Download - Sécuriser un site Wordpress
Sécuriser un site
WordPress
WordPress Algérie
La Semaine Du Web - 2013
SLIMANI Nour El Houda
WordPress Algérie
La Semaine Du Web - 2013 Sommaire• Introduction• Raisons pour pirater un site• Les risques les plus connus• Techniques de base pour sécuriser un
site WordPress– Lors de l’installation– Après l’installation– Plugins requis
• Conclusion
Introduction• Saviez-vous que WordPress est le CMS open
source le plus utilisé au monde ? • Environ 15% des sites internet dans le monde
s’en servent.• Qui dit succès, dit revers de la médaille! Il est
donc nécessaire de se protéger le mieux possible.• WordPress est un logiciel de gestion de contenu
très sécuritaire mais qu’aucun système même très protégé n’est infaillible.
• La sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans n’importe quel domaine.
WordPress Algérie
La Semaine Du Web - 2013
Le problème du hacking est sans
fin !
WordPress Algérie
La Semaine Du Web - 2013
The web site whose URL is written in this note shall be hacked !
WordPress Algérie
La Semaine Du Web - 2013
WordPress Algérie
La Semaine Du Web - 2013
Si mon site se fait pirater, je le saurai assez rapidement ??
WordPress Algérie
La Semaine Du Web - 2013
Les causes les plus fréquentes de la vulnérabilité des blogs Wordpress
• Version Wordpress obsolète• Installation de thèmes et plugins
douteux.• Le niveau de sécurité faible du mot
de passe.• Accès FTP volés.• Problèmes de sécurité avec
l’hébergeur
WordPress Algérie
La Semaine Du Web - 2013Raisons pour pirater un
site• La redirection du trafic vers d’autres
sites.• L’utilisation du site pour voler les
informations critiques.• L’insertion de liens de spams dans le
contenu du site en question (articles et commentaires) pour améliorer le référencement de leurs sites.
• Tant que vous avez un site wordpress, il y aura toujours des raisons de vous faire pirater.
• Just for the fun :p
Sécuriser votre site WordPress n’est pas
une affaire de spécialiste !
Ups !
SÉCURISER WORDPRESS :
COMMENT FAIRE ?
Tout le monde n'a pas forcément les compétences techniques pour trouver les failles de son site ni savoir les combler afin de dormir sur ses 2 oreilles.
WordPress Algérie
La Semaine Du Web - 2013
Sécuriser Wordpress: Quelques clefs pour
améliorer la protection de votre plate-forme Web.
Niveau=0;Niveau Facile
WordPress Algérie
La Semaine Du Web - 2013
Sécuriser Wordpress:
Dès l’installation : il faut se préparer au pire !
Mieux vaut prévenir que guérir !
Compte Admin : Eliminer le maillon faible!
WordPress Algérie
La Semaine Du Web - 2013
Virez moi ce « Admi
n »
Compte Admin
• Admin est le maillon faible des utilisateurs de Wordpress.
• Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre des bâtons dans les roues à ceux qui veulent vous nuire !
• Si vous manquez d'inspiration : Le plugin Wordpress Google Authenticator ;)
WordPress Algérie
La Semaine Du Web - 2013
I.2 Mot de passe• Disposer d’un mot de passe d’au moins 8 caractères
incluant :– Majuscules & Miniscules– Des chiffres ;– Des symboles spéciaux ;
• Blindez le mot de passe dans le genre « jesuis_*_sur=que@tu&nele|trouveras$pas »
• Laissez faire votre imagination ou un générateur de mot de passe!
• Évitez toute donnée faisant référence à votre vie personnelle
• Plugin Limit Login Attempts : limiter le nombre de tentatives dans un temps donné (ex : 3 tentatives toutes les 10minutes.
WordPress Algérie
La Semaine Du Web - 2013
WordPress Algérie
La Semaine Du Web - 2013
I.3 Préfixes de tables : Protéger sa base de données
• Modifiez vos préfixes de tables à l’installation, au lieu de wp_ préférez un truc du genre : « commenttuvasgalerer_ »
• Renforcer la sécurité de votre BDD d’injections SQL qui peuvent transformer votre blog en ferme de lien.
• Plugin WP Security Scan permet de renommer le préfixe.
Once the installation process is complete there is still quite a
bit of work to be done securing WordPress.
WordPress Algérie
La Semaine Du Web - 2013
Archivez, Archivez, Archivez !
WordPress Algérie
La Semaine Du Web - 2013
Archivage et sauvegarde
• Même si on a beau bien se protéger, notre vie peut prendre une tournure différente ! Backup, Backup, Backup !
