Se faire hacker son site n’est pas un mythe ! Surtout avec WordPress qui est de loin le CMS le plus populaire au monde et qui dit « populaire » dit, « cible privilégiée des hackers ».
Les motivations des pirates sont simples, faire intrusion dans votre site WordPress, voire carrément sur votre serveur, pour y insérer des liens vers des produits commerciaux, des logiciels de types malwares en téléchargement automatique, ou même, des mini sites complets, planqués sur votre serveur, pour y pratiquer ce qu’on appel du « phishing ».
Les hackers hébergent sur votre serveur une page se faisant passer pour PayPal, ou le site d’une banque par exemple. Ensuite, ils envoient des e-mails massifs pour tenter de piéger des internautes. Votre serveur servira de relai et enverra l’identifiant et le mot de passe de la victime au pirate qui pourra piller le compte de la personne.
Pour arriver à leurs fins, les pirates profitent des très nombreuses failles de sécurité connues de WordPress et détrompez-vous, ça marche ! Se faire hacker son WordPress n’arrive pas qu’aux autres.
En Suisse, 70 % des sites Web qui utilisent WordPress présentent des failles de sécurité : https://t.co/xT4I6xS6qd pic.twitter.com/y9dplRvYrD
— Mister WordPress ⚡️ (@MisterWordPress) November 3, 2015
Une petite négligence, et vous devrez dépenser gros (en temps, ou en argent, c’est pareil) pour effectuer un nettoyage efficace de tout votre site, tous vos mots de passe, et aussi la remise en liste blanche de votre site auprès des organismes concernés.
— Dans cet article ↓ —
- 1 Comment sécuriser son site WordPress à coup sûr ?
- 2 Conseils pour sécuriser WordPress : les 5 meilleurs plugins pour renforcer la sécurité
- 3 Comment savoir si on s’est fait hacker ?
- 4 Tu n’as pas parlé du protocole HTTPS ?
- 5 Conclusion sur la sécurité sous WordPress
- 6 Dépannage, nettoyage, sécurisation de sites WordPress piratés, infectés par un malware
Comment sécuriser son site WordPress à coup sûr ?
Même si le risque zéro n’existe pas, il y a une foule de petits gestes à effectuer pour mener la vie dure aux hackers.
Les mises à jour
Mettez à jour votre version de WordPress, vos plugins et votre thème. Exploiter leurs failles de sécurité est la meilleure arme des pirates.
Le choix du bon type d’hébergement
Personnellement, j’évite les offres d’hébergement mutualisé multisites car tous les espaces Web sont placés dans un seul et même répertoire. Si un seul de vos sites comporte une faille de sécurité et qu’il se fait avoir, c’est tous vos sites qui seront hackés et blacklistés de Google, entre autres ! C’est donc encore plus de désagréments et de travail pour le nettoyage si cela arrive. Veillez donc à choisir une solution cloisonnée, donc au moins un petit VPS (Serveur privé). Cela vous coûtera l’équivalent de quelques Big Mac™, mais rappelez-vous que l’hébergement est l’un des investissements les plus importants pour votre présence sur Internet !
Le choix du bon hébergeur
Je n’irais pas par quatre chemins, je vous conseille EasyHoster. Voilà !
Pourquoi choisir EasyHoster ?
J’ai changé d’hébergeur il y a 2 ans tout ronds, encore une fois (je ne les compte plus !). Je suis très exigeant pour le hosting !
J’ai choisi EH (acronyme d’EasyHoster… mais oui, tu avais compris) car ils avaient une excellente réputation en matière de support technique et de réactivité. J’ai découvert avec eux le confort d’un hébergeur qui offre un support technique WordPress défiant toute concurrence, sans non plus ruiner ses clients. Le pied total ! 🙂
Et pourtant, au départ, EH m’avait surpris et déçu sur un point ! Je trouvais ses mesures sécuritaires excessives. Si vous tentiez de vous connecter à votre site avec un mauvais mot de passe, quelques erreurs suffisaient à alerter leur Firewall et donc faire blacklister complètement votre adresse IP de leur réseau. Obligé de les contacter pour se faire débloquer !
Aujourd’hui, c’est cette même chose qui m’agaçait il y a 2 ans qui me fait me sentir relax ! Car oui, je me suis déjà fait hacker des sites WordPress, et je vous jure qu’avoir un hébergeur qui est hyper à cheval sur la sécurité, c’est un avantage !
Parfois, c’est vrai, j’ai des clients qui me contactent en gueulant, car ils se sont fait blacklisté par EasyHoster après s’être planté 10 fois de mots de passe. Moi je dis « tant mieux » ! Ça veut dire que le pirate qui fera pareil se retrouvera dans l’impossibilité d’aller plus loin. En plus, leur support est très rapide. Ils me débloquent toujours mes IP en moins de 5 minutes.
Le bon sens
C’est principalement lors de l’installation du CMS qu’il faudra être vigilant. Choisir un identifiant et un préfix de base de données non standard rendra la tâche plus difficile aux pirates. Concrètement, choisissez un autre login que « admin », « administrateur », ou le nom de votre site, par exemple : nom.prenom. De même, évitez le préfix de tables MySQL « wp_ », choisissez par exemple « wpmr_ » (WP Mister).
De même, choisissez un mot de passe complexe contenant au moins une majuscule, un chiffre et un caractère spécial. Les hackers utilisent des dictionnaires de mots très complets pour tenter d’accéder aux sites. Rendez cette pratique inexploitable.
Les sauvegardes
Cela ne rendra pas votre site plus sécurisé. En revanche, cela vous permettra de rapatrier une version clean de votre site assez rapidement. Je vous expliquerai dans un prochain article comment réaliser vous-même une sauvegarde complète de votre site, gratuitement.
