Clicky

Attention, une attaque vise actuellement les sites WordPress

Ce week-end sera apparemment moins calme que prévu. Cela ne vous aura sans doute pas échappé, une terrible attaque est actuellement en cours, une attaque qui vise tous les sites et tous les blogs animés par l’un des CMS les plus populaires au monde, soit ce bon vieux WordPress. Bien qu’on ne connaisse pas encore tous les détails de cette attaque de grande envergure, il semblerait que cette dernière s’appuie sur une méthode dite de « brute force ». En gros, donc, de vilains lamers tentent d’accéder à nos sites en s’attaquant à nos pauvres comptes « admin » et en testant des centaines de combinaisons afin de trouver leur mot de passe. Pas super sympa, certes, mais sachez qu’il existe quelques solutions toutes simples pour protéger nos sites et nos blogs, des méthodes que nous allons passer en revue dans la suite de cet article.

Avant toute chose, il faut préciser que l’objectif de ce billet n’est pas de dresser une liste exhaustive de toutes les méthodes permettant de sécuriser un site WordPress. En réalité, nous allons surtout nous concentrer sur trois astuces toutes simples et qui vous permettront de tenir tête face à ce type d’attaque. Tout l’intérêt de la chose étant qu’il n’est pas nécessaire d’être un tueur en informatique pour les mettre en place, elles sont effectivement à la portée de n’importe qui, y compris des néophytes.

Sécuriser WordPress en 3 étapes

Sécuriser WordPress, ce n’est pas forcément compliqué et voici trois astuces pour vous aider.

Supprimer le compte « admin »

Comme mentionné un peu plus haut, cette attaque se base sur le compte « admin » créé par défaut sur une installation WordPress. La première chose à faire va donc être de nous débarrasser de ce dernier. Comment ? Tout simplement en suivant les étapes suivantes :

  • Connectez-vous à votre WordPress avec le compte « admin ».
  • Rendez vous dans le menu « Utilisateurs » puis « Ajouter ».
  • Créez un nouveau compte administrateur avec un autre identifiant.
  • Déconnectez-vous de WordPress.
  • Reconnectez-vous avec votre nouveau compte administrateur.
  • Rendez vous dans le menu « Utilisateurs » puis « Tous les utilisateurs ».
  • Placez le curseur de la souris sur la ligne de votre compte « admin ».
  • Cliquez sur le lien « Supprimer ».
  • Transférez la paternité de tous les articles vers votre nouveau compte.

Rien qu’avec ça, vous allez pouvoir commencer à vous détendre. La suppression de votre compte « admin » vous permettra d’esquiver la plupart des attaques de ce type. Toutefois, ce n’est pas une raison pour en rester là, évidemment, et vous pouvez donc mettre en place ces autres astuces.

Trouver un mot de passe compliqué

Il n’y a pas de mystère, pour qu’un compte soit bien protégé, il est important de bien choisir son mot de passe. Plus il sera compliqué, et plus il sera difficile à trouver. En outre, il ne faut pas non plus s’endormir sur ses lauriers et il est ainsi préférable de le changer régulièrement pour éviter tout problème. Le truc, évidemment, c’est de trouver un mot de passe compliqué et qui soit, en plus, facile à retenir.

Chacun voit midi à sa porte, mais en ce qui me concerne, je procède toujours de la même façon :

  • Je trouve une phrase clé et facile à retenir, comme « ma maison est rose ».
  • Je retiens les premières lettres de chaque mot, ce qui donne « mmer ».
  • Je trouve une seconde phrase clé, comme « j’aime les pommes vertes ».
  • Je retiens les premières lettres de chaque mot, ce qui donne « jalpv ».
  • Je sépare les deux séquences par une suite de caractères spéciaux.
  • J’obtiens quelque chose du genre « mmer,;:=jalpv ».
  • J’ajoute quelques chiffres importants pour moi au début et à la fin du code.
  • J’obtiens quelque chose du genre « 070607mmer,;:=jalpv270713 ».

Le truc intéressant, avec cette méthode, c’est qu’on va obtenir un mot de passe très difficile à trouver, y compris en s’appuyant sur les dictionnaires utilisés en « brute force », mais que l’on pourra retrouver très facilement en cas de problème. Alors bien sûr, je n’utilise pas forcément ce genre de mot de passe sur tous les comptes. En réalité, j’alterne entre trois jeux de mot de passe : un pour les comptes peu importants, un pour les comptes un peu plus importants et un dernier pour les comptes très importants.

Alors bien sûr, ma méthode n’est pas forcément parfaite, mais elle a le mérite de bien fonctionner. Si vous avez d’autres astuces, ou même des conseils, les commentaires sont là pour ça.

Utiliser Google Authenticator

Cela fait quelques années que Google a activé l’identification en deux temps, et pas mal d’autres boites ont d’ailleurs suivi dans la foulée. Si vous n’êtes pas coutumier de la chose, on peut rappeler que cette technique repose en réalité sur deux codes : votre mot de passe d’un côté, et un code généré directement par la firme. Le truc intéressant, c’est que ce dernier change en plus à intervalle régulier, il est donc très difficile à trouver pour quelqu’un de l’extérieur.

Or justement, il existe sur WordPress une extension qui exploite cette technologie, une extension qui s’appelle Google Authenticator et qui va tout simplement vous permettre d’activer l’authentification en deux temps sur votre site ou sur votre blog. Ainsi, lorsque vous devrez vous identifier à votre « back-office », vous devrez indiquer votre nom d’utilisateur, votre mot de passe et ce fameux code généré par Google.

Pour installer Google Authenticator sur WordPress, suivez les étapes suivantes :

  • Connectez-vous à votre WordPress.
  • Allez dans le menu « Extensions » puis sur « Ajouter ».
  • Saisissez « Google Authenticator » dans le champ de recherche.
  • Installez l’extension et activez la.
  • Allez dans le menu « Utilisateurs » et sur « Tous les utilisateurs ».
  • Placez le curseur de la souris sur votre compte, cliquez sur le lien « Modifier ».
  • Descendez jusqu’à la zone nommée « Google Authenticator Settings ».
  • Cochez la case pour activer l’option.
  • Cliquez sur le bouton « Show/Hide QRCode ».
  • Prenez votre smartphone ou votre tablette tactile en main.
  • Ouvrez la boutique intégrée.
  • Recherchez et installez l’application « Google Authenticator ».
  • Démarrez l’application.
  • Cliquez sur le petit « + » situé en haut à droite.
  • Appuyez sur le bouton « Lire le code barres ».
  • Flashez le QR Code affiché par WordPress.

Voilà, c’est tout. Ensuite, lorsque vous voudrez vous connectez à votre WordPress et que ce dernier vous demandera le fameux code de Google, il vous suffira de lancer l’application mobile dédiée et de saisir le numéro qui s’affiche dans le champ de votre WordPress. Notez d’ailleurs que l’on trouve également quelques extensions qui proposent la même chose pour nos gentils navigateurs, je pense notamment à GAuth Authenticator sur Google Chrome.

Alors bien sûr, je ne peux pas vous promettre que ces trois astuces vous protégeront à 100% contre toutes les attaques visant votre site ou votre blog, mais elles devraient quand même renforcer la sécurité de ce dernier. Après, comme indiqué un peu plus haut, si vous avez d’autres astuces à partager, les commentaires sont là pour ça.

Fred

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.