Sécuriser un site WordPress

Transcript

1. Sécuriser un site WordPress WordPress Algérie La Semaine Du Web

   - 2013 SLIMANI Nour El Houda [email protected]

2. WordPress Algérie La Semaine Du Web - 2013 Sommaire •

   Introduction • Raisons pour pirater un site • Les risques les plus connus • Techniques de base pour sécuriser un site WordPress – Lors de l’installation – Après l’installation – Plugins requis • Conclusion

3. Introduction • Saviez-vous que WordPress est le CMS open source

   le plus utilisé au monde ? • Environ 15% des sites internet dans le monde s’en servent. • Qui dit succès, dit revers de la médaille! Il est donc nécessaire de se protéger le mieux possible. • WordPress est un logiciel de gestion de contenu très sécuritaire mais qu’aucun système même très protégé n’est infaillible. • La sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans n’importe quel domaine. WordPress Algérie La Semaine Du Web - 2013

4. Le problème du hacking est sans fin ! WordPress Algérie

   La Semaine Du Web - 2013

5. The web site whose URL is written in this note

   shall be hacked ! WordPress Algérie La Semaine Du Web - 2013
6. None

7. WordPress Algérie La Semaine Du Web - 2013 Si mon

   site se fait pirater, je le saurai assez rapidement ??

8. WordPress Algérie La Semaine Du Web - 2013 Les causes

   les plus fréquentes de la vulnérabilité des blogs Wordpress • Version Wordpress obsolète • Installation de thèmes et plugins douteux. • Le niveau de sécurité faible du mot de passe. • Accès FTP volés. • Problèmes de sécurité avec l’hébergeur

9. WordPress Algérie La Semaine Du Web - 2013 Raisons pour

   pirater un site • La redirection du trafic vers d’autres sites. • L’utilisation du site pour voler les informations critiques. • L’insertion de liens de spams dans le contenu du site en question (articles et commentaires) pour améliorer le référencement de leurs sites. • Tant que vous avez un site wordpress, il y aura toujours des raisons de vous faire pirater. • Just for the fun :p

10. Sécuriser votre site WordPress n’est pas une affaire de spécialiste

    !

11. SÉCURISER WORDPRESS : COMMENT FAIRE ? Tout le monde n'a

    pas forcément les compétences techniques pour trouver les failles de son site ni savoir les combler afin de dormir sur ses 2 oreilles.

12. WordPress Algérie La Semaine Du Web - 2013 Sécuriser Wordpress:

    Quelques clefs pour améliorer la protection de votre plate-forme Web.

13. Niveau=0; Niveau Facile

14. WordPress Algérie La Semaine Du Web - 2013 Sécuriser Wordpress:

    Dès l’installation : il faut se préparer au pire ! Mieux vaut prévenir que guérir !

15. Compte Admin : Eliminer le maillon faible! WordPress Algérie La

    Semaine Du Web - 2013 Virez moi ce « Admin »

16. Compte Admin • Admin est le maillon faible des utilisateurs

    de Wordpress. • Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre des bâtons dans les roues à ceux qui veulent vous nuire ! • Si vous manquez d'inspiration : Le plugin Wordpress Google Authenticator ;) WordPress Algérie La Semaine Du Web - 2013

17. I.2 Mot de passe • Disposer d’un mot de passe

    d’au moins 8 caractères incluant : – Majuscules & Miniscules – Des chiffres ; – Des symboles spéciaux ; • Blindez le mot de passe dans le genre « jesuis_*_sur=que@tu&nele|trouveras$pas » • Laissez faire votre imagination ou un générateur de mot de passe! • Évitez toute donnée faisant référence à votre vie personnelle • Plugin Limit Login Attempts : limiter le nombre de tentatives dans un temps donné (ex : 3 tentatives toutes les 10minutes. WordPress Algérie La Semaine Du Web - 2013

18. WordPress Algérie La Semaine Du Web - 2013 I.3 Préfixes

    de tables : Protéger sa base de données • Modifiez vos préfixes de tables à l’installation, au lieu de wp_ préférez un truc du genre : « commenttuvasgalerer_ » • Renforcer la sécurité de votre BDD d’injections SQL qui peuvent transformer votre blog en ferme de lien. • Plugin WP Security Scan permet de renommer le préfixe.