Conseils pour sécuriser WordPress : les 5 meilleurs plugins pour renforcer la sécurité
Top 5 des meilleurs plugins pour sécuriser son site
Conseil 1 : plusieurs de ces plugins vous offrent d’envoyer des notifications par e-mail en cas de changement sur votre site ou de tentative de connexion à votre tableau de bord. Personnellement, je vous conseille de désactiver la plupart des notifications, car cela envoie vraiment beaucoup trop de mails. Votre boite sera vite inondée ! Gardez simplement les logs internes pour une analyse à postériori des actions effectuées sur votre site, uniquement en cas de piratage. Mais puisque vous avez été attentif aux instructions de cet article, heureusement, vous ne devriez jamais avoir à les utiliser. 😉
Conseil 2 : certaines de ces extensions offrent des fonctionnalités redondantes à d’autres, mais chacune d’elles a sa petite exclusivité. Si vous ne désirez pas toutes les configurer sur votre WordPress, étudiez bien, ci-dessous, ces brèves analyses fonctionnelles pour faire votre choix.
1. BulletProof Security
Ce plugin permet, entre autres, de renforcer la sécurité générale de votre site en blindant votre fichier .htaccess (fichier de configuration placé à l’entrée de votre site, pouvant comporter des règles, comme des restrictions d’accès…) de pleins de règles sécuritaires indispensables. Il offre également quelques autres options supplémentaires sympas. Pour débuter avec ce plugin, rendez-vous dans « Setup Wizard » et laissez-vous guider.
Principales fonctionnalités de l’extension BPS Security
- Possibilité de créer un fichier .htaccess contenant de nombreuses règles de sécurité qui rendent l’accès à votre site plus difficile aux pirates (blocage de zones sensibles, etc.). Le tout est configurable grâce à plusieurs éditeurs de fichiers .htaccess disponibles directement dans votre interface WordPress.
- Propose des options de protection contre les attaques de force brute : nombre de connexions en échec limité, etc.
- Conserve l’historique des connexions à votre interface.
- Propose une option de déconnexion automatique en cas d’inactivité, personnalisable en fonction des rôles utilisateur.
- Possibilité de faire des backups de sa base de données.
- Possibilité d’afficher une page de maintenance, ce qui évite de devoir installer un plugin à cet effet.
2. Sucuri Security
Grâce à lui, vous pourrez scanner votre CMS pour en vérifier l’intégrité. Il est principalement tourné vers l’analyse de vos fichiers, les audits de sécurité ainsi que la détection de malwares. Il vous offre également une série d’options « d’hardening* » indispensables.
* Durcissement : tout ce qui peut être modifié sur votre site pour rendre le piratage de votre site plus compliqué pour les hackers.
Principales fonctionnalités de l’extension Sucuri Security
- Comme BPS, il propose un historique des connexions à votre site, ainsi que les connexions ayant échouées, en fournissant des informations sur le navigateur ainsi que le type de machine utilisée.
- Il offre également la liste des actions effectuées par les utilisateurs ou le système lui-même. Pour un historique d’évènements encore plus complet, installez WP Security Audit Log.
- Il permet de scanner son site pour vérifier la présence ou non de malwares.
- Il offre une foule d’options de durcissement pour mener la vie dure aux pirates.
- Masquer votre version de WordPress dans le code source.
- Empêcher l’exécution de scripts PHP dans votre dossier « /uploads/ ».
- Modifier votre login administrateur si celui-ci est « admin ».
- Désactiver l’éditeur de code depuis l’interface WordPress.
- Modifier le préfix de la base de données si celui-ci est « wp_ ».
- …
- Il permet de changer ses « security keys », un indispensable lorsqu’on vient de se faire hacker.
3. Wordfence Security
C’est le plugin de sécurité le plus téléchargé sur WordPress.org avec plus d’un million d’installations. Comme les autres extensions, il propose différents tests inédits permettant d’évaluer le niveau de sécurité de votre site. De plus, ce plugin vous permettra d’analyser en temps réel la légitimité du trafic de votre site, vous permettant même de bannir une adresse IP suspecte d’un simple clic.
Principales fonctionnalités de l’extension Wordfence Security
- Il scan vos fichiers, vos contenus et les commentaires de votre blog à la recherche d’URLs qui seraient connues de Google (Google Safe Browsing) comme ayant été infectées par des malwares. Ce scan vous évite de faire des liens vers des sites reconnus comme « dangereux », ce qui serait très néfaste pour votre référencement.
- Il compare les fichiers sources de votre installation de WordPress avec les fichiers sources originaux de WordPress.org pour y détecter des modifications malicieuses (comme iThemes Security).
- Il compare les fichiers sources de vos plugins gratuits avec les fichiers originaux disponibles sur WordPress.org (exclusif à Wordfence).
- Il dresse une liste de possibles problèmes techniques pour votre site : thème ou extensions à mettre à jour, scripts PHP détectés dans votre dossier « wp-content » et pouvant être malicieux, configuration DNS litigieuse, manque d’espace disque sur votre serveur, etc.
- Possibilité de bannir de votre site des adresses IP, ou des plages d’adresses IP complètes.
- Possibilité de faire un Whois d’un nom de domaine ou d’une IP directement depuis votre interface WordPress.
- Possibilité de bannir de votre site tous les accès depuis certains pays. (Payant)
- Sur base d’un dictionnaire de faux mots de passe (composé de 260 millions de chaînes de caractères), il simule une tentative de hacking de votre identifiant afin de vérifier son niveau de sécurité. (Payant)
- Permet de voir l’activité en temps réel sur votre site (utilisateurs en ligne, pays, adresses IP…). Vous trouverez peut-être cette fonctionnalité utile à activer ou non de façon périodique. Perso, je ne l’utilise pas. Il me semble qu’elle utilise pas mal de ressources serveur, y compris en base de données. Je pense aussi qu’elle n’est pas compatible avec certains plugins de mise en cache ou des solutions CDN globales comme CloudFlare. Donc si vous êtes intéressé par cette fonctionnalité à vous d’investiguer plus en avant.
