La plupart des blogueurs utilisent pour construire amoureusement leur site, un WordPress. C’est facile à utiliser, avec les plugins on peut y ajouter pratiquement toutes les options souhaitées et avec les innombrables thèmes disponibles, on trouve son bonheur sans trop de frais.
Le blogueur peut donc s’adonner à son plaisir d’écrire et y passer de nombreuses heures …
Un matin, soit un visiteur, soit un ami, lui signale par email que son site ne s’affiche plus et qu’à la place le navigateur déclare que le site est potentiellement dangereux invitant le visiteur à passer son chemin pour le moment … mais depuis combien de temps cela dure sans avoir été avertit ?
Combien de visiteurs ont été refoulé ? Mais que se passe t’il ?
La première chose qu’il fera ce sera d’aller dans son tableau de bord pour tenter d’y voir quelque chose à comprendre … mais horreur, il ne parvient même pas à entrer, un gros message d’erreur vulgaire s’affiche sur l’écran et impossible d’aller plus loin !?
Puis il se demandera de quand date son dernier backup, oups 6 mois ???? (quand il n’a pas tout simplement omis de le faire).
Il tentera alors d’écraser quelques fichiers principaux espérant récupérer au moins une partie mais très souvent, cela ne marchera pas et en tous cas, cela ne bouchera pas les failles existantes.
Mais que s’est il passé ?
Il existe des gens dont c’est le passe-temps, chercher des failles et les exploiter.
Parfois, c’est juste un sport, ils se disent entre eux, « moi j’ai hacké 25 sites » et l’autre « moi, c’est 26 » et c’est celui qui a la plus grosse qui gagne.
Plus embêtant, ils effacent parfois la totalité des fichiers et même parfois de la base de données, on appelle cela un defacement. Ils profitent d’une faille pour déposer un script lancé juste après, et c’est une des fonctions de ce script, effacer tous les fichiers si possible.
Le méchant va plus loin, il ajoute à certains fichiers de votre site un bout de code, presqu’invisible mais chaque visiteur qui vient chez vous exécute ce bout de code sur sa machine sans le savoir, la principale fonction de ce code sera d’installer un virus sur la machine du visiteur et de faire le plus de dégâts possibles, voir contaminer d’autres machines par toutes sortes de moyens.
Souvent il y a tellement de fichiers contaminés dans tous les répertoires de votre site, qu’écraser le fichier principal avec un fichier sain ne suffit pas, et quand le robot de Google passe par votre site et qu’il détecte l’infection, il met votre site de côté en affichant ce fameux message de site dangereux, en plus il n’est pas clairement indiqué comment s’en sortir !
Et vous, savez vous comment sortir de cet état ??
(A la fin, je vous expliquerais comment sortir de cette liste noire).
Chaque plugin, chaque thème est une potentielle porte ouverte à ces attaques si on y fait pas attention.
La prévention toute simple
Quelques étapes assez simples peuvent déjà permettre la récupération d’un blog attaqué mais attention, la faille est alors toujours présente, il va falloir faire les mises à jour de WordPress, plugins et thèmes et investiguer pour déterminer le problème après la restauration.
Avec un plugin gratuit comme « wp db backup », on peut déjà recevoir une fois par semaine une copie de sa base de données par email sans y penser.
Normalement, votre hébergeur met à votre disposition un « Cpanel » (ou équivalant) pour la gestion de votre hébergement, en un clic, on sauve le contenu de son site, et un autre clic pour sauvegarder la base de données. Si on garde un backup mensuel, hebdomadaire et journalier en cas de frénésie d’écriture d’articles, vous devriez pouvoir récupérer votre site avec le moins de dégâts possibles.
Certains hébergeurs gardent un backup journalier de leurs clients avec un historique sur 5 jours ou plus, il suffit alors de lui demander de restaurer votre site à une date donnée et de vite faire le ménage, mais tous les hébergeurs ne le proposent pas, et quand ils le font, autant s’assurer que la restauration va réellement fonctionner.
