Clicky

Attention, une attaque vise actuellement les sites WordPress

Ce week-end sera apparemment moins calme que prévu. Cela ne vous aura sans doute pas échappé, une terrible attaque est actuellement en cours, une attaque qui vise tous les sites et tous les blogs animés par l’un des CMS les plus populaires au monde, soit ce bon vieux WordPress. Bien qu’on ne connaisse pas encore tous les détails de cette attaque de grande envergure, il semblerait que cette dernière s’appuie sur une méthode dite de « brute force ». En gros, donc, de vilains lamers tentent d’accéder à nos sites en s’attaquant à nos pauvres comptes « admin » et en testant des centaines de combinaisons afin de trouver leur mot de passe. Pas super sympa, certes, mais sachez qu’il existe quelques solutions toutes simples pour protéger nos sites et nos blogs, des méthodes que nous allons passer en revue dans la suite de cet article.

Avant toute chose, il faut préciser que l’objectif de ce billet n’est pas de dresser une liste exhaustive de toutes les méthodes permettant de sécuriser un site WordPress. En réalité, nous allons surtout nous concentrer sur trois astuces toutes simples et qui vous permettront de tenir tête face à ce type d’attaque. Tout l’intérêt de la chose étant qu’il n’est pas nécessaire d’être un tueur en informatique pour les mettre en place, elles sont effectivement à la portée de n’importe qui, y compris des néophytes.

Sécuriser WordPress en 3 étapes

Sécuriser WordPress, ce n’est pas forcément compliqué et voici trois astuces pour vous aider.

Supprimer le compte « admin »

Comme mentionné un peu plus haut, cette attaque se base sur le compte « admin » créé par défaut sur une installation WordPress. La première chose à faire va donc être de nous débarrasser de ce dernier. Comment ? Tout simplement en suivant les étapes suivantes :

  • Connectez-vous à votre WordPress avec le compte « admin ».
  • Rendez vous dans le menu « Utilisateurs » puis « Ajouter ».
  • Créez un nouveau compte administrateur avec un autre identifiant.
  • Déconnectez-vous de WordPress.
  • Reconnectez-vous avec votre nouveau compte administrateur.
  • Rendez vous dans le menu « Utilisateurs » puis « Tous les utilisateurs ».
  • Placez le curseur de la souris sur la ligne de votre compte « admin ».
  • Cliquez sur le lien « Supprimer ».
  • Transférez la paternité de tous les articles vers votre nouveau compte.

Rien qu’avec ça, vous allez pouvoir commencer à vous détendre. La suppression de votre compte « admin » vous permettra d’esquiver la plupart des attaques de ce type. Toutefois, ce n’est pas une raison pour en rester là, évidemment, et vous pouvez donc mettre en place ces autres astuces.

Trouver un mot de passe compliqué

Il n’y a pas de mystère, pour qu’un compte soit bien protégé, il est important de bien choisir son mot de passe. Plus il sera compliqué, et plus il sera difficile à trouver. En outre, il ne faut pas non plus s’endormir sur ses lauriers et il est ainsi préférable de le changer régulièrement pour éviter tout problème. Le truc, évidemment, c’est de trouver un mot de passe compliqué et qui soit, en plus, facile à retenir.

Chacun voit midi à sa porte, mais en ce qui me concerne, je procède toujours de la même façon :

  • Je trouve une phrase clé et facile à retenir, comme « ma maison est rose ».
  • Je retiens les premières lettres de chaque mot, ce qui donne « mmer ».
  • Je trouve une seconde phrase clé, comme « j’aime les pommes vertes ».
  • Je retiens les premières lettres de chaque mot, ce qui donne « jalpv ».
  • Je sépare les deux séquences par une suite de caractères spéciaux.
  • J’obtiens quelque chose du genre « mmer,;:=jalpv ».
  • J’ajoute quelques chiffres importants pour moi au début et à la fin du code.
  • J’obtiens quelque chose du genre « 070607mmer,;:=jalpv270713 ».

Le truc intéressant, avec cette méthode, c’est qu’on va obtenir un mot de passe très difficile à trouver, y compris en s’appuyant sur les dictionnaires utilisés en « brute force », mais que l’on pourra retrouver très facilement en cas de problème. Alors bien sûr, je n’utilise pas forcément ce genre de mot de passe sur tous les comptes. En réalité, j’alterne entre trois jeux de mot de passe : un pour les comptes peu importants, un pour les comptes un peu plus importants et un dernier pour les comptes très importants.

Alors bien sûr, ma méthode n’est pas forcément parfaite, mais elle a le mérite de bien fonctionner. Si vous avez d’autres astuces, ou même des conseils, les commentaires sont là pour ça.

