Il y a 9 mois, Papa Blogueur a été hacké 3 fois en moins d’un mois. Autant vous dire que je commençais à perdre patience face à cette impuissance ! Depuis, j’ai pris les devant avec l’installation de plusieurs plugins de sécurité pour limiter les dégâts. Il faut être franc, je ne pourrais pas sécuriser mon blog à 100%, mais je me rassure déjà sur certains points cruciaux.
Table des matières :
>> Voir son blog se faire pirater, c’est frustrant ! Alors 3 fois il y a de quoi devenir frapadingue !
La première fois, le hacker à réussi à modifier mon login. Averti par email de suite, j’ai tenté de me loguer mais sans succès, forcément. Après quelques recherches sur le Net, une des solutions et d’accéder à son hébergement, et via sa base de données, trouver la table wp-user (ou équivalent) et modifier à nouveau le login, facile c’est le seul en mode « admin ». Puis croiser les doigts ça passe !
Ensuite, changer le mot de passe et vérifier que tout est en ordre. Le truc ultime, ne JAMAIS mettre en login « admin » ni le nom de votre blog, j’en ai fait les frais… Les hackers tentent régulièrement d’accéder à votre blog de cette manière. Voir plus bas…
La seconde fois, un pirate (le même ?) a utilisé mon hébergement comme moteur de spam. En moins de temps qu’il ne faut pour dire « Scoubidou », hop 2500 mails sont envoyés, mon hébergeur me traîte de spammeur et me coupe le jus… euh comment dire, j’aime pas ! Bon après explication, le tout est rentré dans l’ordre, la faille de sécurité a été traité et hop, c’est fini.
Jamais 2 sans 3, une poignée de jours plus tard, je remarque que mon url pointe sur rien. Bon OK, le serveur a encore planté (rhalala), je me rend sur mon hébergement et là, c’est la crise cardiaque ou presque. Ma base de données A ETE VIDEE, mes fichiers en ligne EFFACES ! Bref, la catastrophe, 2 ans de boulot parti en fumé car un petit malin en manque de sensation a fait le vide autour de moi.
Là encore, merci mon hébergeur, il avait fait une sauvegarde automatique du serveur mutualisé et il ma tout remis en quelques clics, ouf ! Car ma propre sauvegarde n’était pas aussi poussée… à l’époque ! Maintenant c’est du 100% sauvegardée en local (et j’ai changé aussi ‘hébergeur entre-temps, je vous expliquerais plus tard).
Traiter la menace, lutter contre le piratage avec les plugins de sécurité
Il existe de nombreux plugin de sécurité dont certains son redondant. Inutile donc de tous les installer et les publier. Personnellement, voici ma petite sélection.
WebsiteDefender WordPress Security ou WSD Security
Ce plugin est un gros morceau. Il existe plusieurs tutoriels sur le Net pour le configurer, dont le site officiel.
http://wordpress.org/plugins/
.
Au début ça fait peur « j’ai tout cela à faire » ? Mais c’est le prix à payer pour sécuriser son blog.
Il faut se loguer sur le site pour recevoir un ID à insérer dans le plugin. A partir de là vous trouverez les points à modifier pour être au Top !
WP Security SCAN
Ce plugin permet de scanner votre blog et vous donne de nombreux conseils de sécurité. De quoi voir la vie en rose en sirotant une bonne bière du Nord ! Blague à part, n’hésitez pas à faire ce qu’il demande. Réalisez TOUJOURS un BACKUP de votre blog avant toutes modification, surtout les majeures !
http://wordpress.org/plugins/
Limit Login Attempts
Un de mes plugin préférés en matière de sécurité. Comme pour les cartes de crédit, une fois installé et activé, ce plugin WordPress vous bloque pour 24h00 suivant votre adresse IP votre login, si vous vous trompez de mot de passe 3 fois.
http://wordpress.org/plugins/limit-login-attempts/
http://devel.kostdoktorn.se/
Bon parfois on se trompe plusieurs fois, et c’est la misère. La seule solution, passer en FTP et supprimer le plugin, reconnectez-vous, installez-le à nouveau et le tour et joué.
Cerise sur le gâteau, vous recevez un email lors d’une tentative de login impromptue, comme sur « admin », je vous en parlais plus haut.
Je reçois ce genre d’email d’alerte au moins 1 fois par semaine pour vous dire… et j’ai même été la cible courant mai, d’un robot d’un hacker qui avait enté 240 fois de ce loguer sur 60 IP différentes (3 tentatives pour chaque IP) sur les login « admin » et « administrator ». Vous voyez l’intérêt de changer votre login pour quelque chose de très perso ? ;-D
Anti CSRF
[EDIT : ajout de ce plugin indispensable, ce qui fait 4 plugins de sécurité ]
C’est assez du chinois pour mois comme pour la plupart de vous. Mais la faille CSFR est très répandue dans la plupart des thèmes et plugins WP. Ce plugin comble cette faille automatiquement. Aucune configuration, il se met au boulot automatiquement.
