Web
Analytics

4 plugins WordPress de sécurité pour lutter contre les pirates et les hackers

website defender plugin wordpress

plugin wordpress anti-hacker

Il y a 9 mois, Papa Blogueur a été hacké 3 fois en moins d’un mois. Autant vous dire que je commençais à perdre patience face à cette impuissance ! Depuis, j’ai pris les devant avec l’installation de plusieurs plugins de sécurité pour limiter les dégâts. Il faut être franc, je ne pourrais pas sécuriser mon blog à 100%, mais je me rassure déjà sur certains points cruciaux.

>> Voir son blog se faire pirater, c’est frustrant ! Alors 3 fois il y a de quoi devenir frapadingue !

La première fois, le hacker à réussi à modifier mon login. Averti par email de suite, j’ai tenté de me loguer mais sans succès, forcément. Après quelques recherches sur le Net, une des solutions et d’accéder à son hébergement, et via sa base de données, trouver la table wp-user (ou équivalent) et modifier à nouveau le login, facile c’est le seul en mode « admin ». Puis croiser les doigts ça passe !

Ensuite, changer le mot de passe et vérifier que tout est en ordre. Le truc ultime, ne JAMAIS mettre en login « admin » ni le nom de votre blog, j’en ai fait les frais… Les hackers tentent régulièrement d’accéder à votre blog de cette manière. Voir plus bas…

La seconde fois, un pirate (le même ?) a utilisé mon hébergement comme moteur de spam. En moins de temps qu’il ne faut pour dire « Scoubidou », hop 2500 mails sont envoyés, mon hébergeur me traîte de spammeur et me coupe le jus… euh comment dire, j’aime pas ! Bon après explication, le tout est rentré dans l’ordre, la faille de sécurité a été traité et hop, c’est fini.

Jamais 2 sans 3, une poignée de jours plus tard, je remarque que mon url pointe sur rien. Bon OK, le serveur a encore planté (rhalala), je me rend sur mon hébergement et là, c’est la crise cardiaque ou presque. Ma base de données A ETE VIDEE, mes fichiers en ligne EFFACES ! Bref, la catastrophe, 2 ans de boulot parti en fumé car un petit malin en manque de sensation a fait le vide autour de moi.

Là encore, merci mon hébergeur, il avait fait une sauvegarde automatique du serveur mutualisé et il ma tout remis en quelques clics, ouf ! Car ma propre sauvegarde n’était pas aussi poussée… à l’époque ! Maintenant c’est du 100% sauvegardée en local (et j’ai changé aussi ‘hébergeur entre-temps, je vous expliquerais plus tard).

Traiter la menace, lutter contre le piratage avec les plugins de sécurité

Il existe de nombreux plugin de sécurité dont certains son redondant. Inutile donc de tous les installer et les publier. Personnellement, voici ma petite sélection.

WebsiteDefender WordPress Security ou WSD Security

website defender plugin wordpress

Ce plugin est un gros morceau. Il existe plusieurs tutoriels sur le Net pour le configurer, dont le site officiel.

http://wordpress.org/plugins/websitedefender-wordpress-security/

.com/

Au début ça fait peur « j’ai tout cela à faire » ? Mais c’est le prix à payer pour sécuriser son blog.

Il faut se loguer sur le site pour recevoir un ID à insérer dans le plugin. A partir de là vous trouverez les points à modifier pour être au Top !

WP Security SCAN

wp security scan

Ce plugin permet de scanner votre blog et vous donne de nombreux conseils de sécurité. De quoi voir la vie en rose en sirotant une bonne bière du Nord ! Blague à part, n’hésitez pas à faire ce qu’il demande. Réalisez TOUJOURS un BACKUP de votre blog avant toutes modification, surtout les majeures !

http://wordpress.org/plugins/wp-security-scan/

Limit Login Attempts

plugin wprdpress limit login

Un de mes plugin préférés en matière de sécurité. Comme pour les cartes de crédit, une fois installé et activé, ce plugin WordPress vous bloque pour 24h00 suivant votre adresse IP votre login, si vous vous trompez de mot de passe 3 fois.

http://wordpress.org/plugins/limit-login-attempts/

http://devel.kostdoktorn.se/limit-login-attempts

Bon parfois on se trompe plusieurs fois, et c’est la misère. La seule solution, passer en FTP et supprimer le plugin, reconnectez-vous, installez-le à nouveau et le tour et joué.

Cerise sur le gâteau, vous recevez un email lors d’une tentative de login impromptue, comme sur « admin », je vous en parlais plus haut.