Il m’est déjà arrivé de me sentir en sécurité par le backup de mon hébergeur mais un jour, j’en ai eu besoin et nous avons alors constaté qu’en fait, il ne fonctionnait pas !
Autant rester autonome !
Mes 5 meilleurs tuyaux pour surveiller et sécuriser mon WordPress
Afin de faire de la prévention plus poussée et d’anticiper certaines attaques, des plugins gratuits sont disponibles.
wp db manager (Gestion de la base de données de WordPress.)
Ce plugin permet d’optimiser la base de données (parfois avec le temps, la base contient des trous qui ralentissent les accès au site), de réparer la base de données, de sauvegarder la base de données (sur le serveur, par email ou directement sur votre machine), restaurer la base de données directement depuis un backup présent sur le serveur.
Le plugin permet également de sauver de façon régulière et automatique la base de données ainsi que l’optimisation et sa réparation.
Sucuri (Le meilleur moyen de savoir si votre site est infecté)
Sucuri permet de scanner votre site et détecter les logiciels malveillants depuis un dictionnaire de scripts en liste noire. Il affiche le résultat dans votre tableau de bord. Il vous dira également si vous êtes bloqué par Google par exemple ou un autre site qui protège les visiteurs.
Un lien permet de nettoyer le logiciel malveillant, mais à tester !
Le tout est gratuit.
wordfence (Wordfence Security est un plugin qui inclus un firewall, scanner de virus, affichage du trafic en temps réel avec géolocation etc.)
Wordfence Security est de qualité professionnelle et gratuit mais il est nécessaire de s’enregistrer pour obtenir une clef qui vous sera demandée à l’activation du plugin. Il est possible d’acheter des clefs ‘Premium’ avec plus de fonctions.
Wordfence c’est:
- Examine les fichiers de WordPress et les compare avec ceux d’origine pour vérifier leur intégrité. Donc à la moindre modification anormale, vous êtes avertit.
- Il fonctionne sur les WordPress installé en MU (multi-site).
- La clef ‘premium‘ (payante) examine aussi les fichiers des thèmes et des plugins pour vérifier leur intégrité par rapport aux originaux.
- Voir quels sont les fichiers qui ont été modifiés sans raison, et les réparer.
- Possède un dictionnaire de 44,000 logiciels malveillants et variantes connues.
- Scanne en continu pour détecter les logiciels malveillants dans les articles, les liens dans les commentaires laissés par des visiteurs.
- Vérification de la complexité des mots de passe pour assurer une meilleure sécurité.
- Surveillance de vos paramètres de domaine pour éviter les détournements vers des sites illicites.
- Inclus un firewall pour bloquer certaines attaques depuis des robots et des hackers.
- Limite les accès ‘anormaux‘ à votre site par exemple dans le but de chercher à planter votre site ou chercher des failles.
- Choisir quand et comment bloquer les utilisateurs ou les robots qui tentent d’enfreindre vos règles de sécurité comme par exemple tester une liste de login et mot de passe pour entrer dans votre site.
- Voir en temps réel votre trafic, les robots, les humains, les pages introuvables (404), les connexions, déconnexions de membres du blog, qui consomme le plus vos contenus.
- Le trafic en temps réel comprend des informations de localisation. Vous saurez ainsi de quel zone géographique vient l’attaque sur votre site et les bloquer.
- Surveille l’espace disque de votre hébergement, car de nombreuses attaques DDoS tentent de consommer tout l’espace disque pour créer un déni de service, donc un blocage de votre site, voir de tout le serveur où il est hébergé.
- Wordfence est complet et constamment mis à jour pour intégrer les dernières fonctionnalités de sécurité et de chasser les menaces les plus récentes de sécurité de votre site sous WordPress.
limit login attempts (Limite le nombre de tentatives de connexion, par cookies et par adresse IP.)
