plugin wordpress anti-hacker

Il y a 9 mois, Papa Blogueur a été hacké 3 fois en moins d’un mois. Autant vous dire que je commençais à perdre patience face à cette impuissance ! Depuis, j’ai pris les devant avec l’installation de plusieurs plugins de sécurité pour limiter les dégâts. Il faut être franc, je ne pourrais pas sécuriser mon blog à 100%, mais je me rassure déjà sur certains points cruciaux.

>> Voir son blog se faire pirater, c’est frustrant ! Alors 3 fois il y a de quoi devenir frapadingue !

La première fois, le hacker à réussi à modifier mon login. Averti par email de suite, j’ai tenté de me loguer mais sans succès, forcément. Après quelques recherches sur le Net, une des solutions et d’accéder à son hébergement, et via sa base de données, trouver la table wp-user (ou équivalent) et modifier à nouveau le login, facile c’est le seul en mode « admin ». Puis croiser les doigts ça passe !

Ensuite, changer le mot de passe et vérifier que tout est en ordre. Le truc ultime, ne JAMAIS mettre en login « admin » ni le nom de votre blog, j’en ai fait les frais… Les hackers tentent régulièrement d’accéder à votre blog de cette manière. Voir plus bas…

La seconde fois, un pirate (le même ?) a utilisé mon hébergement comme moteur de spam. En moins de temps qu’il ne faut pour dire « Scoubidou », hop 2500 mails sont envoyés, mon hébergeur me traîte de spammeur et me coupe le jus… euh comment dire, j’aime pas ! Bon après explication, le tout est rentré dans l’ordre, la faille de sécurité a été traité et hop, c’est fini.

A lire aussi :  Ce qu’il faut savoir sur les noms de domaine

Jamais 2 sans 3, une poignée de jours plus tard, je remarque que mon url pointe sur rien. Bon OK, le serveur a encore planté (rhalala), je me rend sur mon hébergement et là, c’est la crise cardiaque ou presque. Ma base de données A ETE VIDEE, mes fichiers en ligne EFFACES ! Bref, la catastrophe, 2 ans de boulot parti en fumé car un petit malin en manque de sensation a fait le vide autour de moi.

Là encore, merci mon hébergeur, il avait fait une sauvegarde automatique du serveur mutualisé et il ma tout remis en quelques clics, ouf ! Car ma propre sauvegarde n’était pas aussi poussée… à l’époque ! Maintenant c’est du 100% sauvegardée en local (et j’ai changé aussi ‘hébergeur entre-temps, je vous expliquerais plus tard).

Traiter la menace, lutter contre le piratage avec les plugins de sécurité

Il existe de nombreux plugin de sécurité dont certains son redondant. Inutile donc de tous les installer et les publier. Personnellement, voici ma petite sélection.

WebsiteDefender WordPress Security ou WSD Security

website defender plugin wordpress

Ce plugin est un gros morceau. Il existe plusieurs tutoriels sur le Net pour le configurer, dont le site officiel.

http://wordpress.org/plugins/websitedefender-wordpress-security/

.com/

Au début ça fait peur « j’ai tout cela à faire » ? Mais c’est le prix à payer pour sécuriser son blog.

Il faut se loguer sur le site pour recevoir un ID à insérer dans le plugin. A partir de là vous trouverez les points à modifier pour être au Top !

WP Security SCAN

wp security scan

Ce plugin permet de scanner votre blog et vous donne de nombreux conseils de sécurité. De quoi voir la vie en rose en sirotant une bonne bière du Nord ! Blague à part, n’hésitez pas à faire ce qu’il demande. Réalisez TOUJOURS un BACKUP de votre blog avant toutes modification, surtout les majeures !

http://wordpress.org/plugins/wp-security-scan/

Limit Login Attempts

plugin wprdpress limit login

Un de mes plugin préférés en matière de sécurité. Comme pour les cartes de crédit, une fois installé et activé, ce plugin WordPress vous bloque pour 24h00 suivant votre adresse IP votre login, si vous vous trompez de mot de passe 3 fois.

A lire aussi :  Comment changer son mot de passe sur Facebook ?

http://wordpress.org/plugins/limit-login-attempts/

http://devel.kostdoktorn.se/limit-login-attempts

Bon parfois on se trompe plusieurs fois, et c’est la misère. La seule solution, passer en FTP et supprimer le plugin, reconnectez-vous, installez-le à nouveau et le tour et joué.

Cerise sur le gâteau, vous recevez un email lors d’une tentative de login impromptue, comme sur « admin », je vous en parlais plus haut.

Je reçois ce genre d’email d’alerte au moins 1 fois par semaine pour vous dire… et j’ai même été la cible courant mai, d’un robot d’un hacker qui avait enté 240 fois de ce loguer sur 60 IP différentes (3 tentatives pour chaque IP) sur les login « admin » et « administrator ». Vous voyez l’intérêt de changer votre login pour quelque chose de très perso ? ;-D

Anti CSRF

anti csrf plugin wordpress

 

[EDIT : ajout de ce plugin indispensable, ce qui fait 4 plugins de sécurité ]

C’est assez du chinois pour mois comme pour la plupart de vous. Mais la faille CSFR est très répandue dans la plupart des thèmes et plugins WP. Ce plugin comble cette faille automatiquement. Aucune configuration, il se met au boulot automatiquement.

N’ayez pas peur par contre de voir apparaître des pop-in de validation pour passer d’une étape à l’autre dans la configuration de votre blog, votre thème, widget ou plugin, c’est Anti CSRF qui fait son boulot, il suffit de lire le message te de dire « oui » pour passer à la suite. Au pire, désactiver le plugin le temps de travailler, puis réactivez-le.

http://wordpress.org/plugins/baw-anti-csrf/

 

En cas de piratage complet, n’oublier de faire un backup de votre blog régulièrement et pourquoi pas de manière automatique avec planification, avec par exemple, le plugin BACKWPUP.

 

Crédit photo : http://www.sxc.hu

Envoi
User Review
( votes)

À propos de l'auteur

Papa Blogueur

Blog d'un papa de la métropole lilloise.

Voir tous les articles