (minuscule) en 6 caractères, et ca prend tout de même 17Go le dico décompressé…
    Mais 5 caractères simplement en minuscule (de a à z) la c’est quand même du petit dico rapide à passer…

    Et après c’est sur que les pluggins plus y en a plus y a de risques (et surtout plus de choses à surveiller en terme de « MAJ »)

    Posté le 27 juillet 2008 à 21:26:55

  6. petitchevalroux Reply to this comment


    Pour éviter le bruteforce vous pouvez aussi utilisez le daemon fail2ban qui est un indispensable pour la secu ;)

    Posté le 27 juillet 2008 à 21:41:24

  7. Korben Reply to this comment


    @petitchevalroux: Fail2ban, je confirme, c’est de la boulette ! :-) Mais encore faut il disposer d’un serveur dédié

    Posté le 27 juillet 2008 à 21:46:51

  8. petitchevalroux Reply to this comment


    Héhé ;) un bon ouvrier s’équipe avec de bons outils

    Posté le 27 juillet 2008 à 21:52:55

  9. 1ace Reply to this comment


    de rien :)

    sinon, pour générer un vrai pass bien fiable, rien ne vaut:
    cat /dev/urandom | head -c16; printf "\n" :D

    quoi, trop compliqué ? bon, d’accord:
    </dev/urandom tr -dc A-Za-z0-9 | head -c16; printf "\n"
    toujours pas convaincu ? remplaçez « -c16 » par « -cX » pour que le pass fasse X caractères de long, et remplaçez « A-Za-z0-9 » par la plage de caractères que vous voulez ;)

    Posté le 27 juillet 2008 à 22:28:08

  10. Jérôme Reply to this comment


    « Mais attention avec les plugins car ils sont bien sûr le premier vecteur d’insécurité ! Les plugins étant des bouts de codes tiers, ils ne sont pas toujours dignes de confiance. A vous donc de faire attention à ce que vous installé. Pensez aussi à les mettre à jour. »

    je plussoie fortement: mon blog fut défacé par injection sql en passant par une faille sql d’un plugin :s

    Sinon avec wordpress 2.6, si vous avez mis à jour depuis une version précédente, il faut ajouter un bout de code dans wp-config.php et y mettre une passphrase, c’est un paramètre supplémentaire d’authentification:

    define(’AUTH_KEY’, ‘mettez votre expression unique ici’);
    define(’SECURE_AUTH_KEY’, ‘mettez votre expression unique ici’);
    define(’LOGGED_IN_KEY’, ‘mettez votre expression unique ici’);

    Posté le 27 juillet 2008 à 23:10:42

  11. Rahim Reply to this comment


    Petit papier que j’ai écris sur la sécurisation de sites (+CMS) ici :

    http://www.rahimblakblog.fr/how-to-be-secure/

    (A destination de tout esprit curieux voulant en savoir un peu plus sur la chose :p)

    Posté le 28 juillet 2008 à 00:15:50

  12. Korben Reply to this comment


    @Rahim: Merci Rahim… toujours de bons tuyaux

    Posté le 28 juillet 2008 à 00:42:23

  13. hichamsoft Reply to this comment


    Extrêmement intersectant merci korben ;) ça tombe à pique un petit lamer veux hacker mon blog :P

    Posté le 28 juillet 2008 à 01:40:20

  14. Unicornis Reply to this comment


    DotClear n’est il pas plus fiable ?
    Si c’est le cas pourquoi utiliser Wordpress ?

    Posté le 28 juillet 2008 à 01:41:10

  15. Le retour de la compil… Reply to this comment


    [...] Quelques règles de base pour éviter de se faire hacker son blog sous Wordpress [...]

    Posté le 28 juillet 2008 à 02:22:07

  16. 1ace Reply to this comment


    @Unicornis: j’ai jamais entendu que DC soit plus fiable que WP (je ne me suis pas spécialement renseigné non-plus)
    par contre, ce qui est sûr, c’est que la communauté qui entoure WP est beaucoup plus grande, ce qui fait plus de personnes pour voir les failles, et donc aussi plus de personnes pour les corriger ;)

    Posté le 28 juillet 2008 à 02:26:35

  17. PoP Reply to this comment


    Perso j’ai utilisé le white paper que tu as déjà présenté sur ton blog pour configurer mon wordpress. Des .htaccess pour bloquer l’accès aux wp-content et consors, du HTTPS pour le login, mots de passe générés aléatoirement,…

    Posté le 28 juillet 2008 à 09:01:38

  18. Piwaï Reply to this comment


    Merci pour ces infos !