• Faut toujours avoir un plan de sauvegarde et de restauration.
• Avant toute intervention, faites des backup régulièrement de votre site WordPress– Votre base de données MySQL ;– Votre compte FTP ;
WordPress Algérie
La Semaine Du Web - 2013
Archivage et sauvegarde : WP-DB-Backup
• Sauvegarder la base de données WordPress
• Choisir les tables à sauvegarder, • Recevoir les tables par eMail,• La base de données pourra être
réinjectée à distance elle aussi.
WordPress Algérie
La Semaine Du Web - 2013
More ?
Si seulement …• Sauvegarder Wordpress dans son intégralité (Base de
données+ fichiers), • L’envoyer par mail• Sur FTP ( dans un dossier de sauvegarde)• Soit dans un autre FTP (plus malin je trouve ^^)• Vers DropBox: Recevoir chaque {mois|semaine|jour|heure}
une sauvegarde du FTP sur mon bureau dans le dossier DropBox de mon Ordi donc même si le pirate met le feu chez moi, OSEF :p je pourrai tjrs récupérer ma sauvegarde.
• Et pourquoi pas d’autres options en plus :p ? Juste pour la beauté de mes yeux , hein ?? J’ai le droit de rêver au final :p
• Avant que j’oublie … Faut qu’il soit gratuit comme on les aime ;)
WordPress Algérie
La Semaine Du Web - 2013
Tout est désormais possible
Don’t worry ! :p
BackWPup• Plugin de sauvegarde le plus complet• Sauvegarde de la Base de données• Export articles et pages en XML• Optimisation et réparation de la Base de données• Sauvegarde des fichiers et répertoires• Backup aux formats zip, tar, tar.gz, tar.bz2• Sauvegarde envoyée sur votre
serveur FTP, Amazon S3, Google Storage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync...
• Envoi des logs et backups sur votre email
WordPress Algérie
La Semaine Du Web - 2013
What else ?
WordPress Algérie
La Semaine Du Web - 2013Installation des
extensions & plugins• N’installez pas n’importe quoi sur votre site : • Préférez les extensions proposées par
le site officiel de WordPress• Favoriser ceux qui ont des mises à jours régulière
et faites les ces mises à jour, • Choisissez les extensions qui ont un nombre de
vote (et de votant) très bon• Un plugin qui n’est pas souvent mis à jour peut
contenir des failles de sécurité.• Informez-vous sur les rapports de bug et failles
de sécurité desdits plugins.
WordPress Algérie
La Semaine Du Web - 2013Mise à jour extensions et
version WordpressLa mise à jour de son blog peut donner quelques sueurs froides mais le piratage de votre blog pourrait vous donner un mal de tête bien plus conséquent !!!
• Tenir à jour votre architecture WordPress et vos extensions,
• Tenez vous également au courant des mises à jour de votre thème…Et appliquez les ;)
WordPress Algérie
La Semaine Du Web - 2013
• Avoir un mot de passe digne de ce nom.• Sachez convenablement organiser votre thème• Protéger repertoires sensibles– Regle générale : 755 pour les folders & 644 pour les
files,– .htaccess : Options All –Indexes
• Améliorer encore la sécurité avec le plugin «Ask Apache ».– Protéger le dossier wp-admin par une authentification
au niveau du serveur.– Désactiver les liens malveillants et l’accès direct aux
répertoires wp-content et wp-includes
WordPress Algérie
La Semaine Du Web - 2013Protéger les accès à Wordpress
et ses répertoires
Niveau ++;Niveau Intermédiaire
WordPress Algérie
La Semaine Du Web - 2013
Niveau intermédiaire
• Prendre toutes les précautions nécessaire à la protection de votre site, c’est bien.
Mais • Ne pas exposer vos données
sensibles aux grand soleil, c’est encore mieux.
WordPress Algérie
La Semaine Du Web - 2013
Suppression du fichier readme.html
• Placé à la racine de votre site, ce fichier contient la version WordPress de votre site,
(testez avec www.votresite.com/readme.html).
Chouchoutez vos fichiers sensibles !
• “wp-config.php” • “.htaccess”
WordPress Algérie
La Semaine Du Web - 2013
Protéger wp-config.php• Erreurs PHP qui offrent l’accès au fichier wp-
config.php
• Le fichier wp-config.php peut-être protégé par des clés de sécurité alors pourquoi s’en priver ?