Wordfence offre également un système de mise en cache des pages de votre site (le fameux Falcon Engine), permettant de réduire la charge de votre serveur en cas d’attaque. Cependant, d’autres solutions sont biens meilleures dans ce domaine. Ça sera l’objet d’un prochain article.
Malheureusement, quelques gros points noirs pour ce plugin
Beaucoup d’options ne sont accessibles qu’aux utilisateurs payants uniquement. Dans la version gratuite, vous ne pourrez même pas décider à quelle fréquence le fameux « security scan » Wordfence s’exécutera. Wordfence décide pour vous.
Autre défaut majeur, j’ai détecté que Wordfence était une source de ralentissement pour certains des sites dont j’ai la charge. Parfois jusqu’à 2 secondes supplémentaires pour charger une page ! Faites attention à cela. Pingdom est votre ami.
4. iThemes Security
Ce plugin complète bien les options de Sucuri avec entre autres, la fonction qui permet de comparer les fichiers de votre site avec les sources originales issues de WordPress.org. iThemes vous donnera accès à une check-list gigantesque d’actions à entreprendre pour rendre le piratage de votre site plus compliqué (l’hardening, encore). L’avantage est que ces actions sont classées par priorités, de la plus vitale à la simple suggestion. Il est notamment utile pour bloquer l’accès à un fichier bien connu des hackers, le xmlrpc.php. C’est un fichier de protocole qui pourrait permettre aux pirates d’injecter du contenu dans votre site par le biais d’attaques « brute force ».
Principales fonctionnalités de l’extension iThemes Security
- Permet de désactiver le XML-RPC d’un simple clic. Pour un site simple n’utilisant aucune fonctionnalité de ce protocole, vous pouvez désactiver ce fichier. Dans mon cas, étant utilisateur de JetPack, je ne désactive pas xmlrpc.php, mais j’active Brute Protect (de JetPack).
- Permet de déterminer le nombre d’essais de connexions infructueuses avant bannissement ainsi que la durée du bannissement (alternative au plugin Limit Login Attempts). Possibilité d’ajouter son adresse IP à une Whitelist pour éviter de se faire bannir par erreur.
- Permet de forcer vos membres à choisir un mot de passe complexe.
- Propose d’empêcher de naviguer dans les répertoires de votre serveur (par exemple, les dossiers d’images, etc.).
- Permet d’un simple clic de renommer votre répertoire « wp-content » en autre chose. Par exemple « mon-contenu ». Cela brouillera encore plus les pistes.
- Comme les autres plugins de sécurisation de votre site, il propose un historique des connexions à votre WordPress.
- Comme Sucuri Security :
- Permet de changer le préfixe « wp_ » de vos tables MySQL.
- Comme BulletProof Security (mais en mieux) :
- Possibilité de faire des backups périodiques de votre base de données.
- Permet de personnaliser l’adresse de connexion à votre interface de connexion (wp-login.php, /wp-admin/), réduisant fortement le risque d’accès à votre espace privé (alternative au plugin WPS Hide login).
Vous souhaiterez peut-être installer ce plugin après tous les autres, ou pas du tout. Je vous suggère tout de même de le tester, ne fut-ce que momentanément, pour vérifier la check-list sécuritaire qu’il vous offre. Cela vous permettra d’un seul coup d’oeil de voir ce que les autres plugins auraient pu oublier de sécuriser.
5. WPS Hide login
Ce plugin très simple et léger viendra s’ajouter dans les réglages généraux de votre interface WordPress pour vous permettre de changer l’adresse de connexion à votre site et ainsi réduire les risques d’accès illicites à votre tableau de bord WordPress. Cette fonctionnalité est redondante à l’option « Hide Login Area » d’iThemes Security. Donc, n’installez cette extension que si vous ne désirez pas installer iThemes.
Comment savoir si on s’est fait hacker ?
En général, c’est votre hébergeur qui va vous contacter après avoir reçu une plainte à l’adresse [email protected]. S’il est gentil, il va vous laisser quelques heures pour nettoyer à fond votre site, mais souvent, il vous bloquera purement et simplement pour sauvegarder sa réputation protéger les internautes.
Si vous surveillez de près les rapports d’analyse des plugins que je vous ai conseillés, vous détecterez peut-être un hack avant tout le monde. Mais c’est beaucoup de travail. Il est peu probable que vous lisiez anticipativement ces logs avec votre café chaque matin (ou alors vous êtes un grand malade 😀 ).
D’autres fois, vous constaterez le hack grâce à Google, soit parce que vous aurez vu une notification apparaitre dans votre Google Search Console (anciennement Google Webmaster Tools), soit parce que vous aurez constaté que votre site est blacklisté dans les résultats de recherche, et donc que votre trafic est redirigé vers une page vous accusant d’être un site malveillant.
Plus rare (on n’est plus en 2005) votre page d’accueil sera remplacée par un message un peu glauque à la gloire du pirate qui vous aura piégé. Cette situation peut paraitre effrayante, c’est pourtant la plus inoffensive. Ce type de hacker fait ça pour le sport et vous envoie une sorte « d’avertissement ». Ils laissent souvent leur adresse e-mail afin que vous puissiez leur demander plus de détails sur la manière dont ils ont opéré et comment sécuriser définitivement votre site.
Si grâce à ces astuces vous vous rendez compte que c’est trop tard… votre site WordPress a déjà été piraté, rassurez-vous nous avons des solutions pour vous ! Voici notre plan d’action en 12 étapes pour nettoyer et sécuriser un site WordPress hacké.
