Articles WordPress

le

Des règles simples à respecter pour éviter le piratage de votre site internet réalisé avec WordPress.

Wordpress securité

Ce weekend a été chargé en émotion pour la communauté WordPress, puisqu'elle a été la cible d'une attaque massive utilisant la méthode dite de la « force brute », visant à pénétrer dans les comptes admin des sites, comme le reporte nos confrères du Journal du net. Le but de ces attaques semblent à première vue d'installer une une porte dérobée pour prendre le contrôle du site. Néanmoins cette attaque visait principalement les sites hébergés aux Etats-Unis notamment chez les fournisseurs d'hébergement, CloudFlare et HostGator ; il est donc inutile de céder à la panique immédiatement. Connectez-vous à votre site et jetez un œil pour voir si rien à été modifié ou ajouté dans votre back-office (du genre un nouvel utilisateur admin). Ensuite faites un tour sur votre ftp pour vérifier que tous les dossiers et fichiers sont présents et qu'il n'y a rien eu d'ajouté. Si vous n'êtes pas sur de vous sur ce point, vous pouvez re-installer wordpress en local avec vos plugins et thèmes pour faire le parallèle.

Si tout est bon et/ou que l'hémorragie est arrêtée, vous allez pouvoir passer au traitement préventif de votre site.

 

Mieux vaut prévenir que guérir.

Supprimez le compte « Admin »

Comme vous l'explique l'article du JDN, les attaques de ce weekend se concentraient sur le login « admin » et tentaient de trouver le bon mot de passe via des milliers de requêtes. En vous séparant de cet identifiant vous échapperez à pas mal de vilains hackers.

Pour ce faire il vous faut d'abord créer un nouvel utilisateur avec les rôles d'administrateur du site. Une fois créé, déconnectez-vous du compte admin et connectez vous au site avec votre nouveau compte utilisateur. Maintenant supprimez le compte admin en veillant de bien attribuer les anciens articles du compte au nouveau compte.

delete admin user wordpressarticles user wordpress

 

Prenez un mot de passe compliqué

Cela peut paraître évident mais il y a encore trop de sites qui ont comme mot de passe « admin » « password » « 123456789 » et autres grands classiques.
Idem n'utilisez pas le même mot de passe pour tous vos comptes et sites... sinon qu'est-ce qui empêchera le DSI d'un site où vous êtes inscrit de pirater votre site ? Heureusement vous pouvez très souvent compter sur la bonne foi et l'éthique du DSI en question ;)

Si vous manquez d'inspiration il existe des sites comme Il existe aussi des outils comme Google Authenticator qui génèrent un second code d'authentification temporaire. Vous pouvez télécharger le plugin wordpress Google Authenticator, et regarder le tuto vidéo sur son installation si ça vous intéresse.

 

Bloquer les attaques de force brute

Les attaques de force brute consistent à faire de nombreuses tentatives de mot de passe pour un identifiant donné. Il existe le plugin Limit Login Attempts qui permet de protéger votre site de ses attaques en limitant le nombre de tentatives dans un temps donné (ex : 3 tentatives toutes les 10minutes). Un peu comme avec une carte bleue ou un iPhone.

 

Mettez à jour votre site et les plugins

Le point ci-dessus est une bonne transition vers le sujet des mises à jour de WordPress. Régulièrement le CMS sort une mise à jour avec des correctifs de sécurité. Il est donc important de toujours mettre à jour sa version de WordPress. C'est la même chose avec les plugins proposés par la commuanuté. Dès qu'une mise à jour est disponible faites la !

Notez que vous pouvez télécharger les dernières version de wordpress en français sur WordPress-fr

 

Changez le préfixe de votre base de donnée

Lorsque vous installez un site WordPress, le wizard d'installation vous propose de choisir le préfixe de votre base de donnée. Par défaut wp_ est proposé... et par défaut 99% des utilisateurs laissent se paramètre. Du coup cette entrée est bien connu des personnes malveillantes souhaitant faire du mal à votre site. Une précaution à prendre est donc de renommer ce préfixe pour compliquer la tache des hackers.

Si vous ne l'avez pas fait lors de la création de votre site, le plugin WP Security Scan permet de renommer le préfixe. Néanmoins il n'est pas conseillé aux novices, car ce changement de nom à de nombreuses répercussions et des bugs ne sont pas à exclurent.

 

 

Voila en suivant ces quelques conseils vous devriez être à l'abri des principales menaces de sécurités de WordPress. Vous pouvez bien sûr aller plus loin dans la sécurisation de votre site si vous avez déjà été sujet à des attaques.

 
 

Commentaires

Soyez le premier à laisser un commentaire


Agenda

Aucune nouveauté dans cette rubrique

Derniers billets de blog

madeincity
madeincity
madeincity
, dimanche 15 janvier 2017
Nous vous proposons une liste exhaustive des destinations à visiter lors de votre prochain séjour au Maroc. Appuyez ici vite pour plus d'informations !
l'agriculture
Robb
Robb
, mardi 3 janvier 2017
Si l'on a parlé précédemment du gaspillage alimentaire et des mesures à prendre à échelle nationale pour réduire le taux général de gaspillage alimentaire dans notre pays, il est...
http://www.coopdeble.fr/
Robb
Robb
, mardi 3 janvier 2017
Dans le précédent billet il a été question de clarifier certains concepts fondamentaux comme celui de perte d'aliments et de gaspillage alimentaire

Quel CMS choisir ?

Quizz cmsAccédez au quizz pour découvrir quel CMS correspond le mieux à votre projet web. 

 

Pub adSense

Créez votre compte

Rejoignez la communauté de CMS.fr

Bénéficiez d'un accès complet au site, Publiez vos articles et références, Diffusez vos événements, Participez à la vie du forum, Commentez les articles et Créez votre propre blog pour partager vos connaissances des CMS.

La création du compte est simple, rapide et GRATUITE.

Créez votre compte

A propos

CMS.fr est un site d'information dédié aux dernières actualités des CMS et des logiciels de gestion de contenu web.

Retrouvez les dernières news, les modules et extensions indispensables et les comparatifs des meilleurs CMS du marché comme Wordpress, Joomla, e-majine, Drupal et Prestashop.

Suivez-nous ! 

icone facebookicone google plusicone twittericone RSS