Vous avez un blog tout neuf, cela fait des semaines que vous encodez des articles et vous êtes fier de votre travail.
Pourtant, un soir, le blog répond difficilement, on ne sait pas trop ce qui se passe. Alors on fait comme ces gens qui sont en panne sur la route, ils ne connaissent rien en mécanique, mais ils ouvrent le capot pour tenter de comprendre la panne.
On tape son identifiant, son mot de passe et WordPress secoue la boîte d’identification et refuse de vous laisser entrer !
Bon, pas de panique, j’ai probablement tapé une erreur, je recommence. En vain, le blog refuse de vous reconnaître.
De plus des amis vous disent que votre site affiche des messages en chinois, en russe ou en arabe, vous avez été piraté !
Dans le meilleur des cas, le pirate se contentera de changer votre mot de passe et modifiera la page d’accueil pour afficher sa revendication. Dans les pires cas, votre blog sera entièrement vidé et votre travail pratiquement perdu si vous n’avez pas pris de précautions.
Les pirates plus motivés ne manqueront pas de vous laisser également une porte dérobée pour revenir quand ils veulent sur votre blog, quoique vous fassiez. Cette porte d’entrée cachée est un script qui porte un nom innocent, caché dans un répertoire en profondeur, mais il suffit au pirate de taper le chemin de sa porte dérobée pour se retrouver de nouveau aux commandes de votre blog.
4 étapes pour minimiser le risque de se faire attaquer.
Etape 1, changer les droits du premier compte
Problème :
Une méthode très utilisée par les pirates c’est de profiter d’une faille d’un plugin, d’un thème pour déposer un script dans votre hébergement qui sera exécuté immédiatement après. Ce script, entre autre, va modifier directement dans la base de données le premier identifiant. Obligatoirement, quand on installe WordPress, le premier compte est celui de l’administrateur, le script modifie donc les identifiants en mettant ‘admin’, et un mot de passe connu du pirate.
Il a maintenant accès à votre blog et vous, non !
Il peut modifier à loisir votre blog, y ajouter des virus, des messages.
Solution :
Si c’est déjà trop tard, il suffit d’utiliser PHPMYADMIN de votre hébergement et de corriger les identifiants directement. Vous repérez la table ‘_users’, édition de la première ligne de la table en mettant l’identifiant d’origine, le mot de passe en clair en sélectionnant à gauche la fonction MD5 et vérifier que c’est toujours votre courriel et pas celui du pirate.
Après cette manipulation, vous pouvez déjà avoir de nouveau accès à votre blog et commencer un nettoyage. Mais ce n’est pas tout, une opération de plus vous aidera contre une prochaine attaque du même genre.
Vous allez créer un nouveau compte administrateur et donner les droits moins importants au premier compte. Si le pirate modifie de nouveau les identifiants du premier compte, il se retrouvera en mode ‘abonné’ avec aucun droit sur le blog …
Vous allez me dire que le pirate va chercher un autre compte administrateur pour entrer de nouveau, mais le script du pirate ne fera probablement pas ce travail lent et compliqué et le pirate passera à autre chose. (On espère).
En résumé :
- Ajoutez un nouveau compte administrateur
- Vous vous déconnectez de votre blog
- Vous vous identifiez avec le nouveau compte administrateur
- Vous éditez l’ancien compte en mettant les droits « Abonné »
Etape 2, compliquez l’accès à l’administration
Le but de cette manipulation est d’obliger celui qui accède au formulaire d’identification de passer par un autre login et mot de passe géré par le serveur et non par WordPress.
On crée un fichier avec comme nom, « .wpadmin » que vous placez dans le répertoire au-dessus du répertoire qui contient votre site, généralement au-dessus de ‘public_html’ ou ‘web’ selon votre hébergeur. Cet endroit est protégé, car il n’est pas accessible depuis le site et ne peut donc être analysé.
Ce fichier contiendra un identifiant et un mot de passe crypté que vous pouvez générer en vous rendant sur le lien suivant : http://www.htaccesstools.com/htpasswd-generator/
Il reste à créer ou à modifier un fichier .htaccess dans le répertoire principal de votre hébergement avec les lignes suivantes :
ErrorDocument 401 « Unauthorized Access »
ErrorDocument 403 « Forbidden »
<FilesMatch « wp-login.php »>
AuthName « Authorized Only »
AuthType Basic
AuthUserFile (chemin selon votre hébergeur vers .wpadmin)
require valid-user
</FilesMatch>
Vous trouverez l’article d’origine en anglais avec plus de détails sur ce lien
http://support.hostgator.com/articles/specialized-help/technical/wordpress/wordpress-login-brute-force-attack
A partir de maintenant, pour toutes les tentatives de se rendre sur le formulaire d’identification, le serveur demandera un identifiant et mot de passe avant d’y avoir accès. Cette étape n’est pas très agréable si vous avez des abonnés, à vous de voir.
Etape 3, installation d’un plugin pour renforcer la sécurité
Il existe des tas de plugin pour augmenter la sécurité de votre blog, mais j’en utilise un qui reprend les fonctions de plusieurs plugin, au moins on installe des plugin, au mieux WordPress répond rapidement.
Ce plugin multiple-fonctions est Wordfence (http://wordpress.org/plugins/wordfence/)
Il existe une version payante, mais la version gratuite se défend déjà très bien.