Tu n’as pas parlé du protocole HTTPS ?
Désolé, je n’ai pas voulu m’attarder sur ce point, car cela pourrait faire l’objet d’un article entier. Je vous laisse simplement ces quelques mots d’explication.
Le protocole HTTPS est la version sécurisée du HTTP. Lorsqu’un internaute visite un site en HTTP, les données sont transmises en clair à travers le réseau. Cela peut-être des mots de passe ou des codes bancaires. Un pirate expérimenté pourrait donc les intercepter (ne m’en demandez pas plus sur la manière de procéder), ce qui peut poser quelques problèmes que vous imaginez facilement. Lorsque la connexion se fait en HTTPS, les données transmises sont cryptées… Le hacker peut toujours les intercepter, mais ne pourra en aucun cas les décrypter.
Pour mettre cela en œuvre sur votre site et être à la pointe niveau sécurité, prenez contact avec votre hébergeur qui pourra vous aiguiller.
Edit 2 déc. 2015 : j’ai fini par vous rédiger un article sur WordPress et le HTTPS, enjoy !
Conclusion sur la sécurité sous WordPress
- Globalement, si vous êtes réactif sur les mises à jour de WordPress, en particulier les plugins, vous réduisez déjà beaucoup les risques.
- Ensuite, un hébergeur avec un Firewall puissant pourra vous sauver dans de nombreux cas, ne fut-ce que pour les surcharges serveur en cas d’attaque. Je ne peux vous conseiller que EasyHoster. Les autres hébergeurs que je connais ne proposent pas ce type de protection.
- N’oubliez pas de personnaliser au maximum les champs de l’installation de WordPress.
- Faites des sauvegardes régulières de votre site avec plusieurs jours de rétention.
- Passez votre site à la moulinette des « security plugins » que je vous ai présenté et activez les options de durcissement qu’ils proposent.
- Changer l’adresse de connexion à votre tableau de bord est un plus.
Avec tout ça, votre site ne risque plus grand chose ! Et si tout cela vous semble insurmontable, vous pouvez toujours faire appel à un expert en sécurité WordPress ( moi 😀 ).
Vous êtes-vous déjà fait hacker un site WordPress ? Comment cela s’est-il passé pour vous ? 🙂
Dépannage, nettoyage, sécurisation de sites WordPress piratés, infectés par un malware
- Je peux aussi travailler pour vous ! Plus d’infos : https://www.kim-communication.com/securite/
Depuis 2009, je vis confortablement, grâce à mon entreprise sur Internet. Je me suis fait tout seul, sans filet de sécurité et sans[...]
Une bonne revue des plugins WordPress pour optimiser la sécurité de son site. Il existe d’autres méthodes sans utiliser de plugins également… les problématiques de sécurité ne sont pas une priorité pour la majorité des clients, qui ne comprennent l’importance de ce poste avec les conséquences que l’on connait : site d’université hacké, site d’entreprise piraté…
Merci pour ton commentaire.
Tu pourrais développer un peu plus Sublimeo ? Là tu vois, ce que tu viens de me faire, c’est comme si une jolie fille m’avait écrit les 3 premiers chiffres de son numéro de téléphone sur un bout de papier… avant de sauter dans un bus ! ?
Avec mes clients c’est tout ou rien.
Soit ils sont immédiatement à cheval sur la sécurité de leur site, auquel cas je leur propose un petit pack « sécurité » pas trop cher.
Soit ils s’en contre foutent. Dans ce cas, je leur indique que c’est comme ils veulent… mais que s’il y a un hack un jour et qu’il faut nettoyer, ça sera facturé.
Ceci est surtout problématique lorsque le client n’a aucun budget maintenance, pour les mises à jour de WordPress, des plugins, et du thème qui peuvent dans certains cas être très chronophage. On sait que c’est là où le bât blesse.
Allez, un petit exemple : ne pas utiliser wp-admin comme url de connexion 😉
Personnellement je préfère laisser gérer cela par un plugin, comme cela a été largement expliqué dans l’article. iThemes le permet, entre autres. C’est d’ailleurs pour ça que j’ai présenté WPS Hide login, qui est léger et qui ne sert qu’à cela. Du coup, ça me semble être un peu de chipoteries inutiles que de vouloir s’en passer. ?
Une longue liste de plugins sans jamais parler ceux des français comme @BoiteAWeb , les Julio et Cie???
Je suis déçu 😉
Sinon, j’ajouterais qu’idéalement il faut supprimer ce …./author/… qui traîne toujours dans l’url de l’auteur! Quelques plugins le font très bien.
Merci, bonne remarque à propos du slug Author. Je n’ai complètement pas pensé à en parler, pourtant, j’ai déjà reçu des critiques à ce sujet. Un petit plaisantin pseudo geek s’était amusé à farfouiller sur le site d’un client et lui avait envoyé en mail en lui disant : votre site n’est pas sécurisé, je sais que votre Webmaster s’appelle « Nicolas ».
Hum, il a vite résumé la question !
Pour changer « l’URL base » de ce slug, il existe entre autres ce plugin : https://wordpress.org/plugins/edit-author-slug/
Au sujet des plugins français, j’ai déjà parlé de « WPS Hide login », ça fait 1 plugin français sur les 5 cités ?
Je veux bien parler des autres, mais je ne les connais pas. Tu peux me donner les noms s’il te plaît ?
Heheheh, oui oui, le plugin « wps hide login » est bien aussi, et le mec du wpserveur est très connu je crois!
