Le Journal du Blog
Le blog des blogueurs
Le blog des blogueurs
Avec la faille de sécurité découverte il y a plusieurs jours, le problème de sécurité de wordpress est de retour. Voici quelques solutions simples et efficaces pour protéger l’admin/dashboard de votre blog.
Les robots peuvent facilement trouver votre page de login puisqu’elle est accessible par défaut à cette adresse : votresite.com/wp-admin. Pour éviter que les robots ou les personnes malveillantes puissent accéder à votre page de login, vous pouvez la déplacer.
La solution la plus simple est d’utiliser le plugin Stealth Login qui va vous permettre de choisir l’url à partir de laquelle vous accéderez à votre page de Login.
Toujours en vue de contrer les attaques de robots ou personnes malveillantes qui essayeraient de trouver votre mot de passe, vous pouvez limiter le nombre d’essais de connexion. Cette solution existe déjà sur la plupart des téléphones portables (code PIN) et se met en place très facilement grâce au plugin wordpress Login Lockdown.
Plusieurs études montrent qu’une grande majorité d’internautes utilisent des mots de passe très simples (azerty etc.) mais aussi qu’ils utilisent ce même mot de passe partout.
Voici quelques conseils pour choisir votre mot de passe (via) :
L’idéal reste d’utiliser un générateur de mot de passe pour avoir un mot de passe suffisamment long et compliqué. Le risque étant de ne pas se souvenir de ce mot de passe… Pour éviter cela, utilisez une solution de gestion de mot de passe comme Keepass (Mac – PC – Linux / gratuit) ou 1Password (Mac / payant).
Le protocole SSL est sans doute l’une des meilleures solutions pour proposer une connexion sécurisée. Avec le SSL, vos urls prendront le format https://.
Attention toutefois, la connexion SSL est souvent proposée en option par les hébergeurs. Vérifiez donc que vous avez la possibilité de le faire ou utilisez votre propre certificat SSL.
Il vous suffit ensuite d’ajouter le code suivant dans le fichier wp-config.php
[php]
define(’FORCE_SSL_ADMIN’, true);
[/php]
Ou plus simple en core, d’installer le plugin wordpress Admin SSL qui n’est toutefois compatible que sur les versions supérieures à la 2.7.
Le SSL n’étant pas accessible à tout le monde (coût), vous pouvez vous rabattre sur la solution proposée par le plugin Semisecure Login Reimagined qui utilise une clé RSA pour crypter le mot de passe. (Javascript nécessaire)
Mieux vaut deux fois qu’une ! Le hackeur peut trouver votre premier mot de passe avec chance mais pas le deuxième ! Pour mettre en place un deuxième mot de passe sur votre accès admin vous pouvez utiliser un fichier .htaccess ou plus simplement installer le plugin wordpress AskApache Password Protect qui va s’en charger pour vous.
De loin la solution la plus radicale mais aussi la plus contraignante. Effectivement, si vous limitez l’accès de l’admin à seulement quelques adresses IP, vous ne pourrez pas bloguer depuis un cyber café ou chez votre vieille tante. Pour mettre en place un filtre par IP, cela se passe également via un fichier .htaccess (pas de plugin cette fois).
Avec votre bloc note, créez un fichier texte htaccess.txt et mettez y ce code :
[php]
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
# whitelist Syed’s IP address
allow from xx.xx.xx.xxx
# whitelist David’s IP address
allow from xx.xx.xx.xxx
# whitelist Amanda’s IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad’s IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
[/php]
Remplacez bien évidemment avec les adresses IP que vous utilisez (ou vos rédacteurs). Pour connaitre votre adresse IP : mon-ip.com
Uploadez ensuite ce fichier dans le dossier /wp-admin (à la racine de ce dossier) puis renommez-le en .htaccess (ajoutez le « . » devant et supprimez le « .txt »).
Par défaut, wordpress va vous générer un mot de passe « strong » mais un identifiant commun : admin. Changez-le immédiatement par autre chose (évitez votre prénom en minuscule). En changeant cet identifiant vous rendez la tâche plus difficile au hackeur puisqu’il devra trouver également votre identifiant.