- Analyse des fichiers de WordPress, des thèmes, des plugin de votre site et des fichiers originaux. Si un de ces fichiers a été sournoisement modifié par le pirate, vous en serez averti. Soit c’est une fausse alerte ou bien une modification suspecte. Vous pouvez alors réparer ou neutraliser le fichier suspect.
- Si WordPress, un thème ou un plugin n’est plus à jour, vous recevrez un courriel pour vous inviter à mettre votre blog à jour.
- Intégration d’un pare-feu pour bloquer des attaques venant de l’extérieur, une fois l’attaque identifiée, l’adresse IP d’où vient l’attaque est immédiatement bloquée.
- Analyse de vos fichiers pour détecter un script malveillant parmi une collection de plus de 44,000 signatures malveillantes connues.
- Analyse d’éventuelles portes dérobées.
- Analyse en continu de liens sortant vers des sites en liste noire, que ce soit dans le contenu ou dans un commentaire. Si un malin envoie vos visiteurs vers un site contenant un virus, vous en serez informé de suite.
- Analyse des mots de passe de vos utilisateurs, s’ils sont trop courts ou trop simples, vous en serez averti.
- Surveillance de vos DNS, s’ils changent, vous recevrez un message.
- Limite le nombre de fois par heure les accès à certaines fonctions d’identification par exemple. Si quelqu’un tente de forcer l’entrée dans votre blog par des essais successifs, il sera immédiatement écarté et bloqué.
- Visualisation du trafic en direct, ceci permet en cas d’attaque de voir à quoi le pirate accède, son adresse IP, son pays, la ville et vous pouvez le bloquer immédiatement.
- Surveillance de votre espace d’hébergement, car certaines attaques remplissent des fichiers sur votre hébergement qui au moment où il est entièrement rempli, affichera un message d’erreur au lieu de votre page d’accueil.
- La version payante permet de bloquer un pays en entier. Si vous subissez des attaques constantes depuis la Chine, vous n’avez pas de clients chinois, vous bloquez le pays entier, plus un chinois ne viendra vous embêter sur votre site.
Wordfence m’a déjà rendu pas mal de services, très facile à configurer, il m’avertit au moindre problème.
Tout cela est déjà très bien, mais malgré tout, parfois cela ne suffit pas à arrêter le pirate, rien ne vaut un bon backup !
Etape 4, la sauvegarde régulière de votre blog
Pour sauvegarder votre blog, selon votre hébergement, vous avez plusieurs solutions :
- Votre hébergeur a prévu dans ses services la sauvegarde de votre site
- Cpanel
- Un plugin
- Un service externe
La sauvegarde de l’hébergeur
La solution de l’hébergeur est la moins fatiguante, pensez à vérifier si c’est le cas et de voir comment le site peut être restauré rapidement et facilement.
Cpanel
Si votre hébergement est géré par un Cpanel, vous avez dans les fonctions un menu qui permet de sauvegarder le site et la base de données. Le problème c’est qu’il faut y penser et qu’on oublie vite de le faire. Après, on prend l’habitude de ne plus le faire qu’une fois par an et encore. Jusqu’au jour où …
Un plugin
Là encore, la méthode est simple, on installe un plugin, mais on peut se heurter à quelques problèmes.
- Le stockage local du site sur son disque dur peut prendre de plus en plus de place, de temps et demande aussi des opérations manuelles.
- Restauration peu rapide et pratique.
- On peut recevoir les fichiers par courriel, mais en cas de gros sites, cela peut poser des problèmes.
- On peut utiliser Dropbox, mais une fois plein…
Un service externe
Lors de mes recherches, j’ai trouvé ce service de sauvegarde automatique de blog WordPress, il est payant mais, que vaut la tranquillité de votre samedi soir ou la journée de dimanche pour restaurer un site piraté ?
D’autant que l’abonnement demandé n’est pas excessif, $9 par mois.
L’enregistrement au service est simple, on ajoute son site et si on lui donne les identifiants de votre blog, c’est le service qui installe automatiquement le plugin nécessaire. Si vous êtes parano, vous avez aussi la possibilité d’installer le plugin manuellement.
Une fois que le plugin est installé, vous n’avez rien à faire, votre site sera sauvegardé immédiatement (jusque 15GB que le support m’a dit). Votre tableau de bord vous affichera les 30 dernières sauvegardes journalières. En cas de souci, il suffit de cliquer sur la date de restauration de votre choix et hop, votre site est restauré immédiatement sans autre manipulation !
Il est également possible de télécharger une sauvegarde juste au cas où.
J’ai vu également qu’il est possible de migrer son site rapidement vers un autre hébergement. Très pratique si par exemple votre hébergeur subit une énorme panne de plusieurs jours, en un clic vous transférez votre site vers un autre hébergement. Bien entendu il faudra attendre que les DNS soient à jour mais, cela se fait actuellement en quelques heures.
http://objectifweb.be/blogvault
Avec ces 4 étapes, vous vous assurez quand même une certaine tranquillité, ce n’est pas du 100%, on ne peut jamais dire cela, mais croyez-moi que si vous avez un business, savoir que votre site est à l’abri prêt à repartir sans s’y arracher des cheveux, c’est de l’or !
photo credit: Kris Krug via photopin cc
Cet article a été écrit par
Patrick se décarcasse pour vous guider vers un site rentable.
Participez à une session de stratégie gratuite pour discuter de votre business et voir comment vous pouvez accélérer votre développement, rendez-vous ici : Session de Stratégie
Email : sessionstrategie@votresiteinternetpro.com