J’avoue moi aussi j’ai horreur de trouver un slug author dans un siteweb, idem pour wp-login 😉
En fait, je sais pas pourquoi mais moi je kiffe les plugins développés près de chez moi ou par un francophone, je les trouve « bio » 🙂 ! Quoi que, Yoast commence à me casser les oreilles.
Comme l’article parle de la sécurité, et dernièrement je vous parlais de @boiteaweb, ce n’est pas vraiment pour faire la pub et je les connais pas personnellement mais je vous invite à jeter un œil là dessus http://boiteaweb.fr/cat/plugins quelques plugins intéressants
Sinon tu as donné pas mal de tuyaux, merci! Ceci étant, si le client final n’est pas impliqué je trouve que c’est foutu d’avance, surtout pour les sites statiques ou qui bloguent moins..parce qu’ils ne mettent pas à jour leur site et au final, ça retombe sur la personne qui a vendu/devpé le site. Pire encore avec les hébergeurs qui génèrent des solutions cms comme wordpress avec un compte admin; OVH est champion!(même si il reste mon hébergeur préféré qualité/prix)
J’ai hâte pour ton prochain article concernant les certif ssl. Je sens que je vais gueuler, depuis cette année j’ai décidé d’installer les certif à tous mes sites présents et à venir, peu et importe la finalité mais il y a des choses à dire…surtout côté arnaque des hébergeurs ou le choix du certif, comme les CA 😉
Pour finir, j’ai découvert ton blog récemment, très sympa le ton et l’humour utilisé!
Il parait que tu es de LLN, donc tu connais forcément Jean-Lou…(les frites, bien sûr) 🙂
Je n’avais pas encore vraiment planifié d’article sur le HTTPS, mais tu m’as chauffé là. Je pense que je vais peut-être bien gribouiller un truc sur le sujet dans pas longtemps, du coup ?
Merci pour le petit feedback sur la pointe d’humour que j’essaye d’intégrer à mes articles. Je rédige des billets vraiment très longs, j’essaye donc de les rendre un peu plus digestes avec ça.
Tu n’es pas très en retard sur mon blog. Je l’ai ouvert le 1er novembre 2015. Il n’a même pas encore 1 mois !
Désolé, je vais te décevoir, sur les 3 ans que j’ai vécu à Louvain-la-Neuve, j’ai du maximum prendre une fois à manger dans cette friterie qui est quand même assez excentrée. Je vivais en plein centre, juste à côté du centre commercial. Du coup je ne passais pas très souvent dans ce coin. L’autre friterie, celle près du Proxy Delhaize n’était pas mal non plus, et le patron très sympa.
Les Belges qui causent « frite » en commentaires d’un blog technique ?
Bonjour Mr WordPress,
La sécurité WordPress n’est en effet pas à prendre à la légère et je sais de quoi je parle, puisque je me suis fait pirater de nombreux sites le fameux jeudi noir de juillet 2015, y compris des sites qui n’utilisaient même pas les extensions incriminées, mais qui avaient le malheur d’être hébergés sur des serveurs peu sécurisés et surtout non cloisonnés.
Alors autant dire que je plébiscite votre conseil de fuir les hébergements non cloisonnés, cependant on ne sait pas toujours d’avance si un hébergeur cloisonne les comptes ou pas, alors j’ajouterai le conseil suivant pour vos lecteurs: si l’hébergeur ne le précise pas, posez-lui la question avant de souscrire.
J’avais testé iThemeSecurity il y a plusieurs années, mais je l’avais laissé tomber car à l’époque c’était une véritable usine à gaz et il provoquait certains conflits, mais il semble avoir bien progressé, alors je vais à nouveau le tester prochainement.
Pour ma part, j’installe systématiquement Wordfence sur tous les WP que je crée depuis la fameuse vague de piratages et pour le moment, il me satisfait pleinement.
Amicalement,
Bruno
Je viens d’expérimenter une forme d’infection par Malware qui était nouvelle pour moi. Je vous fais mon petit retour.
Voici la description du mal :
https://isc.sans.edu/forums/diary/Angler+exploit+kit+generated+by+admedia+gates/20741/
Angler exploit kit generated by « admedia » gates.
Voici une partie des coupables :
178.62.122.211 – img.belayamorda.info – admedia gate <— le mien
185.46.11.113 – ssd.summerspellman.com – Angler EK
192.185.39.64 – clothdiapersexpert.com – TeslaCrypt callback traffic
Bref, Google n’était pas content : gros message d’erreur via Google Safe Browsing
Et le meilleur. Le truc qui t’aide vraiment :
Il s’agissait d’un site sur lequel on m’a demandé d’intervenir en urgence en tant que sous-traitant. Une installation de WordPress 3.5 !!! quelques plugins anciens et un thème gratuit n’étant plus maintenu.
J’ai commencé par tout mettre à jour : plugins et core de WP, sauf que le thème n’est plus maintenu, donc, je l’ai laissé tel quel.
Ensuite, après quelques recherches, j’ai trouvé ici des conseils qui m’ont simplifié la vie :
https://blog.sucuri.net/2016/02/massive-admedia-iframe-javascript-infection.html
Massive Admedia/Adverting iFrame Infection.
C’est cette partie qui est la plus intéressante. Il s’agit de lignes de commande permettant d’isoler les fichiers .JS contenant une chaîne de caractères type hash md5, ce qui était caractéristique des fichiers infectés par ce nouveau type de malware
All credits to the developper.
J’ai donc détecté grâce à cela 5 fichiers .JS infectés, tous ceux présents dans le dossier /js/ du thème concerné. J’ai donc supprimé la partie malicieuse et j’ai renvoyé les fichiers propres sur le serveur.
Il n’a pas fallu longtemps pour que les fichiers soient attaqués à nouveau. J’ai donc continué à investiguer sur le problème. En effet, comme cela est bien décrit dans l’article du blog de Sucuri, après avoir exploité cette faille de sécurité, le pirate va envoyer sur le serveur autant de fichiers php avec backdoors que possible.
