Des blogs WordPress piratés ? 9

Les blogs WordPress se font pirater

Un bruit cours sur la toile depuis peu, les blogs WordPress se feraient pirater en masse !

Les experts de chez CloudFlare pensent qu’un groupe de pirates prépare une attaque de grande envergure qui nécessite une grosse bande passante. Quelle sera la cible ? Quand aura lieu cette attaque ? Qui est à l’origine de ces piratages ?

Honnêtement, on ne sait pas et on s’en fout, nous on veut juste pouvoir profiter pleinement de nos splogs blogs WordPress !

Comment se prémunir d’une attaque ?

Il existe en effet diverses manières de prévenir une attaque, le tout étant de trouver un juste milieu entre protection et accessibilité, il ne faut pas non plus que cela devienne un calvaire d’accéder à votre interface d’administration préférée 🙂

1. Sécuriser l’accès avec un bon mot de passe

On ne vous le dira apparemment jamais assez, mais le mot de passe « 0000 » n’est pas totalement incrackable..

Plus sérieusement, la plupart des pirates qui veulent passer en « BruteForce » utilisent des dictionnaires de mots de passe, dans la plupart des cas, ils essaient de trouver le mot de passe du compte par défaut, c’est à dire « admin ». Donc la première chose à faire, c’est de ne pas avoir un tel accès sur son blog, mettez plutôt votre prénom, pseudonyme, acronyme et j’en passe. Cela ne protégera pas votre blog à 100%, mais ce sera déjà nettement plus compliqué pour le pirate d’accéder à votre admin car il lui faudra trouver le couple Login/Pass au lieu de seulement le mot de passe (si vous leur faîtes 50% du job aussi..).

Concernant le mot de passe lui même, il faut à minima une combinaison de chiffres et de lettres, en plaçant des majuscules par ci par là, et dans l’idéal il faut ajouter des caractères spéciaux. 8 caractères me paraissent être un minimum vital pour un bon mot de passe. Si vous n’avez pas d’idée, ou que vous ne savez pas trop comment construire un tel mot de passe, vous trouverez des tonnes de générateurs de mots de passe en faisant une petite recherche sur l’ami Google.

2. Eviter d’ouvrir la porte aux voleurs

De la même manière que vous ne partez pas de la maison en laissant la porte ouverte (enfin, j’espère), n’allez pas installer tout et n’importe quoi sur votre blog. Je pense notamment aux thèmes et aux extensions qui font de WordPress le CMS le plus agréable à utiliser pour ma part. Certains peuvent contenir des failles de sécurité donnant l’accès à votre admin et/ou à vos fichiers, ça a notamment été le cas d’un plugin WordPress gracieusement distribué par Backlinker lors du concours SEO 2011 « Pandaranol » (ou peut-être était-ce Discodog, à mon âge on perd la mémoire..).

3. Mettez-vous à jour

Pensez à faire toutes les updates (mises à jour) de votre blog, de votre thème et de vos extensions. Les développeurs qui pondent une mise à jour ne le font pas juste pour passer le temps, c’est généralement soit pour corriger un bug, soit pour empêcher une faille de sécurité -> la fameuse que l’on souhaite éviter.

4. Sauvegardez vos données régulièrement

Autre point très important, si vous tenez à votre blog et à son contenu, faites des sauvegardes de la base de données de manière fréquente, car elle contient toutes vos pages, vos articles et votre configuration, mais également des fichiers de votre site car ils contiennent le thème que vous avez passé du temps à peaufiner, et les images que vous avez uploadé.

5. Sécurisez votre WordPress

Bon là, oui et non. Apporter plus de sécurité signifie soit passer par une extension (cf. point 2), soit avoir de bonnes notions en PHP et en sécurité. Donc ça peut être une bonne chose, mais le jeu en vaut-il la chandelle ?

Bon c’est bien beau tout ça mais… je suis tombé un peu trop tard sur ton article et mon blog s’est déjà fait pirater, qu’est-ce que je peux faire ?

C'est balo hein

C’est ballot hein !

Comment récupérer son blog après un piratage ?

C’est relativement simple en réalité, il n’y a que 2 cas de figure :

1. Vous êtes sur un serveur mutualisé

Contactez votre hébergeur et demandez lui de réinitialiser le mot de passe, vous recevrez normalement par mail la procédure pour le faire. Si vous avez été piraté par l’un des hackers qui prévoient de faire tourner la Terre dans l’autre sens, pas de panique, en théorie il n’aura pas fait de mal à vos fichiers, il n’en voulait qu’à la bande passante du serveur ou à la puissance de ses processeurs et de sa RAM.

Pensez tout de même à réinstaller vos fichiers clean, parce qu’on ne sait jamais, il a peut-être (sûrement) laissé quelques portes dérobées pour pouvoir revenir.

Si vous avez été piraté par quelqu’un qui vous en veut personnellement, j’espère pour vous que vous êtes comme moi adepte de la sauvegarde fréquente 🙂 Si c’est le cas, vous allez pouvoir réinstaller votre site tranquillement. Sinon, n’ayez crainte, vous n’aurez pas à tout refaire de mémoire, n’oubliez pas que Google indexe vos pages (et si toutes les pages de votre site ne sont pas indexées, vous avez clairement besoin de mes services en référencement naturel).