N’ayez pas peur par contre de voir apparaître des pop-in de validation pour passer d’une étape à l’autre dans la configuration de votre blog, votre thème, widget ou plugin, c’est Anti CSRF qui fait son boulot, il suffit de lire le message te de dire « oui » pour passer à la suite. Au pire, désactiver le plugin le temps de travailler, puis réactivez-le.
http://wordpress.org/plugins/
En cas de piratage complet, n’oublier de faire un backup de votre blog régulièrement et pourquoi pas de manière automatique avec planification, avec par exemple, le plugin BACKWPUP.
Crédit photo : http://www.sxc.hu
Bonjour !
Ton article, me fait peur ! Mais je suppose qu’étant pas passé par un hébergeur, mais par wordpress, je sais du coup je suis limitée, je me dis, peut-être à tort, que je suis « protégée » par wordpress ou du moins un peu plus que si j’étais sous un hébergeur ! non ? non ? je vais flipper sinon ! En plus je débute, alors j’y connais rien en pluging !
Bonne journée papa blogueur !
je ne sais pas comment cela se passe sur un hébergement commun sur wordpress
OK ! Faudra que je m’y penche un de ces jours … pour voir ce que ça donne !
Bonjour. Avec tout ça installé, il est certain que le blog est blindé même si une protection à 100 % est impossible. Mais est-ce que le jeu en vaut la chandelle? Surcharger un blog en plugins a aussi des conséquences. Alors pourquoi pas se contenter de la meilleure sécurité possible en login et mot de passe associé à une sauvegarde (quotidienne) des fichiers et de la BDD bien au chaud sur un hébergement distinct du blog? Des avis sur la question?
non on ne peut pas trop mettre de plugin et non il est impossible de se protégér à 100% mais faut quand même prévoir le minimum
J’ai un peu eu le même problème avec CF7, une faille de sécurité et un code iframe partout sur mon site et impossible de le visiter et pire j’ai eu la page rouge de Google pour annoncer il y avait un code malicieux. Depuis je sécurise beaucoup plus mes sites mais je vais les essayer ces plugins que tu propose.
ps: petite faute de frappe c’est le seul en mode « damin » et il y a 4 plugins en faites ?
le backup c’est cadeau lol ok merci pour la faute
j’expliquerait plus tard, c’est autre chose, mon hébergeur a pêté un cable, depression, il a coupé toutes ses machines sans prévenir et aucun moyen de le contacter, il répond pas! J’ai du migrer ailleurs en catastrophe en attendant qu’il se reprenne pour récupérer mes données
Si tu veux j’ai un dédié, si cela peut te permettre de stocker ou remettre en route certains de tes sites.
ce n’est pas le soucis, je n’ai pas les sources ! Tant que mon ex-hebergeur me les rends pas, je peux pas les remettre en ligne !
Ok pas de soucis 😉
C’est qui l’hébergeur ?
Bonjour…
Moi pour tout ce qui est virus, piratage, panne …internet, je crie au secours a mes fils , car je m y connais en rien!le vrai boulet!
bonne journee!
on en peut pas être bon en tout, et puis il y a des moments où la technologie nous dépasse
Tu m’as fait un peur avec ton article la ! Je n’ai jamais eu de problème et je fais rarement des backup mais apparamment il suffit d’une fois !
2 petites questions :
– Comment on fait pour changer « admin » en quelque chose d’autre ? Parce qu’en fait j’ai jamais eu le choix et il me dit que l’on ne peut pas le changer ! Il faut aller dans la BDD ?
– 4 plugins c’est un peu beaucoup ! Comme je te disais dans un commentaire précédent, j’utilise souvent des plugins mais quand même je limite. Si tu devais en choisir 2 sur ces 4 ? Ils ne rentrent pas en conflit tous ?
Merci pour tous ces conseils (et pour la frayeur aussi ^^)
je ne saurais lesquels te dire de choisir, car déjà c’est une sélection, il en existe bcp sur le sujet
Super article:, cependant vous avez oublié l’extension gratuite https://wordpress.org/plugins/carla/
Elle fait pratiquement tout, elle est top et géolocalise les IP
je ne connais pas du tout, j’irais jeter un coup d’oeil
Très bon article sur le blog !
La sécurité informatique, un vaste domaine … c’est intéressant et un peu inquiétant quand on voit l’évolution du monde technologiquement parlant.