Articles

QUE FAIRE LORSQUE SON BLOG WORDPRESS EST PIRATE ?

Lorsque Google detecte sur votre site du code malicieux, il le bloque illico presto. Les personnes qui tentent d y acceder auront un message indiquant que son acces a ete restreint a la suite du piratage de ce dernier. Votre site risque egalement de ne plus s’afficher dans les resultats des moteurs de recherche car il sera bloque. Et aussi votre hebergeur peut a tout moment fermer son acces pour cause de piratage. Bien entendu, il pourra le re-ouvrir si vous effectuez des actions de correction et que vous le prévenez !

JE PASSE A L ACTION : JE SECURISE

Comme dit le vieil adage : « Mieux vaut prévenir que guérir ! »

J’installe des nouvelles extensions

Pour installer une extension, voici un petit rappel :

* Connectez-vous sur l’interface d’administration de WordPress de votre site, l’URL est du style : http://www.monsite.com/wp-admin
* Puis allez dans Extensions > Ajouter
* Saisissez le nom ou le début du nom du plugin puis cliquez sur Chercher parmi les extensions.
1. Limit Login Attempts :

limit-login-atempts

Le premier réflexe à avoir est de bloquer l’accès à son interface d’administration. Par défaut, WordPress permet d’essayer sans aucune limite, des combinaisons de login et de mot de passe pour se connecter à son interface d’administration.

L’extension « Limit Login Attempts » permet de limiter le nombre de tentatives de connexion.

A noter que jusqu’à très récemment, il y avait un conflit entre l’extension « Captcha » et celle-ci. Depuis le 12/02 c’est de l’histoire ancienne.
2. Wordfence Security :

wordfence_security

C’est une extension gratuite et complète qui permet, entre autre, d’effectuer des scans sur son site et de voir s’il contient des fichiers vérolés. Dès son installation, activez-le et effectuez un scan. Si votre version de WordPress est française, il va vous détecter 3 fichiers (readme.html, wp-config-sample.html et wp-includes/version.php) qui ne sont en fait pas vérolés mais considérés comme tels en raison de la langue. Pour éviter de les voir à chaque scan, il suffit de lui dire de ne plus afficher ces « erreurs » en cliquant sur « Always ignore this file ». Si l’extension vous détecte plus d’erreurs alors vous savez que vous avez des fichiers corrompus à corriger ou à supprimer.
L’extension permet également de voir le trafic en temps réel des personnes qui sont sur votre site, de bloquer des adresses IP …
Personnellement ce que j’aime dans cette extension, c’est de recevoir les e-mails d’alertes deWordfence, notamment lorsqu’une personne se connecte à l’interface d’administration de mes sites ou encore lorsqu’un pirate a tenté de s’y introduire :
email_alert_plugin_wordfence

En 2 petites extensions, vous êtes un tant soit peu plus protégé. Maintenant, passons aux choses sérieuses !

JE SAUVEGARDE

Si vous n’avez pas accès au serveur FTP de votre site, ou que vous ne voulez pas vous embêter avec ça, vous pouvez effectuer une sauvegarde en quelques clics avec le plugin BackWPup Free qui permet de planifier des sauvegardes automatiques de votre site.

Il vous permet d’effectuer des sauvegardes complètes ou bien de spécifier uniquement ce que vous souhaitez sauvegarder. Vous pouvez même demander à ce que la sauvegarde soit envoyée sur votre serveur FTP ou sur un de vos comptes sur le Cloud (Dropbox, Google Drive, etc.).

Bien sûr, il existe d’autres plugins permettant de sauvegarder son site. L’article du site Magazine du WebDesign en présente quelques uns.

J’AI ACCÈS AU SERVEUR FTP, JE PASSE AU NIVEAU 2 DE LA SÉCURISATION DE MON SITE

htaccess

Pour y accéder, n’oubliez pas de demander d’afficher les fichiers cachés lorsque vous vous connectez à votre serveur FTP grâce à un logiciel tel que FileZilla, ou à un plugin pour votre navigateur tel que FireFTP. Le cas échéant, vous ne le verrez pas …

Afficher les fichiers cachés sur votre serveur FTP

Premier réflexe, pensez à sauvegarder la version précédente de ce fichier, elle vous sera utile si vous faite une erreur de code et que votre site affiche une jolie erreur 500.