Utiliser Google Authenticator

Cela fait quelques années que Google a activé l’identification en deux temps, et pas mal d’autres boites ont d’ailleurs suivi dans la foulée. Si vous n’êtes pas coutumier de la chose, on peut rappeler que cette technique repose en réalité sur deux codes : votre mot de passe d’un côté, et un code généré directement par la firme. Le truc intéressant, c’est que ce dernier change en plus à intervalle régulier, il est donc très difficile à trouver pour quelqu’un de l’extérieur.

Or justement, il existe sur WordPress une extension qui exploite cette technologie, une extension qui s’appelle Google Authenticator et qui va tout simplement vous permettre d’activer l’authentification en deux temps sur votre site ou sur votre blog. Ainsi, lorsque vous devrez vous identifier à votre « back-office », vous devrez indiquer votre nom d’utilisateur, votre mot de passe et ce fameux code généré par Google.

Pour installer Google Authenticator sur WordPress, suivez les étapes suivantes :

  • Connectez-vous à votre WordPress.
  • Allez dans le menu « Extensions » puis sur « Ajouter ».
  • Saisissez « Google Authenticator » dans le champ de recherche.
  • Installez l’extension et activez la.
  • Allez dans le menu « Utilisateurs » et sur « Tous les utilisateurs ».
  • Placez le curseur de la souris sur votre compte, cliquez sur le lien « Modifier ».
  • Descendez jusqu’à la zone nommée « Google Authenticator Settings ».
  • Cochez la case pour activer l’option.
  • Cliquez sur le bouton « Show/Hide QRCode ».
  • Prenez votre smartphone ou votre tablette tactile en main.
  • Ouvrez la boutique intégrée.
  • Recherchez et installez l’application « Google Authenticator ».
  • Démarrez l’application.
  • Cliquez sur le petit « + » situé en haut à droite.
  • Appuyez sur le bouton « Lire le code barres ».
  • Flashez le QR Code affiché par WordPress.

Voilà, c’est tout. Ensuite, lorsque vous voudrez vous connectez à votre WordPress et que ce dernier vous demandera le fameux code de Google, il vous suffira de lancer l’application mobile dédiée et de saisir le numéro qui s’affiche dans le champ de votre WordPress. Notez d’ailleurs que l’on trouve également quelques extensions qui proposent la même chose pour nos gentils navigateurs, je pense notamment à GAuth Authenticator sur Google Chrome.

Alors bien sûr, je ne peux pas vous promettre que ces trois astuces vous protégeront à 100% contre toutes les attaques visant votre site ou votre blog, mais elles devraient quand même renforcer la sécurité de ce dernier. Après, comme indiqué un peu plus haut, si vous avez d’autres astuces à partager, les commentaires sont là pour ça.

Share this post

Frédéric Pereira

Floodeur compulsif, est très actif sur Twitter ou encore sur Facebook. Sachez en outre que la Fredzone a une page sur Google+.

  • Ull

    Mais ensuite tu le récup comment le compte admin?

    • Oz

      Tu le récupères pas. Tu n’en as pas besoin. C’est ton nouveau compte le compte admin. Sauf qu’il ne s’appelle pas admin. Malin, non?

      • Ull

        Ok j’avais mal compris, j’ai cru que le nouveau compte n’était pas administrateur, ce qui peut ne pas être pratique ^^

  • androsyn

    Ou sinon un bon vieux htaccess qui n’authorise que son adresse ip à accéder à l’administrationdevrait faire l’affaire non?

    • Beaucoup de sites sous wordpress sont alimentés par des auteurs en mobilité, qui bossent de chez eux, en déplacement, etc. La limitation par IP ne peut pas fonctionner dans ce cas.

    • Le problème c’est que si tu veux administrer ton site en vacances ou de chez quelqu’un d’autre, tu est jeté comme un malpropre!

    • ben.

      Et même si tu bouges pas de chez toi, j’espère que t’as une IP fixe.

  • Pour le mot de passe, rien de mieux que 1Password dispo sur toutes les plateformes + extensions sur les navigateurs. Il y a un générateur de mot-clé très efficace avec des options, le reste permet ensuite d’enregistrer le couple user / pwd.

  • Jhon

    Petit plugin sympa aussi, simple à installer et à configurer ! http://wordpress.org/extend/plugins/limit-login-attempts/

    • jhon

      Bon j’ai été lire plusieurs autres articles en anglais, ce plugin vous aidera pas beaucoup au final car ils ont des milliers d’ip’s différentes.

      Par contre ce que je n’ai pas trouvé c’est: est-ce qu’ils s’attaquent uniquement aux site comprenant l’extension .wordpress.com ou également les noms de domaines perso avec hébergement perso?

      • J’utilise le plugin « Limit Login Attempts » et il est excellent !