19. Once the installation process is complete there is still quite

    a bit of work to be done securing WordPress. WordPress Algérie La Semaine Du Web - 2013

20. Archivez, Archivez, Archivez ! WordPress Algérie La Semaine Du Web

    - 2013

21. Archivage et sauvegarde • Même si on a beau bien

    se protéger, notre vie peut prendre une tournure différente ! Backup, Backup, Backup ! • Faut toujours avoir un plan de sauvegarde et de restauration. • Avant toute intervention, faites des backup régulièrement de votre site WordPress – Votre base de données MySQL ; – Votre compte FTP ; WordPress Algérie La Semaine Du Web - 2013

22. Archivage et sauvegarde : WP-DB-Backup • Sauvegarder la base de

    données WordPress • Choisir les tables à sauvegarder, • Recevoir les tables par eMail, • La base de données pourra être réinjectée à distance elle aussi. WordPress Algérie La Semaine Du Web - 2013

23. More ?

24. Si seulement … • Sauvegarder Wordpress dans son intégralité (Base

    de données+ fichiers), • L’envoyer par mail • Sur FTP ( dans un dossier de sauvegarde) • Soit dans un autre FTP (plus malin je trouve ^^) • Vers DropBox: Recevoir chaque {mois|semaine|jour|heure} une sauvegarde du FTP sur mon bureau dans le dossier DropBox de mon Ordi donc même si le pirate met le feu chez moi, OSEF :p je pourrai tjrs récupérer ma sauvegarde. • Et pourquoi pas d’autres options en plus :p ? Juste pour la beauté de mes yeux , hein ?? J’ai le droit de rêver au final :p • Avant que j’oublie … Faut qu’il soit gratuit comme on les aime ;) WordPress Algérie La Semaine Du Web - 2013

25. Tout est désormais possible Don’t worry ! :p

26. BackWPup • Plugin de sauvegarde le plus complet • Sauvegarde

    de la Base de données • Export articles et pages en XML • Optimisation et réparation de la Base de données • Sauvegarde des fichiers et répertoires • Backup aux formats zip, tar, tar.gz, tar.bz2 • Sauvegarde envoyée sur votre serveur FTP, Amazon S3, Google Storage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync... • Envoi des logs et backups sur votre email WordPress Algérie La Semaine Du Web - 2013

27. What else ?

28. WordPress Algérie La Semaine Du Web - 2013 Installation des

    extensions & plugins • N’installez pas n’importe quoi sur votre site : • Préférez les extensions proposées par le site officiel de WordPress • Favoriser ceux qui ont des mises à jours régulière et faites les ces mises à jour, • Choisissez les extensions qui ont un nombre de vote (et de votant) très bon • Un plugin qui n’est pas souvent mis à jour peut contenir des failles de sécurité. • Informez-vous sur les rapports de bug et failles de sécurité desdits plugins.

29. WordPress Algérie La Semaine Du Web - 2013 Mise à

    jour extensions et version Wordpress La mise à jour de son blog peut donner quelques sueurs froides mais le piratage de votre blog pourrait vous donner un mal de tête bien plus conséquent !!! • Tenir à jour votre architecture WordPress et vos extensions, • Tenez vous également au courant des mises à jour de votre thème…Et appliquez les ;)

30. WordPress Algérie La Semaine Du Web - 2013 • Avoir

    un mot de passe digne de ce nom. • Sachez convenablement organiser votre thème • Protéger repertoires sensibles – Regle générale : 755 pour les folders & 644 pour les files, – .htaccess : Options All –Indexes • Améliorer encore la sécurité avec le plugin «Ask Apache ». – Protéger le dossier wp-admin par une authentification au niveau du serveur. – Désactiver les liens malveillants et l’accès direct aux répertoires wp- content et wp-includes WordPress Algérie La Semaine Du Web - 2013 Protéger les accès à Wordpress et ses répertoires

31. Niveau ++; Niveau Intermédiaire

32. WordPress Algérie La Semaine Du Web - 2013 Niveau intermédiaire

    • Prendre toutes les précautions nécessaire à la protection de votre site, c’est bien. Mais • Ne pas exposer vos données sensibles aux grand soleil, c’est encore mieux.

33. WordPress Algérie La Semaine Du Web - 2013 Suppression du

    fichier readme.html • Placé à la racine de votre site, ce fichier contient la version WordPress de votre site, (testez avec www.votresite.com/readme.html).

