C’est le buzz du moment, une vaste opération de hacking est en cours contre les quelques millions de sites propulsés par le CMS WordPress, où est le danger ?
Il faut savoir qu’auparavant d’autres CMS ont eu à faire à ce genre d’opération (Joomla entre autre…) car tous les CMS ayant une adresse unique pour le back-office sont plus facile à attaquer, mais il ne faut pas dramatiser. Pour chaque situation de faiblesse une réponse existe, elle demande un peu d’attention et beaucoup d’application.
Pour WordPress on indique, dans de nombreux blogs et forums, les 3 règles de base pour une installation avec :
- Un nom d’administrateur différent du « admin » de base (on ne met pas » administrateur » non plus)
- Un mot de passe en béton, pour ce faire une phrase facilement mémorisable peut suffire, par exemple : Mavoiturebleueestbelle (glisser une capitale améliore encore les choses).
- Un préfixe des tables MySQL différent du « wp_ » de base
Ces premiers points appliqués mettent WordPress déjà plus en sécurité.
Il est conseillé ensuite d’installer une ou plusieurs extensions de protection, à ce titre j’utilise trois choses :
- Bad Behavior
- Limit-login-attempts
- WP Database Backup
Le premier scrute les logs de connexion et de formulaire, il peut gérer une White List et une Black List, bannir temporairement ou encore indiquer les fichiers modifiés récemment sur le site.
Le second limite la connexion au back-office avec un nombre limité d’essais de mot de passe, un bannissement temporaire plus ou moins long, l’envoi de courriel d’alerte et dans le cas de récidive un bannissement définitif.
Le troisième effectue des sauvegardes régulières de la base de données ou me l’envoi en pièce jointe sur une adresse courriel spécifique.
D’autres solutions existent pour protéger votre CMS WordPress, par exemple supprimer le fichier Readme.txt qui contient la version WordPress de votre site. Si vous n’avez pas su tenir à jour votre site, une version antérieure présentera des failles connues, et donc des moyens facile de cracker votre accès.
Dans les extensions efficaces mais néanmoins dédiés aux spécialistes je note :
- Better security WP
- WP Security Scan
- TAC (Theme Authenticity Checker)
Il reste ensuite toutes les pratiques autour des fichiers .htaccess (fichier caché) et wp-config.php pour en limiter la manipulation, ici on s’adresse aux webmaster chevronnés.
En attendant que la vaste opération en cours se calme d’ici quelques semaines…
Sources : Le pixel solitaire, Fabrice Court, Thierry Bertrand