WordPress demeure envers et contre tout l’un des CMS favoris des internautes. Sa popularité permet de facilement trouver de l’aide via les forums et le StackExchange, mais aussi de très nombreux plugins gratuits permettent d’obtenir un site à moindre coût.
L’un des inconvénients de ce CMS est qu’il est si populaire que de nombreuses attaques ciblées rendent indisponibles ou vérolés de trop nombreux sites. Avant de tomber de Charybde en Scylla, considérons de prime abord que WordPress reste en quelque sorte une coquille vide, qu’il vous incombe de remplir de contenu et de plugins.
1/ Les mises à jour
Nous ne le dirons jamais assez : mettez à jour vos sites (comme une envie de mettre en rouge et en 3D cette information au passage). Nous entendons encore bien trop souvent divers gérants de sites qui n’osent pas mettre à jour pour des raisons de stabilité. En effet, certains modifient dans le cœur du CMS ou des plugins, rendant ainsi instables toute mise à jour. Un tel développement est une aberration en soit, car cela revient à s’expose à de graves conséquences, pouvant aller d’un bannissement des moteurs de recherche à une perte définitive des données.
Si votre site est vérolé, pas de panique. Les fichiers vérolés sont très souvent les fichiers PHP, sur lesquels ont été ajoutés en première ligne un script malveillant. OVH détècte facilement ce genre de script, mais ce sera à vous de nettoyer le code.
Une méthode qui peut fonctionner est tout simplement une mise à jour manuelle de votre WordPress. La Team utilise d’autres méthodes ayant fait leurs preuves, vous pouvez bien évidemment nous contacter si votre site a fait l’objet d’une telle attaque.
D’ailleurs, avez-vous lu le codex de WordPress à ce sujet ?
2/ Des codes d’accès complexes
Blindez vos codes d’accès ! Il est possible d’utiliser un identifiant simple, mais choisissez un mot de passe complexe et long. Un bon mot de passe est constitué des prérequis suivants :
– 12 caractères minimum
– contient des majuscules
– contient des minuscules
– contient des chiffres
– contient des caractères spéciaux (comme % ou & ou encore #)
De cette manière vous rendrez bien plus complexe la tâche aux pirates et robots malveillants. Utilisez cet outil gratuit en ligne pour générer des mots de passes sécurisés !
3/ Changez l’URL de l’administration
Plusieurs plugins existent en la matière. Pour n’en citer qu’un, l’excellent Itheme Security vous détectera les fichiers corrompus, optimisera la sécurité de vos données et vous permettra de modifier les accès aux répertoires wp-content et wp-admin. Attention cependant aux réglages qui peuvent bloquer l’accès au site, utilisez ce plugin avec parcimonie !
Par défaut l’URL de l’administration de tout site WordPress reste http://nomdedomaine.tld/wp-admin.
4/ Captchas et limiter les tentatives de connexion
Comme nous l’avons réalisé sur de nombreux sites WordPress, nous couplons l’interface de connexion avec des captchas, bloquant ainsi les robots qui chercheraient à trouver le mot de passe. Bien évidemment, un humain serait capable de passer outre cela, et certaines rumeurs annoncent même que des robots sont en mesure de décrypter ces captchas.
Limiter le nombre de tentatives de connexion à l’admin via le plugin Limit Login Attempts vous permettra donc de bloquer tout utilisateur cherchant à pénétrer dans votre site. Une règle de bannissement vous permettra de bloquer ces pirates directement avec un fichier htaccess, ou en les bloquant pour une durée précise et paramétrable depuis les réglages du plugin.
5/ Verrouillage Apache
Si votre serveur utilise Apache, vous pouvez bloquer l’administration de tout votre répertoire /wp-admin sauf pour vous en précisant dans votre htaccess la règle suivante :
order allow, deny
deny from all
allow from 127.0.0.1
Modifiez l’adresse IP afin qu’elle corresponde à celle de votre ordinateur et rechargez votre site. Le souci d’une telle méthode est qu’il faut modifier l’adresse IP si vous êtes en déplacement ou si votre box renouvelle votre IP à chaque redémarrage.
Une autre méthode utilisant Apache consiste à mettre en place un verrouillage par code d’accès sur votre serveur pour un répertoire bien précis, cliquez ici pour voir le tutoriel sur les htpsswd
Un site piraté ou vérolé est potentiellement bien plus grave que l’on ne peut le croire : cela peut détruire intégralement vos données, et votre site peut devenir un « zombie » servant à des attaques massives bien plus poussées. Sauvegardez et sécurisez !
Imprimer
Laisser un commentaire