34. Chouchoutez vos fichiers sensibles ! • “wp-config.php” • “.htaccess” WordPress

    Algérie La Semaine Du Web - 2013

35. Protéger wp-config.php • Erreurs PHP qui offrent l’accès au fichier

    wp-config.php • Le fichier wp-config.php peut-être protégé par des clés de sécurité alors pourquoi s’en priver ? • Générer et y insérez les grâce au lien :https://api.wordpress.org/secret-key/1.1/salt/ • Reconnecter sur vos bloc après cette manipulation WordPress Algérie La Semaine Du Web - 2013

36. Exemple de clefs d’authentification et salage WordPress Algérie La Semaine

    Du Web - 2013

37. WordPress Algérie La Semaine Du Web - 2013 Protéger .htaccess

    • Restreindre les droits d’accès au seul propriétaire – A partir d’un navigateur FTP ( ex: Filezilla)« Droit d’accès au fichier » => 644 – Grâce à WP Security Scan • Protégez votre fichier .htaccess

38. WordPress Algérie Masquez votre version !! Mais pourquoi ?

39. Masquez votre version • Editer le fichier functions.php : présent

    dans votre thème (dans /wp-content/themes/VotreTheme) et ajouter: • Editer le fichier header.php en supprimant la ligne : • Autre alternative : l’extension Better security WP. • Jouer avec vos assaillants en leur mentant sur la version que vous utilisez avec le plugin Replace WP-Version ;) WordPress Algérie La Semaine Du Web - 2013

40. Empêcher les attaques par Brute Forcing : • Bloquer les

    tentatives multiples de connexions au panneau d’administration • Remédier à cela en utilisant le plugin Login LockDown . WordPress Algérie La Semaine Du Web - 2013

41. Limiter le nombre de tentatives de connexions • Blocage par

    adresse IP ne sera pas efficace • Une meilleure alternative consiste à activer une authentification en 2 temps (2-factor authentication) : • Plugin pour le mettre en place rapidement sur votre site : Google Authenticator. WordPress Algérie La Semaine Du Web - 2013

42. Désactiver Windows Live Writer ) : • WordPress vous offres

    la possibilité de publier vos articles via Windows Live Writer. • Supprimer les lignes indésirables • Editer le fichier functions.php: WordPress Algérie La Semaine Du Web - 2013 Une ligne de code suspecte se cache ici !

43. Attention à failles TimThumb • Script TimThumb . • Ré-écrire

    le fichier .htaccess • Le plugin TimThumb Vulnerability WordPress Algérie La Semaine Du Web - 2013

44. WordPress Algérie La Semaine Du Web - 2013 Quelques précautions

    supplémentaires • Ne laisser aucune donnée sensible dans wp-content ! – Ex: L’archive de base de données que certains plugins comme WP- backup le stockent dans wp-content. • Supprimer tous les utilisateurs inactifs à fort pouvoir (administrateur).

45. WordPress Algérie La Semaine Du Web - 2013 Des plugins

    à votre secours ! • Better WP Security • WP-Scurity Scan • TAC (Theme Authenticity Checker)

46. Niveau ++; Niveau Expert

47. Masquer les erreurs de connexion • Renforcer la sécurité en

    masquant les erreurs de connexion affichés lors de tentative infructueuse. => Eviter de divulguer les messages aux yeux de tous • Editer le fichier functions.php de votre thème et d’y ajouter: • Recommencer cette manipulation Si vous changiez de thème. WordPress Algérie La Semaine Du Web - 2013

48. Autres plugins

49. Antivirus pour Wordpress: Wordfence • Gratuit & Puissant • Analyse

    en profondeur un site Wordpress • Accès au fichier incriminé pour rapidement faire le ménage • Visualiseur géolocalisé et en direct du trafic de votre site WordPress Algérie La Semaine Du Web - 2013

50. Anti-Malware (Get Off Malicious Scripts) • Anti-Malware/Anti-virus Plugin • Solution

    prometteuse ! WordPress Algérie La Semaine Du Web - 2013

51. Theme check • Utilitaire simple et efficace pour analyser votre

    thème • Un très bon outil WordPress Algérie La Semaine Du Web - 2013

52. WordPress Firewall 2 • Bloquer les directory traversals • Bloquer

    les requêtes d’injection SQL • Bloquer les termes spécifiques ( wp_, user_login, etc.) • Bloquer l’upload de fichier .exe, .php • Avertir par mail en cas de tentatives d’attaques • Rediriger les attaques vers une page 404 ou la page d’accueil • Et bien d’autres fonctionnalités que je vous laisse découvrir…. WordPress Algérie La Semaine Du Web - 2013

53. WordPress Algérie La Semaine Du Web - 2013 C’est la

    vie ! • En dépit de toutes précautions le risque ne sera jamais nul ! le risque zéro n'existe pas... • Pour prévenir toute mauvaise surprise, il convient de faire des backups régulièrement. • Le plugin WP-Database Backup est une bonne solution !

54. WordPress Algérie La Semaine Du Web - 2013 SLIMANI Nour

    EL Houda  PhD Student at Laboratory of Research in Artificial Intelligence LRIA, USTHB.  Wordpress Member  Web developper  Just Me ;) WordPress