Limite le nombre de tentatives de connexion, que ce soit par le formulaire normal ou bien par le cookie d’authentification (quand vous êtes connecté une fois le matin, un cookie vous assure de revenir dans le site déjà identifié plus tard dans la journée).
Par défaut WordPress permet un nombre illimité de tentatives de connexion, soit par la page de connexion ou en envoyant des cookies spéciaux. Cela permet à des personnes mal intentionnées de forcer l’entrée sur votre site en essayant des listes d’identifiants et mots de passe avec une relative facilité.
Limiter les tentatives de connexion empêche une personne ou un robot de faire d’autres tentatives après une limite spécifiée, ce qui rend une attaque difficile, voire impossible.
limit login attempts informe l’utilisateur sur les nouvelles tentatives restantes ou temps de blocage sur la page de connexion. (Après x tentatives échouées, on peut bloquer l’accès par exemple 24h).
Notification par email en option.
Traductions: bulgare, portugais brésilien, catalan, chinois (traditionnel), tchèque, néerlandais, finnois, français, allemand, hongrois, norvégien, persan, roumain, russe, espagnol, suédois, turc.
wordpress firewall 2 (Ce plugin WordPress surveille les requêtes pour identifier et bloquer les principales attaques.)
Ce plugin examine toutes les requêtes sur le site, il identifie les attaques et bloque la plupart d’entre elles. Ce type d’outil est parfois disponible sur votre hébergement mais c’est rare et surtout difficile à configurer, une fausse manœuvre et votre site est bloqué !
J’avais dis 5 tuyaux, mais je ne résiste pas à vous donner encore deux petits bonus, cachez la version de votre WordPress !
Quand un hacker identifie une porte d’entrée dans une version de WordPress, il se met alors à chercher sur Google des sites utilisant cette version, c’est très simple à faire, il suffit de chercher « Powered by wordpress 3.3.xx » ou « Fièrement propulsé par WordPress 3.3.x » selon la version recherchée, et Google lui donne de quoi jouer pendant des mois !
Remove WP version everywhere (Enlève les infos dans la source de WordPress et sa version dans les articles, les pages et le flux RSS)
Un simple plugin sans configuration qui permet de cacher la version de votre WordPress, autant ne pas faciliter la vie aux malveillants.
Et le dernier bonus:)
(Promis, après je vous laisse partir)
Timthumb Vulnerability Scanner
Examine le contenu du répertoire wp-content pour détecter des versions de TimThumb vulnérables et éventuellement les met à jour par un simple clic. Bien des sites se sont retrouvés infectés à cause de cette librairie que la plupart des thèmes utilisent pour créer les miniatures.
A chaque mise à jour ou ajout d’un thème, il est nécessaire de relancer un scan pour s’assurer que la version du script est toujours la dernière version non vulnérable, on peut aussi configurer le scan automatique.
Comment dire à Google que votre site est de nouveau propre ?
Une fois que le site est de nouveau débarrassé des logiciels malveillants, il ne sort pas automatiquement de la liste noire, pas dans un délai rapide en tous cas.
Il faut alors se connecter à l’outil gratuit proposé par Google destiné aux webmasters, ajouter le site si ce n’est pas encore le cas, réaliser un scan et si tout est propre, un lien à cliquer permet de demander à Google de revisiter le site afin de l’enlever de la liste noire.
Http://webmaster.google.com
Et vous, utilisez vous d’autres plugins pour assurer la sécurité de votre business sous WordPress ?
Cet article participe à l’évènement inter-blogueurs « Echanges de compétences » organisé par le blog Copywriting Pratique. Si vous avez lu cet article, à combien l’évalueriez-vous
sur 5 ? Cliquez sur la note de votre choix : 0 – 1
– 2 – 3 – 4 – 5
Jeu de briques
Snake
Pacman
Bubble