        Déjà, on est informé qu’il y a eu tentative d’intrusion, ensuite on sait comment l’on a essayé de prendre le contrôle, le nom de l’admin et l’adresse IP.

        Ces attaques ne semblent pas coordonnées, elles apparaissent être le fait d’individus et non de machines zombi, un robot serait plus systématique.

        Enfin, après peu de tentatives, Limit Login Attempts bloque l’identification pendant 1h puis 24h (paramétrable en nombre de tentatives et en délais de blocage, cela refroidit vite les prétendants pirates.
        Je vous recommande chaudement ce plugin, mais durcissez votre mot de passe et considérez votre nom d’administrateur comme un mot de passe en mélangeant majuscules et minuscules plus des chiffres ou des symboles.

        Enfin, on reste autonome, s’en remettre à Google, c’est toujours un peu une démission.

  • lemany coulibaly

    merci c’est sympa !

  • franckwylliams

    Bonjour,

    En plus d’un bon mot de passe, tant qu’a installer un plugin installer Limit Login Attemps qui rendra inefficace l’essai de mot de passe plusieurs fois de suite;
    Amicalement

  • Lemscool

    Ben voilà qui est fait ! Tentative cette nuit avec zéro dommage et notification de mon hébergeur.

  • Alksyntrs

    Difficile de modifier quoi que ce soit lorsque l’on ne peut plus se connecter depuis 2 jours! Je veux bien complexifier mon mot de passe mais je n’ai plus accès! Je n’ai droit qu’à ceci:

    We apologize for the inconvenience but your WordPress Login page has
    been temporarily disabled. You are seeing this page as your site has
    recently been the target of a brute-force attack
    attempting to gain access to your WordPress Dashboard. In order to
    secure your site and prevent attackers from gaining access to your data,
    you will be unable to login to the Dashboard until the block expires.
    For more information please see our support site

  • Pingback: Attention, une attaque vise actuellement les sites WordPress | Astuces Marketing()

  • La connexion au back office se fait grâce à la combinaison identifiant / mot de passe.
    L’identifiant par défaut « admin » facilite la tâche des intrusifs puisqu’une des 2 données est connue.

    Pour aller encore un peu plus loin, je suggère aux webmasters de remplir le champ « Pseudonyme » avec un nom différent de l’identifiant et de choisir ce dernier comme « Nom à afficher publiquement ».

    Ainsi, votre identifiant n’est pas visible sur votre site.

  • Ricoclic

    La sécurité ne peut que reposer sur un ensemble de précautions, un compte admin avec un autre identifiant que le « admin » par défaut, mais aussi pas de « superuser, root …  » qui sont des classiques. Utilisation d’un mot de passe robuste avec mélange de caractères spéciaux, dans votre profil, toujours utiliser un identifiant de connexion différent du pseudo visible par le public, pour éviter les tentatives de connexion sous votre pseudo.et limitation du nombre de connexions par IP.

    L’association de ces techniques donne une très bonne résistance à de nombreuses attaques.
    Pour ma part, sur 4 sites attaqués depuis 2 jours, aucun n’a été pris en défaut. Et le nombre d’adresses IP n’est pas si élevé que ça; sur 4 sites comme cibles, il n’y a que 31 IP différentes d’utilisées même si bloquées plusieurs fois.
    Après un temps d’observation, il deviendra possible d’utiliser le htaccess pour bloquer ces ip en amont, de façon stable sans consommer de ressources sur wp.

  • lian00

    Un petit plugin de limitation de tentatives de connexion fait bien l’affaire contre ce genre d’attaques. Mais les conseils donnés sont loin d’être idiots.

  • madoudie

    Bon je viens de lire cet article…

    En ce qui me concerne…j’ai un site privé ouvert qu’à la famille.
    J’ai changé mon compte admin…mon pseudo est différent, installer wp security scan, wp private blog, et friends only.

    Mais Comment peut-on savoir si notre site a subi une attaque ?

    Merci

  • Totalwarrior

    Pas mal !

    Mais, j’ajoute ceci.

    Plugins (2 firewalls qui se complètes + un truc sympa)

    1. Wordfence

    2. OSE firewall

    3. Bulletproof Security

    A paramétrer

    Pour les mots de passe, j’ai repéré des alphabets non latins pris en charge par UTF-8 (ex : cyrillique, hébreux, grecque…)et fait un mélange détonnant avec en plus des caractères spéciaux…

    Ils ont du boulots ;)

    Ils ont du boulot ;)

    • Totalwarrior

      Madoule, mes deux firewalls répondent à ta question, bien mettre ton email au paramétrage…

      Ah oui, pour les MP, Google traduction est votre meilleur ami

  • je pensais trouver une catégorie « WordPress » sur le site, étonné de voir cet article dans blogosphère.