• Générer et y insérez les grâce au lien :https://api.wordpress.org/secret-key/1.1/salt/
• Reconnecter sur vos bloc après cette manipulation
WordPress Algérie
La Semaine Du Web - 2013
Exemple de clefs d’authentification et salage
WordPress Algérie
La Semaine Du Web - 2013
WordPress Algérie
La Semaine Du Web - 2013Protéger .htaccess
• Restreindre les droits d’accès au seul propriétaire– A partir d’un navigateur FTP ( ex:
Filezilla)« Droit d’accès au fichier » => 644
– Grâce à WP Security Scan
• Protégez votre fichier .htaccess
WordPress Algérie
Masquez votre version !!
Mais pourquoi ?
Masquez votre version• Editer le fichier functions.php : présent dans
votre thème (dans /wp-content/themes/VotreTheme) et ajouter:
• Editer le fichier header.php en supprimant la ligne :
• Autre alternative : l’extension Better security WP.• Jouer avec vos assaillants en leur mentant sur la
version que vous utilisez avec le plugin Replace WP-Version ;)
WordPress Algérie
La Semaine Du Web - 2013
Empêcher les attaques par Brute Forcing :
• Bloquer les tentatives multiples de connexions au panneau d’administration
• Remédier à cela en utilisant le plugin Login LockDown .
WordPress Algérie
La Semaine Du Web - 2013
Limiter le nombre de tentatives de connexions
• Blocage par adresse IP ne sera pas efficace
• Une meilleure alternative consiste à activer une authentification en 2 temps (2-factor authentication) :
• Plugin pour le mettre en place rapidement sur votre site : Google Authenticator.
WordPress Algérie
La Semaine Du Web - 2013
Désactiver Windows Live Writer ) :
• WordPress vous offres la possibilité de publier vos articles via Windows Live Writer.
• Supprimer les lignes indésirables
• Editer le fichier functions.php:
WordPress Algérie
La Semaine Du Web - 2013
Une ligne de code suspecte se cache ici !
Attention à failles TimThumb
• Script TimThumb .• Ré-écrire le fichier .htaccess• Le plugin TimThumb Vulnerability
WordPress Algérie
La Semaine Du Web - 2013
WordPress Algérie
La Semaine Du Web - 2013
Quelques précautions supplémentaires
• Ne laisser aucune donnée sensible dans wp-content ! – Ex: L’archive de base de données que
certains plugins comme WP-backup le stockent dans wp-content.
• Supprimer tous les utilisateurs inactifs à fort pouvoir (administrateur).
WordPress Algérie
La Semaine Du Web - 2013Des plugins à votre
secours !• Better WP Security• WP-Scurity Scan• TAC (Theme Authenticity Checker)
Niveau ++;Niveau Expert
Masquer les erreurs de connexion
• Renforcer la sécurité en masquant les erreurs de connexion affichés lors de tentative infructueuse.
=> Eviter de divulguer les messages aux yeux de tous • Editer le fichier functions.php de votre
thème et d’y ajouter:
• Recommencer cette manipulation Si vous changiez de thème.
WordPress Algérie
La Semaine Du Web - 2013
Autres plugins
Antivirus pour Wordpress: Wordfence
• Gratuit & Puissant• Analyse en profondeur un site
Wordpress• Accès au fichier incriminé pour
rapidement faire le ménage• Visualiseur géolocalisé et en direct
du trafic de votre site
WordPress Algérie
La Semaine Du Web - 2013
Anti-Malware (Get Off Malicious Scripts)
• Anti-Malware/Anti-virus Plugin• Solution prometteuse !
WordPress Algérie
La Semaine Du Web - 2013
Theme check
• Utilitaire simple et efficace pour analyser votre thème
• Un très bon outil
WordPress Algérie
La Semaine Du Web - 2013
WordPress Firewall 2• Bloquer les directory traversals• Bloquer les requêtes d’injection SQL• Bloquer les termes spécifiques ( wp_, user_login,
etc.)• Bloquer l’upload de fichier .exe, .php• Avertir par mail en cas de tentatives d’attaques• Rediriger les attaques vers une page 404 ou la page
d’accueil• Et bien d’autres fonctionnalités que je vous laisse
découvrir….
WordPress Algérie
La Semaine Du Web - 2013
WordPress Algérie
La Semaine Du Web - 2013
C’est la vie !
• En dépit de toutes précautions le risque ne sera jamais nul ! le risque zéro n'existe pas...
• Pour prévenir toute mauvaise surprise, il convient de faire des backups régulièrement.
• Le plugin WP-Database Backup est une bonne solution !
WordPress AlgérieLa Semaine Du Web - 2013
SLIMANI Nour EL Houda
PhD Student at Laboratory of Research in Artificial Intelligence LRIA, USTHB.
Wordpress Member
Web developper
Just Me ;)
WordPress