N’ayant pas l’accès SSH à ce site, difficile d’exécuter des routines de recherche de code malicieux sur ce serveur. J’ai donc jeté un oeil aux fichiers présents dans /uploads/, sans trop de succès. Pour être certains d’en finir avec les backdoors php présentes sur le serveur, voici les quelques actions auxquelles j’ai eu recours grâce à des plugins de sécurité de WordPress.
– J’ai scanné et vérifié les fichiers avec Anti-Malware Security and Brute-Force Firewall, bon plugin pour vérifier l’intégrité de vos fichiers WordPress : https://fr.wordpress.org/plugins/gotmls/
– J’ai vérifié les file permissions avec iThemes Security.
– Grâce à Sucuri et Wordfence, j’ai fait une integrity file check du core de WordPress. Mais surtout, j’ai utilisé les options post-hack offertes par Sucury qui permettent, entre autres, de récupérer la copie originale de toutes ses extensions gratuites directement depuis le repository de WordPress.org. Un need !
N’hésitez pas à utiliser toutes les options d’hardening offertes par ces plugins et à installer BulletProof security et son setup wizard.
Salut !
J’ai également été contacté pour m’occuper de sécuriser un site qui avait exactement le même problème. Ces commandes indiquées sur le site de Sucuri m’ont bien aidées !
Pour y mettre un terme et trouver tous les backdoors en cause, je me suis appuyé sur les fichiers access.log. Quelques filtres après, certaines requêtes POST montrent clairement les fichiers en cause. Cela a marché pour moi en tout cas. J’avais tenté d’utiliser un plugin mais il ne m’avait pas tout trouvé.
Merci Simon, pour ton excellent retour.
C’est aussi ce qui était préconisé sur le blog de Sucuri. 😉
Ton retour clair et concis servira sûrement aux lecteurs qui savent maintenant qu’ils doivent chercher les requêtes POST dans leurs logs pour trouver les fichiers backdoor PHP et éviter les réinfections ! 🙂
J’ai oublié de préciser que je n’ai pu procéder comme toi, car je n’ai accès à aucun log. Juste le FTP et l’admin WordPress. Même pas SSH, j’ai dû prendre le site en local pour pouvoir exécuter ma commande.
Si tu t’en souviens, peux-tu nous dire la version de WP qui était touchée et aussi un petit topo sur l’état des plugins, le ~nombre, s’ils étaient fort anciens, et enfin le thème : gratuit/payant ? Ancien aussi ?
Merci !
Effectivement, avoir un accès SSH permet de facilement d’agir face à ce genre de situation. Ceci étant, les fichiers access.log sont souvent disponibles même sur les hébergements mutualisés. Leur analyse pour trouver les backdoors a été déterminante pour « retarder » l’injection de code qui revenait deux fois par jour…
Pour situer le dernier cas (et plus difficile)
Worpress Multi sites datant de 4 ans avec deux thèmes premium merdiques (un pour la landing page et l’autre pour 3 sous sites). Il utilise une petite dizaine de plugins dont WPML (et ses anciennes extensions), un plugin de mailing, YOAST et des mini plugins anciens liés au thème (que du bonheur quoi).
Mon retour sur le sujet :
1/ WordPress était dans une version récente, cela n’a pas été trop compliqué à mettre à jour.
1/ J’en veux affreusement aux devs qui collent leur thème premium sans les utiliser en tant que thème enfant. Je n’en rencontre JAMAIS ! Sympa quand il faut faire une update de thème de la version 1.2 vers 3.4…
2/ Cela fait trois sites (un peu anciens) que je « soigne » en 1 mois et WPML était souvent utilisé. Coincidence ? Je commence à en douter. Vive le plugin Polylang.
3/ En plus des différents backdoors qui étaient régulièrement exploités, il y avait un cron en place qui crée des fichiers pas très catholiques.
Je dois avouer que cela n’était pas évident mais après une bonne dizaine de jours de surveillance, je pense avoir triomphé pour de bon !
En effet, c’est du costaud ton histoire !
Je sais que Yoast a essuyé une faille y a pas si longtemps que ça : http://creersonsite.net/faille-securite-plugin-wordpress-seo-yoast/
De mon coté, les logs ne sont pas sur la partie accessible en FTP :'( le client se fait héberger par un infogérant et je ne sais pas tout de sa config
Je pense qu’une faille dans WPML serait connue 😮
Et niveau hosting, c’est une config safe ? Quel hébergeur ? Dispose-t-il d’un Firewall ?
Tu m’as fait peur avec ton histoire de CRON, j’ai vérifié, apparement, RAS de mon côté, ouf !
Merci encore pour tes interventions très instructives 🙂
Il s’agit d’un serveur VPS, maintenant bien sécurisé et il a tourné pendant un moment sur un serveur dédié infogéré.
Pour WPML, je ne faisais pas référence au plugin en lui même mais à ses extensions qui ne sont plus maintenues à présent.
Très intéressant ton article car il s’agit d’un retour concret…Une fois qu’un blog WordPress commence à être visible, la question de la sécurité devient indispensable. Idéalement, il vaut anticiper cette contrainte avant bien sûr.
Bon à savoir en tout cas, c’est tout de même pénible toutes ces infections : entre les spams de statisttiques, referer et cie…
Les robots pirates ne font pas de jaloux… même un site inconnu au bataillon se fera hacké comme un autre ! 😉
Je partage totalement votre avis sur l’hébergeur PlanetHoster. Victime d’une attaque BruteForce, ils ont parfaitement géré l’incident en bloquant immédiatement tous les services sur mon serveur. Toujours disponibles, ils ont su me conseiller. Malgré la distance il renvoie une sensation rassurante de proximité.
