Introduction • Raisons pour pirater un site • Les risques les plus connus • Techniques de base pour sécuriser un site WordPress – Lors de l’installation – Après l’installation – Plugins requis • Conclusion
le plus utilisé au monde ? • Environ 15% des sites internet dans le monde s’en servent. • Qui dit succès, dit revers de la médaille! Il est donc nécessaire de se protéger le mieux possible. • WordPress est un logiciel de gestion de contenu très sécuritaire mais qu’aucun système même très protégé n’est infaillible. • La sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans n’importe quel domaine. WordPress Algérie La Semaine Du Web - 2013
les plus fréquentes de la vulnérabilité des blogs Wordpress • Version Wordpress obsolète • Installation de thèmes et plugins douteux. • Le niveau de sécurité faible du mot de passe. • Accès FTP volés. • Problèmes de sécurité avec l’hébergeur
pirater un site • La redirection du trafic vers d’autres sites. • L’utilisation du site pour voler les informations critiques. • L’insertion de liens de spams dans le contenu du site en question (articles et commentaires) pour améliorer le référencement de leurs sites. • Tant que vous avez un site wordpress, il y aura toujours des raisons de vous faire pirater. • Just for the fun :p
de Wordpress. • Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre des bâtons dans les roues à ceux qui veulent vous nuire ! • Si vous manquez d'inspiration : Le plugin Wordpress Google Authenticator ;) WordPress Algérie La Semaine Du Web - 2013
d’au moins 8 caractères incluant : – Majuscules & Miniscules – Des chiffres ; – Des symboles spéciaux ; • Blindez le mot de passe dans le genre « jesuis_*_sur=que@tu&nele|trouveras$pas » • Laissez faire votre imagination ou un générateur de mot de passe! • Évitez toute donnée faisant référence à votre vie personnelle • Plugin Limit Login Attempts : limiter le nombre de tentatives dans un temps donné (ex : 3 tentatives toutes les 10minutes. WordPress Algérie La Semaine Du Web - 2013
de tables : Protéger sa base de données • Modifiez vos préfixes de tables à l’installation, au lieu de wp_ préférez un truc du genre : « commenttuvasgalerer_ » • Renforcer la sécurité de votre BDD d’injections SQL qui peuvent transformer votre blog en ferme de lien. • Plugin WP Security Scan permet de renommer le préfixe.
se protéger, notre vie peut prendre une tournure différente ! Backup, Backup, Backup ! • Faut toujours avoir un plan de sauvegarde et de restauration. • Avant toute intervention, faites des backup régulièrement de votre site WordPress – Votre base de données MySQL ; – Votre compte FTP ; WordPress Algérie La Semaine Du Web - 2013
données WordPress • Choisir les tables à sauvegarder, • Recevoir les tables par eMail, • La base de données pourra être réinjectée à distance elle aussi. WordPress Algérie La Semaine Du Web - 2013
de données+ fichiers), • L’envoyer par mail • Sur FTP ( dans un dossier de sauvegarde) • Soit dans un autre FTP (plus malin je trouve ^^) • Vers DropBox: Recevoir chaque {mois|semaine|jour|heure} une sauvegarde du FTP sur mon bureau dans le dossier DropBox de mon Ordi donc même si le pirate met le feu chez moi, OSEF :p je pourrai tjrs récupérer ma sauvegarde. • Et pourquoi pas d’autres options en plus :p ? Juste pour la beauté de mes yeux , hein ?? J’ai le droit de rêver au final :p • Avant que j’oublie … Faut qu’il soit gratuit comme on les aime ;) WordPress Algérie La Semaine Du Web - 2013
de la Base de données • Export articles et pages en XML • Optimisation et réparation de la Base de données • Sauvegarde des fichiers et répertoires • Backup aux formats zip, tar, tar.gz, tar.bz2 • Sauvegarde envoyée sur votre serveur FTP, Amazon S3, Google Storage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync... • Envoi des logs et backups sur votre email WordPress Algérie La Semaine Du Web - 2013
extensions & plugins • N’installez pas n’importe quoi sur votre site : • Préférez les extensions proposées par le site officiel de WordPress • Favoriser ceux qui ont des mises à jours régulière et faites les ces mises à jour, • Choisissez les extensions qui ont un nombre de vote (et de votant) très bon • Un plugin qui n’est pas souvent mis à jour peut contenir des failles de sécurité. • Informez-vous sur les rapports de bug et failles de sécurité desdits plugins.
