Depuis vendredi soir, une attaque sur les sites WordPress a été détectée par les experts en sécurité. Comme le signale Matt Mullenweg, fondateur de WordPress, cette attaque n’affectera pas 99 % des sites WordPress puisqu’elle s’en prend à une vulnérabilité qui a depuis été maintes et maintes fois décrite, la grande majorité des usagers étant beaucoup plus informés et conscients de prendre des mesures pour protéger leurs installations. Voici une bonne occasion pour nous de faire un peu d’éducation et de rappeler les bonnes pratiques.
Le type d’attaque
À l’origine quand on installe WordPress, le compte par défaut s’appelle admin. Depuis la version 3.0 datant de juin 2010, on peut désormais dès le début de l’installation changer cet identifiant. L’attaque en cours vise essentiellement les sites ayant conservé le vieil identifiant admin. Ce genre d’attaque s’appelle « force brute . Des Bots Net lancent une immense vague de requêtes à la recherche de ces fameux identifiants admin. Une fois repérés, ces mêmes Bots Net vont tester dans un cours laps de temps une grande quantité de mots de passe pour accéder à votre admin et prendre le contrôle de votre site.
Vérifier son installation
La première chose à faire est bien sûr de retirer les comptes admin, de changer son mot de passe en choisissant une combinaison sécuritaire, de vérifier si votre site est équipé d’un plugin protégeant les tentatives d’intrusion par mot de passe comme Login Lock Down ou Limit Login Attempts
Comment supprimer un compte admin
Connectez vous à votre tableau de bord avec le compte admin par défaut.
Allez dans le menu Utilisateurs et cliquez sur Ajouter
Créer un nouveau compte administrateur avec un identifiant spécifique et un mot de passe sécuritaire.
Déconnectez-vous de votre tableau de bord et reconnectez-vous avec votre nouvel identifiant.
Allez dans le menu Utilisateurs/Tous les utilisateurs, sélectionnez le compte admin et cliquez sur Supprimer.
Attribuer ensuite les articles à votre nouveau compte administrateur.
Retour sur les principes de base
Assurez-vous que vous n’avez pas de compte admin
Faites des mises à jour de WordPress et des plugins régulièrement.
Une installation WordPress necessite 3 sortes de mots de passe : un pour le FTP, un pour la base de données, un pour se connecter à l’admin. Il est évident que plus ces mots de passe circulent entre plusieurs personnes, plus les risques augmentent. Conseil: si un de vos collègues, employés, fournisseurs met fin à sa relation avec votre projet, changez ces mots de passe.
Utiliser des mots de passe puissants (majuscules, minuscules, chiffres, caractères spéciaux)
Faites des sauvegardes régulières de votre base de données
Renforcer sa protection
Une fois ces opérations complétées, vous êtes mieux protégés mais pas invulnérables. Il faut quand même savoir que WordPress est un logiciel de gestion de contenu très sécuritaire mais qu’aucun système même très protégé n’est infaillible. Le problème du hacking est sans fin. Plus on prend des mesures pour sécuriser WordPress, plus WordPress propose des mises à jour pour améliorer sa sécurité, plus les hackers redoublent d’ingéniosité pour déjouer les embuches. Tous les géants du web ont déjà subi des attaques, que ce soit Google, Facebook ou Twitter y compris les grosses firmes d’hébergement comme HostPapa ou GoDaddy, donc WordPress n’échappe pas à la règle.
– Installer et configurer le plugin Better WP Security. Ce plugin rassemble une suite de fonctionnalités de protection visant à corriger l’ensemble des vulnérabilités identifiées ces dernières années. À lui seul il est capable de remplacer plusieurs plugins dédiés à une seul tâche voir le tutoriel vidéo ici et les explications ici.
– S’abonner à VaultPress, un plugin développé par Automattic la maison de mère de WordPress. Ce plugin payant ( 15 $/mois) permet de connecter en permanence votre site aux serveurs de WordPress. Le site est régulièrement scanné et sauvegardé. Ce qui est intéressant c’est que même si vous avez fait vos devoirs et qu’un incident survient, vous pouvez rapidement en quelques clics restaurer votre site immédiatement. De plus vous avez accès aux ingénieurs et techniciens de WordPress qui pourront vous conseiller et vous guider sur la marche à suivre.
– Installer et configurer CloudFlare. Ce service gratuit permet d’accélérer la rapidité de chargement de vos pages, d’économiser de la bande passante et en même temps de protéger votre site contre les Bots Net et les spammeurs grâce à un système de détection d’attaques directement bloquées à la source. Toutes les explications sont ici.