En matière de plugin nous installons systématiquement sur tous nos sites Limit Login Attempts qui limite le nombre de tentatives de login possible. Simple et efficace ! Mais la meilleure sécurité reste la double authentification malheureusement impossible commercialement
Jetpack permet la double authentification, voir Two Factor Authentication ici : guide Jetpack.
Jetpack & WordPress offrent aussi Jetpack Protect, ils utilisent leurs serveurs comme barrage entre les pirates et votre serveur.
Sinon, un hébergeur avec un bon Firewall suffit à bloquer les attaques brute force de façon plus efficace car, les plugins type « Limit Login Attempts », même s’ils bloquent la connexion du robot, celui-ci va continuer à consommer les ressources du serveur au risque même de le faire se crasher.
Bonjour,
J’ai cherché du coup pour iThemes Security qui semble être vraiment sympa mais le plugin est payant ? Si non, y a t il un lien pour le récupérer ? Car tout ce que j’ai trouvé semble assez cher :o. Merci d’avance 🙂
Voilà m’sieur 😉 https://fr.wordpress.org/plugins/better-wp-security/
Bonjour,
PlanetHoster comme hébergeur, après l’histoire de l’attaque de l’hébergeur Mavenhosting, je n’ai jamais su si l’accusation contre Planethoster était fondé ou pas? https[:]//twitter.com/planethoster/status/449810819170455552
Pour ma part, je conseillerai l’hébergeur [nom de l’hébergeur concurrent masqué par l’admin], un service client très rapide, pas mail, on peut avoir la réponse et la solution dans la minute qui suit . Voilà les offres VPS de [lien vers l’hébergeur concurrent masqué par l’admin]
je trouve correct le prix, non ?
On peut tester la sécurité de son site là -http://naturedigitale.fr/verifier-securite-wordpress/
il y a un article qui propose des solutions.
Merci pour votre article très intéressant.
Cordialement
Bonjour cher « darknote » (pseudo d’un jour ? 😉 ),
Ton commentaire était classé dans les indésirables
mais puisque je suis gentil, je l’ai validé et je vais même y répondre !
Tu remarqueras que j’ai masqué le nom du merveilleux hébergeur que tu es venu nous recommander chaudement. Désolé, je veux bien te laisser le bénéfice du doute, mais si ton commentaire a été placé dans les « spams », c’est que tu as du poster d’autres « commentaires » suspects sur des blogs utilisant l’anti-spam Akismet.
Comme tu l’as remarqué, je conseille PlanetHoster dans mon article.
J’ai déjà testé beaucoup d’hébergeurs et je ne conseille pas « PH » par hasard.
Eux aussi répondent souvent « dans la minute ».
Les tarifs, en regard de la qualité offerte, sont tout à fait raisonnables.
C’est plus qu’un fournisseur à mes yeux. C’est presque un « partenaire ».
Ils font trop de bonnes choses pour mon activité, avec leurs services d’infogérance avancés, pour que je me contente de payer mes factures, sans plus. Je me sens presque obligé de les recommander à quelqu’un à chaque fois que je reçois de bonnes réponses de leur support.
Bref, tout ça pour dire que je n’ai pas trouvé très maligne cette démarche de m’envoyer un commentaire pour mettre en avant un litige public entre deux concurrents, tout en conseillant ton truc. Personnellement, je n’en ai rien à foutre des litiges que PlanetHoster peut avoir avec d’autres hébergeurs. Tout ce que je regarde, c’est la qualité de service dont je bénéficie en tant que client.
Tout le monde sait bien que dans ce milieu, la concurrence peut être dure, et peu fairplay.
Sale ambiance quoi.
Il suffit de voir le nombre d’attaques DDoS sur les réseaux. On peut imaginer qu’il s’agisse parfois d’hébergeurs concurrents les uns des autres qui initient ce genre d’attaques.
Bref, cela pourrit vraiment le Web.
Dans tous les cas, merci d’avoir ouvert le débat, mais adopte une attitude plus subtile la prochaine fois et pas sous couvert d’anonymat 😉
Bonjour,
Ce n’est pas un pseudo d’un jour, je ne sais pas pourquoi mon commentaire a été dans les indésirables, je ne mets pas de commentaire suspect, je m’exprime librement comme tout le monde.
Désolé, mais pour moi, c’est important d’avoir un hébergeur, irréprochable, ce litige est important, si c’était avéré, cela montre le peu de moral de l’hébergeur, je ne pourrais pas aller chez un hébergeur qui est cette mentalité, vous parlez des attaques DDoS, alors je dois être naïve, je n’ai jamais pensé que cela venait d’autres hébergeurs, si c’est le cas, cela est bien regrettable.
Mais mon message à la base était habillé d’espoir, j’aspirais à ce que vous me disiez que non, PlanetHoster a été accusé à tort par MavenHosting.
J’ai été chez un autre hébergeur avant, pendant longtemps, j’ai pensé à aller chez PH mais avec cette histoire, ma confiance envers l’hébergeur a été ébranlée, du coup, j’ai cherché un autre hébergeur.
Désormais au vu de vos dires, si quelqu’un cherche un hébergeur, je lui recommanderai PH.
Merci
Cordialement
Bonsoir,
Je me demande si je ne fais pas revenir sur mon avis positif de mon hébergeur actuel, site en rade sans raison depuis cet après midi, erreur 503, plus message « connexion perdue » et au retour par intermittence de mon site, j’ai perdu une trentaine de photos, la grande joie
Du coup j’étais en train de regarder PlanetHoster
J’ai quelques questions, si vous me le permettez ?