Je reçois ce genre d’email d’alerte au moins 1 fois par semaine pour vous dire… et j’ai même été la cible courant mai, d’un robot d’un hacker qui avait enté 240 fois de ce loguer sur 60 IP différentes (3 tentatives pour chaque IP) sur les login « admin » et « administrator ». Vous voyez l’intérêt de changer votre login pour quelque chose de très perso ? ;-D

Anti CSRF

anti csrf plugin wordpress

 

[EDIT : ajout de ce plugin indispensable, ce qui fait 4 plugins de sécurité ]

C’est assez du chinois pour mois comme pour la plupart de vous. Mais la faille CSFR est très répandue dans la plupart des thèmes et plugins WP. Ce plugin comble cette faille automatiquement. Aucune configuration, il se met au boulot automatiquement.

N’ayez pas peur par contre de voir apparaître des pop-in de validation pour passer d’une étape à l’autre dans la configuration de votre blog, votre thème, widget ou plugin, c’est Anti CSRF qui fait son boulot, il suffit de lire le message te de dire « oui » pour passer à la suite. Au pire, désactiver le plugin le temps de travailler, puis réactivez-le.

http://wordpress.org/plugins/baw-anti-csrf/

 

En cas de piratage complet, n’oublier de faire un backup de votre blog régulièrement et pourquoi pas de manière automatique avec planification, avec par exemple, le plugin BACKWPUP.

 

Crédit photo : http://www.sxc.hu

Rendez-vous sur Hellocoton !

Leave a Reply

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

18 comments

  1. Bonjour !
    Ton article, me fait peur ! Mais je suppose qu’étant pas passé par un hébergeur, mais par wordpress, je sais du coup je suis limitée, je me dis, peut-être à tort, que je suis « protégée » par wordpress ou du moins un peu plus que si j’étais sous un hébergeur ! non ? non ? je vais flipper sinon ! En plus je débute, alors j’y connais rien en pluging !
    Bonne journée papa blogueur !

  2. Bonjour. Avec tout ça installé, il est certain que le blog est blindé même si une protection à 100 % est impossible. Mais est-ce que le jeu en vaut la chandelle? Surcharger un blog en plugins a aussi des conséquences. Alors pourquoi pas se contenter de la meilleure sécurité possible en login et mot de passe associé à une sauvegarde (quotidienne) des fichiers et de la BDD bien au chaud sur un hébergement distinct du blog? Des avis sur la question?

    • non on ne peut pas trop mettre de plugin et non il est impossible de se protégér à 100% mais faut quand même prévoir le minimum

  3. J’ai un peu eu le même problème avec CF7, une faille de sécurité et un code iframe partout sur mon site et impossible de le visiter et pire j’ai eu la page rouge de Google pour annoncer il y avait un code malicieux. Depuis je sécurise beaucoup plus mes sites mais je vais les essayer ces plugins que tu propose.

    ps: petite faute de frappe c’est le seul en mode « damin » et il y a 4 plugins en faites ?

  4. j’expliquerait plus tard, c’est autre chose, mon hébergeur a pêté un cable, depression, il a coupé toutes ses machines sans prévenir et aucun moyen de le contacter, il répond pas! J’ai du migrer ailleurs en catastrophe en attendant qu’il se reprenne pour récupérer mes données

  5. Si tu veux j’ai un dédié, si cela peut te permettre de stocker ou remettre en route certains de tes sites.

    • ce n’est pas le soucis, je n’ai pas les sources ! Tant que mon ex-hebergeur me les rends pas, je peux pas les remettre en ligne !

  6. Helena

    Bonjour…
    Moi pour tout ce qui est virus, piratage, panne …internet, je crie au secours a mes fils , car je m y connais en rien!le vrai boulet!
    bonne journee!

    • on en peut pas être bon en tout, et puis il y a des moments où la technologie nous dépasse

  7. Tu m’as fait un peur avec ton article la ! Je n’ai jamais eu de problème et je fais rarement des backup mais apparamment il suffit d’une fois !
    2 petites questions :
    – Comment on fait pour changer « admin » en quelque chose d’autre ? Parce qu’en fait j’ai jamais eu le choix et il me dit que l’on ne peut pas le changer ! Il faut aller dans la BDD ?
    – 4 plugins c’est un peu beaucoup ! Comme je te disais dans un commentaire précédent, j’utilise souvent des plugins mais quand même je limite. Si tu devais en choisir 2 sur ces 4 ? Ils ne rentrent pas en conflit tous ?
    Merci pour tous ces conseils (et pour la frayeur aussi ^^)

    • je ne saurais lesquels te dire de choisir, car déjà c’est une sélection, il en existe bcp sur le sujet