jour extensions et version Wordpress La mise à jour de son blog peut donner quelques sueurs froides mais le piratage de votre blog pourrait vous donner un mal de tête bien plus conséquent !!! • Tenir à jour votre architecture WordPress et vos extensions, • Tenez vous également au courant des mises à jour de votre thème…Et appliquez les ;)
un mot de passe digne de ce nom. • Sachez convenablement organiser votre thème • Protéger repertoires sensibles – Regle générale : 755 pour les folders & 644 pour les files, – .htaccess : Options All –Indexes • Améliorer encore la sécurité avec le plugin «Ask Apache ». – Protéger le dossier wp-admin par une authentification au niveau du serveur. – Désactiver les liens malveillants et l’accès direct aux répertoires wp- content et wp-includes WordPress Algérie La Semaine Du Web - 2013 Protéger les accès à Wordpress et ses répertoires
• Prendre toutes les précautions nécessaire à la protection de votre site, c’est bien. Mais • Ne pas exposer vos données sensibles aux grand soleil, c’est encore mieux.
fichier readme.html • Placé à la racine de votre site, ce fichier contient la version WordPress de votre site, (testez avec www.votresite.com/readme.html).
wp-config.php • Le fichier wp-config.php peut-être protégé par des clés de sécurité alors pourquoi s’en priver ? • Générer et y insérez les grâce au lien :https://api.wordpress.org/secret-key/1.1/salt/ • Reconnecter sur vos bloc après cette manipulation WordPress Algérie La Semaine Du Web - 2013
• Restreindre les droits d’accès au seul propriétaire – A partir d’un navigateur FTP ( ex: Filezilla)« Droit d’accès au fichier » => 644 – Grâce à WP Security Scan • Protégez votre fichier .htaccess
dans votre thème (dans /wp-content/themes/VotreTheme) et ajouter: • Editer le fichier header.php en supprimant la ligne : • Autre alternative : l’extension Better security WP. • Jouer avec vos assaillants en leur mentant sur la version que vous utilisez avec le plugin Replace WP-Version ;) WordPress Algérie La Semaine Du Web - 2013
tentatives multiples de connexions au panneau d’administration • Remédier à cela en utilisant le plugin Login LockDown . WordPress Algérie La Semaine Du Web - 2013
adresse IP ne sera pas efficace • Une meilleure alternative consiste à activer une authentification en 2 temps (2-factor authentication) : • Plugin pour le mettre en place rapidement sur votre site : Google Authenticator. WordPress Algérie La Semaine Du Web - 2013
la possibilité de publier vos articles via Windows Live Writer. • Supprimer les lignes indésirables • Editer le fichier functions.php: WordPress Algérie La Semaine Du Web - 2013 Une ligne de code suspecte se cache ici !
supplémentaires • Ne laisser aucune donnée sensible dans wp-content ! – Ex: L’archive de base de données que certains plugins comme WP- backup le stockent dans wp-content. • Supprimer tous les utilisateurs inactifs à fort pouvoir (administrateur).
masquant les erreurs de connexion affichés lors de tentative infructueuse. => Eviter de divulguer les messages aux yeux de tous • Editer le fichier functions.php de votre thème et d’y ajouter: • Recommencer cette manipulation Si vous changiez de thème. WordPress Algérie La Semaine Du Web - 2013
en profondeur un site Wordpress • Accès au fichier incriminé pour rapidement faire le ménage • Visualiseur géolocalisé et en direct du trafic de votre site WordPress Algérie La Semaine Du Web - 2013
les requêtes d’injection SQL • Bloquer les termes spécifiques ( wp_, user_login, etc.) • Bloquer l’upload de fichier .exe, .php • Avertir par mail en cas de tentatives d’attaques • Rediriger les attaques vers une page 404 ou la page d’accueil • Et bien d’autres fonctionnalités que je vous laisse découvrir…. WordPress Algérie La Semaine Du Web - 2013
vie ! • En dépit de toutes précautions le risque ne sera jamais nul ! le risque zéro n'existe pas... • Pour prévenir toute mauvaise surprise, il convient de faire des backups régulièrement. • Le plugin WP-Database Backup est une bonne solution !
wpalgerie
line_developers_tw
nassy20
cdataj
oracle4engineer
happysamurai294
tosho
jumtech
hanon52_
uhyo
ysd113
lemiorhan
tammyeverts
inesmontani
frankvandijk
techseoconnect
mayunak
tessaabrams
axbom
soudai
cassininazir
samanthasiow
jct