– https[:]//blog.planethoster.net/lancement-world-platform/
Là il présente plusieurs offres pour World Platform
J’ai mon site, et je m’occupe aussi du site de mère, plus du site pour un club d’histoire bénévolement, je dois pour voir mettre au moins 3 sites sur la même offre, pas les moyens pour prendre trois offres.
J’ai donc pensé à l’offre Hybride Multi -> World Plus à 8 euros par mois
Mais arriver là https[:]//www.planethoster.net/fr/Hebergements-World
je ne vois que l’offre à 5,99 Euros
je cherche au mauvais endroit ?
Sinon pensez-vous que l’offre est correct pour 3 sites?
Même si cela fait 20 ans que je vais des sites, en ce moment beaucoup de mon jugement, donc je préfère poser des questions, excusez moi de vous déranger.
Merci par avance
Cordialement
Créés un compte client pour avoir accès au panel de commande où tu pourras simuler concrètement le prix d’un World 😉
Ça convient pour 3 sites sans souci. J’en fais tourner de nombreux, sur un seul plan !
En cas de doute, ouvre un ticket au service pré-vente, ils te répondront dans l’heure.
Bonjour,
Merci de votre réponse, désolé de ne répondre que maintenant, très occupé à récupérer le site, selon l’ex hébergeur, j’ai été victime d’une attaque massive DDoS.
Je n’ai pas pu faire ce que je voulais, voyant le problème sur mon site, ma mère est retourné sur l’hébergeur d’avant, celui qui a eu son site pendant plus de dix ans et a pris une offre supérieur pour hébergeur 3 sites avec 3 bases de données chacun.
Je n’ai pas eu le choix de retourner sur cet hébergeur de Oles Van Herman.
Voyant mes déboires, s’il vous plait, merci de supprimer mon premier commentaire. celui du » 3 octobre 2016 à 10 h 43 min » étant dans un état d’esprit différent, celui me dérange dorénavant.
Merci de votre compréhension et merci de votre aide.
Cordialement
Bonjour,
Ah, voici apparemment quelqu’un qui sait de quoi il cause… 🙂
Y-a-t-il encore quelqu’un par ici 😉 ?
A trop vouloir blinder mon .htaccess, je me retrouve plombé par des erreurs 406 à répétition et je cherche un tuto sur comment justement optimiser ces fichus plugins BPS Wordfence + ithemes + Sucuri, que j’ai eu la bonne (???) idée de faire tourner ensemble. Quelqu’un pourrait m’aider ?
Merci 😉
Amicalement,
Michaël
Sur un de mes blogs, un pirate s’est amusait à modifier mes articles, il supprime le contenu et change le titre de l’article par sa signature. Une vraie galère à m’en défaire. Pire, il m’a laissé un commentaire pour me dire qu’il est parano et qu’il va recommencer, j’avoue que c’est très spéciale.
J’ai changé les accès FTP, sql changer le préfixe des tables, supprimer tous les identifiants, ajouter plusieurs plu gins de sécurité, nada le mec arrivait toujours à avoir accès à mon site puis j’ai contacté un gars qui m’a aussi conseiller d’autres astuces.
Mais ce n’est vraiment pas facile avec certains hackers qui font le con à outrance. Ce que je n’ai toujours pas compris même après avoir installé un plugin pour voir les logs je voyait les articles qu’il a modifié et l’utilisateur n’avait aucune identification, mais quand je cliques dessus ça me ramène directement sur le compte administrateur.
C’est fou, j’ai changé mes mots de passe supprimés l’identifiant, changer l’adresse de connexion, bannis ses ip le mec avait toujours accès aussi site. C’est une galère, j’avoue.
S’il y a un lecteur qui a eu pareil expérience merci de, réponde à ce commentaire svp pour me dire comment avez-vous fait pour résoudre le problème ?
Les pirates, après avoir eu accès à ton site, peuvent installer une backdoor (porte ouverte). Je te conseille d’installer un WordPress neuf, ailleurs. Ensuite, tu réinstalles ton thème depuis l’archive originale, ainsi que les plugins depuis wordpress.org. Ensuite, tu réimportes ta base de données (sans utilisateurs litigieux), et le tour est joué. Tu récupères un site identique, mais sans fichiers corrompus. Ton espace d’hébergement aussi peut avoir été compromis, donc tu supprimes tout et tu réinstalle un nouvel espace. Voilà comme font les webmasters experts WordPress.
Bonjour,
J’ai vécu un truc assez similaire à ce que tu racontes, et la solution que j’ai trouvé, en plus de faire comme dit « Mr WordPress », c’est tout bonnement de retirer, écraser le « wp-login.php » de mon serveur lorsque je ne me connecte pas (en fait je l’envoie sur le serveur juste le temps de la connection, ce qui prend une minute, puis je l’écrase immédiatement. Il n’y a pas besoin de ce wp-login pour rester connecté, et Wp n’en a pas besoin non plus pour tourner. Donc, plus de porte, plus d’intrus 😉 Bref, s’il n’y a pas besoin d’ouvrir son back-office à d’autres utilisateurs, c’est peut-être « la » solution… En tout cas, c’est ma solution, je n’ai plus de pb de piratage depuis (ouf:)
Ah, je suis un peu triste que mon chouchou question sécurité ne soit pas dans la liste – à savoir Ninja Firewall. Et c’est bien de rappeler que le choix de l’hébergeur est crucial pour la sécurité (30% des piratages passent par l’hébergeur).
Ce hacker Albert Vadim m’a aidé à pirater l’iphone11 en moins de 3 heures. J’ai pu lire tous les messages sur le téléphone sans le toucher. Si vous avez besoin d’aide, contactez Albert EMAIL : Vadimwe xxxx com
Il a aidé mon ami à obtenir tous les bitcoins qu’il a perdus en investissement.