Morceaux de code à rajouter en haut de votre fichier .htaccess (celui qui est à la racine de votre site) :

* Pour bloquer les requêtes trace, delete, debug et track envoyé à votre site :

1
2
3
4
# block bad request
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]

* Pour bloquer l’accès aux fichiers que les pirates adorent modifier/véroler :

1
2
3
4
5
6
7
8
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

* Pour cacher vos répertoires aux utilisateurs (ne pas lister ce que contient vos répertoires permet de ne pas donner toutes les billes aux pirates) :

1
2
# directory browsing
Options All -Indexes

* Pour protéger les fichiers de configuration de WordPress:

1
2
3
4
5
# 403 protect
<FilesMatch "^(wp-config.php|php.ini|php5.ini|readme.html|bb-config.php)">
Order Allow,Deny
Deny from all
</FilesMatch>

* Pour protéger le fichier .htaccess pour ne pas qu’un pirate puisse modifier ce fichier en effectuant par exemple une redirection de votre site vers le sien ou vers votre revendeur préféré de viagra :

1
2
3
4
5
# Secure .htaccess
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

Sécurisation du répertoire wp-content/uploads/ grâce à un fichier .htaccess :

Je vous invite à créer un fichier .htaccess dans le répertoire uploads (qui ne doit jamais contenir de fichier PHP) :

1
2
3
<Files *.php>
Deny from all
</Files>

Cette règle permet d’interdire l’exécution de fichier PHP, ce qui vous protégera des pirates qui tenteraient d’insérer une backdoor sur votre site.

functions.php

Dans l’interface d’administration de WordPress, vous pouvez modifier ce fichier en allant surApparence > Editeur et en cliquant sur Theme Functions.

Juste après le début du fichier « <?php », vous pourrez ajouter quelques lignes qui vont dire à WordPress de ne plus rendre accessible à n’importe qui, par exemple, la version que vous utilisez :

1
2
3
4
5
6
7
// masquer le numero de version de wordpress
remove_action('wp_head', 'wp_generator');
//desactiver windows live writer
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0 );
remove_action('wp_head', 'wp_dlmp_l10n_style' );
remove_action('wp_head', 'rsd_link');

Sans l’ajout de ces quelques lignes, les pirates peuvent connaître en moins d’une minute la version de votre installation. Il suffit d’aller sur votre site, de faire un clic droit et de cliquer sur « Afficher le code source ».
Si aucun plugin cachant la version de WordPress ou que les lignes de code ci-dessus n’ont pas été ajoutées dans les fonctions de votre thème, alors un pirate pourra y lire ceci :
Version de WordPress dans le code source

 

MON SITE S’EST DÉJÀ FAIT PIRATER, QUE DOIS-JE FAIRE ?

Avant tout, respirez, cela arrive de se faire pirater. Maintenant le plus important va être de retrousser ses manches et de suivre un petit tutoriel vous permettant de corriger les fichiers endommagés.
N’oubliez pas de sauvegarder votre site actuel. Si vous avez accès au serveur FTP, connectez-vous, et copiez l’ensemble des fichiers et répertoires que vous voyez, dans un répertoire sur votre PC. Si vous avez accès à l’interface d’administration de votre site, installez WPBackUP et effectuez une sauvegarde.
Si vous avez l’extension Wordfence Sécurity, vous pouvez effectuer un scan afin d’obtenir la liste des fichiers piratés. Pour chaque erreur trouvée par le plugin, je ne peux vous conseiller que de regarder avant quel est l’état de ce fichier et si il ne s’agit pas des fichiers « readme.html », wp-config-sample.php ou bien « wp-includes/version.php », alors vous pourrez supprimer ces fichiers en appuyant sur le bouton prévu à cet effet.
Lorsque toute trace de piratage a été exterminée et que votre site ou blog est de nouveau en ligne, pensez à changer le login et le mot de passe de vos utilisateurs sur WordPress (et de les informer).
Nous vous donnons comme conseil d’utiliser un mot de passe qui doit faire au moins 7 caractères de long. Pour le rendre plus sûr, utilisez un mélange de majuscules, de minuscules, de chiffres et de symboles comme ! » ? $ % ^ & ).

Plus votre mot de passe sera complexe et plus de temps il faudra pour vous pirater.
De plus, si vous avez un utilisateur nommé admin, l’administrateur par défaut de WordPress, les pirates vont tenter d’entrer dans l’interface via cet utilisateur. Donc il est conseillé d’en créer un nouveau avec un nom d’utilisateur différent et un mot de passe compliqué, puis de supprimer « admin ». Plus on sécurise son site et moins on a de chances d’être piraté.
J’espère que cet article vous aura donné quelques billes concernant le piratage et comment essayer de sécuriser un minimum son site ou blog.
Même si les pirates trouvent tout le temps les failles, et surtout le moyen de les exploiter, je pense qu’il est très important de prendre quelques instants, au calme, afin de sécuriser son site.