2. Vous êtes sur un serveur dédié

L’administrateur du serveur, c’est vous ! Donc c’est à vous qu’il appartient de réinitialiser le mot de passe, mais dans ce cas, il ne sera pas nécessaire de vous l’envoyer par mail ^^

Comme dit précédemment, modifiez le mot de passe, remettez vos fichiers au propre et fin de l’histoire.

 

 

Vous avez été victime d’une attaque récente ? Vous avez d’autres idées pour éviter une attaque ? Ou pour en sortir ? Alors venez en discuter

A propos de Tony (34 Posts)

Développeur Web et consultant SEO, je vous invite à venir échanger et partager sur ce vaste sujet. Je vous propose également mes services en référencement naturel, afin d'améliorer la visibilité de votre site Internet.


9 thoughts on “Des blogs WordPress piratés ?

  1. Reply Cédric Avr 19,2013 20 h 43 min

    Pour renforcer la sécurité, j’ai aussi entendu parler de la possibilité de sécuriser l’accès à l’interface d’administration en amont grâce au .htaccess. Cette solution me paraît plutôt intéressante par les temps qui courent. Un petit tuto rapide m’intéresserait bien, je suis sûr que quelqu’un a déjà fait ça …

    • Reply Tony Avr 22,2013 12 h 33 min

      Salut Cédric,

      Effectivement le couple .htaccess / .htpasswd peut permettre de protéger l’accès à un dossier sur ton serveur, dans le cas de WP ce serait le dossier « admin ». Cela t’imposera par contre d’avoir 2 authentifications pour accéder au BackOffice, c’est le parallèle entre la sécurité et la contrainte que je soulevais plus haut.

      Si tu cherches un bon tuto à ce sujet, il y en a un sur le site du zéro 😉

  2. Reply Matthieu Avr 24,2013 11 h 37 min

    Je vous conseille d’installer le plugin Limit Login Attempts. Ca permet de bloquer une IP pour 24h après un certain nombres d’essais infructueux pour se logger à l’interface admin.

    Et si vous voyez que cette IP insiste un peu trop, bloquez là via .htaccess 😉

  3. Reply Yoav Avr 24,2013 11 h 39 min

    Excellent article. Toujours bien de revoir les bases. Sur notre site communautaire, je suis passé à ce service en ligne : incapsula.com C’est vraiment génial comme système. En avez-vous déjà entendu parler Tony ?

  4. Reply Tony Avr 24,2013 14 h 13 min

    @Matthieu : Effectivement, ce plugin (qui est plutôt bien réalisé) peut aider à protéger l’accès à l’admin de WP, même s’il reste aisé de modifier son adresse IP en quelques secondes et sans outil spécifique 🙂

    @Yoav : Sauf erreur de ma part, incapsula fonctionne sur le principe de passerelle DNS, cela vise à sécuriser le serveur (la machine) sur laquelle se trouve le site en le protégeant des attaques DDOS en autre, mais je ne vois pas en quoi cela sécurise l’accès à l’administration du site par contre.

  5. Reply Yoav Avr 25,2013 7 h 16 min

    @Tony : oui et non. Son fonctionnement vise à protéger le serveur mais aussi à filtre le trafic et justement, c’est là que ça importe au pour les webmasters. Le réseau d’Incapsula bloque toutes les requêtes connus comme les bad bots et autres robots spammers. Ajoutons à celà, dans les offres payantes, un filtrage intelligent qui lui va scanner et bloquer toutes requêtes s’attaquant aux pages, testant des failles de sécurité, de logiciels connus utilisés par les hackers, etc. Sur mon WordPress, 2 tentatives ont été stoppées sur le wp-login.

  6. Reply Sam Mai 30,2013 15 h 50 min

    Merci pour cet article instructif, très utile pour un utilisateur débutant comme moi. Maintenant je sais quoi faire avec ces pirates même si c’est sûr que je vais encore avoir du mal à manipuler tous ces techniques.

  7. Reply Rafaelcolombiano Sep 5,2013 18 h 29 min

    Salut Tony,

    Merci pour ton article qui est très intéressant.
    Je viens de faire la découverte que mon blog vient d’être hacké et j’ai écris à mon hébergeur (carrefourinternet) qui est toujours très long à répondre. Est-ce qu’il y a quelque chose que je peux faire avant d’avoir leur réponse pour accéder à nouveau à mon blog ou faut-il que j’en ouvre un autre totalement avec mes sauvegardes ? Qu’en penses-tu ? Désolé de te déranger mais franchement je suis perdu et ‘aurai vraiment besoin de travailler dessus rapidement.

    Mon blog est : http://www.parisblogota.com

    Merci par avance pour ton analyse sur mon problème

    Rafaelcolombiano

  8. Reply Christophe SEO internet Oct 21,2013 18 h 38 min

    Il y a de bons plug in qui sécurisent bien votre admin de WordPress et aussi la sauvegarde journalière de votre base SQL.
    J’en ai un en tête c’est Better WP Security qui est vraiment super !!!
    Il redirige vers une autre page d’admin, gère les erreurs 404, fait des backup etc etc 😀

Leave a Reply