    PoP (ou Korben) : Ya moyen que tu balances le lien sur ce White paper ?

    Sinon, je viens d’installer un WP 2.6 tout neuf et..

    - tout d’abord, au départ on a pas le choix du mot de passe pour le compte admin, et c’est un mot de passe plutôt coriace qui est généré.

    - ensuite, le répertoire /wp-content/plugins/ n’est pas accessible, et pourtant j’ai strictement rien changé.

    - fail2ban : j’aime beaucoup ce truc, mais moi il me sert que pour l’authentification Ssh il me semble.. WP met des logs de tentatives d’authentification quelque part ? Parce qu’avec fail2ban, on peut définir un pattern (regex) pour lire les logs, et ensuite bloquer les ip qui tentent de s’authentifier. Quelqu’un l’a déjà fait ? Toute solution est bienvenue ;) .

    - Sinon, comme je l’ai dit je viens d’installer un WP, et je trouve que quand on débarque, on sait pas trop par où commencer au niveau configuration et plugins « essentiels ». Ta ptet fait déjà des articles à ce sujet, mais le nombre d’articles que tu as fait sur WP est phénoménal, et les choses évoluent vite.. vous avez des liens sympa ?

    Posté le 28 juillet 2008 à 09:34:55

  19. Korben Reply to this comment


    @Piwaï: hop Sécuriser son installation de Wordpress

    Posté le 28 juillet 2008 à 09:48:05

  20. Bertrand Reply to this comment


    Bonjour,
    il y a aussi ce site pour tester son mot de passe:
    http://www.passwordmeter.com/

    Posté le 28 juillet 2008 à 18:19:25

  21. Mathias Reply to this comment


    Le greffons sont une « bonne » source de faiblesses, surtout quand le répertoire n’est pas protégé : http://fr.search.yahoo.com/search?p=inurl:/wp-content/plugins/

    Posté le 29 juillet 2008 à 14:55:13

  22. C'est les vacances !! Mais je ne vous laisse pas seul. | TSPS Reply to this comment


    [...] Korben nous propose 6 techniques pour éviter de se faire pirater un blog sous Wordpress [...]

    Posté le 1 août 2008 à 15:11:57

  23. Tester la sécurité de votre Blog : Le Journal du Blog Reply to this comment


    [...] En complément, nous vous invitons également à consulter l’excellent article de Korben : 6 techniques pour éviter de se faire pirater un blog sous Wordpress addthis_pub = ‘YOUR-ACCOUNT-ID’; addthis_logo = ‘http://www.addthis.com/images/yourlogo.png’; [...]

    Posté le 11 août 2008 à 09:03:47

  24. styza Reply to this comment


    bonjour

    J’ai une petite question concernant la sécurité des mots de passe.
    Sous Firefox j’enregistre toujours les mots de passe de mes comptes qui sont protégés par un mot de passe principal assez costaud.
    Est ce que cette protection est suffisante ?
    NB : je suis sous Linux ;-)

    Posté le 24 août 2008 à 16:50:23

  25. Plugins et astuces pour sécuriser et optimiser WordPress Reply to this comment


    [...] 6 techniques pour éviter de se faire pirater un blog sous Wordpress (Korben, 27/07/08) [...]

    Posté le 31 août 2008 à 05:56:08

  26. Modérez les commentaires Wordpress sans utiliser l’interface d’admin | Korben Reply to this comment


    [...] vous avez un blog et que vous utilisez Wordpress, vous validez peut être les commentaires sur vos articles à priori… c’est à dire [...]

    Posté le 27 octobre 2008 à 09:30:17

  27. yannick Reply to this comment


    jai un souci avec un blog on me deplace, mes photo je ai pas comment jai spybot peerguardian et avg pouvez vous mindiket un des bon moyen de protection ou logiciel

    Posté le 24 novembre 2008 à 21:51:16

  28. Se protéger du hack wordpress 2.8.3 qui réinitialise le mot de passe Reply to this comment


    [...] Sinon, une autre technique consiste à simplement placer un htaccess et un htpasswd sur votre serveur pour ajouter un niveau de protection. Puis allez lire ces quelques (vieux mais toujours valables) conseils sur la façon de sécuriser son blog. [...]

    Posté le 11 août 2009 à 08:41:58