Pour supprimer l’utilisateur admin, vous devez en créer un nouveau qui aura les droits d’administrateur puis supprimer le compte créé par wordpress.
Les messages « wrong password » ou « invalid username » sont des informations qui vont aider le hackeur à retrouver votre mot de passe. Vous pouvez les cacher en ajouter le code suivant dans votre fichier function.php (se trouvant dans votre theme)
[php]
add_filter(‘login_errors’,create_function(‘$a’, ‘return null;’));
[/php]
Attention toutefois car les messages d’erreurs disparaitront aussi pour vous et vos utilisateurs.
Si vous voyagez beaucoup et/ou utilisez des ordinateurs publics ou connexions ouvertes (wifi public), je vous recommande le plugin One Time Password qui va vous permettre de renouveler le mot de passe après chaque session. Ainsi, si un hackeur récupère votre mot de passe il ne pourra pas le ré-utiliser. Cette solution reste néanmoins contraignante au quotidien.
Pour conclure, il existe de nombreuses façons de sécuriser l’accès à votre admin wordpress. Parmi celles proposées, il n’est pas nécessaire de toutes les mettre en place. Choisissez celle qui correspond le plus à vos besoins. Attention, nous n’avons parlé que de la sécurité de l’accès à votre admin, il y a d’autres points sensibles que les hackeurs peuvent utiliser. Suivez nos autres conseils de sécurité et gardez votre wordpress à jour.
Rizwan (2 years ago)
Merci pour ces différentes propositions de sécurisation.
Je ne pensais pas que WordPress proposait autant de plugin de sécurité.
Toutefois je me demande si les hackeurs s’attaquent à n’importe quel petit blog (comme le mien par exemple) ou si plutôt il vise pas des blogs influents.
Bountylegers (2 years ago)
Merci pour avoir rassemblé toutes ces possibilités : ça va grandement me servir.
Plugins et astuces pour sécuriser et optimiser WordPress (2 years ago)
[...] Sécuriser votre admin WordPress (Journal du Blog, 19/08/09) [...]
J’ai eu chaud… | Chez Drine (2 years ago)
[...] on vient de me faire passer un lien vers cet article, sympa, merci, je vais m’en occuper de suite : http://www.lejournaldublog.com.....wordpress/ [...]
ALLNews (2 years ago)
Super les deux premières astuces, + l’utilisation d’une connexion sécurisée SSL ! Thanks
L’essentiel des news de la blogosphère #8 | ALLNews.fr (2 years ago)
[...] Quelques solutions simples et efficaces pour protéger l’admin/dashboard de votre blog. [...]
Julien (2 years ago)
Très bon comme compilation.
Oliveryck (2 years ago)
Sympa cette compilation « d’astuces » pour sécuriser son blog!
J’aurais bien tenter le cryptage par le plugin Semisecure Login Reimagined mais pas d’openssl sur pages perso de free…(ben oui vous allez me dire quelle idée d’héberger mon blog chez free hein
)
Si vous avez une autre solution…
Merci
Beghoura (1 year ago)
Bonjour,
J’ai renommé le noms de mas tables. j’ai changé par exemple la table wp_users par as_user. je suis passé pour cela par un plugin wordpress. Apparemment, le plugin m’a signalé un changement de noms avec succès. Sauf que je n’arrive plus à me loguer en tant qu’admin. Il me dit que je n’ai pas les droits d’administrateur. De plus, lorsque j’ouvre la page de connexion, une page m’indique une erreur 500. J’ai pourtant réinitialisé mon mot de passe comme indiqué sur wordpress. Auriez-vous une solution afin que je retrouve mes droits admin. Est ce que cela vient du fait que mes tables soient maintenant en as_ au lieu de wp_ ?
Par avance merci
Clair Dufek (9 months ago)
considerable post you’ve annex
SRDS Informatique (9 months ago)
SRDS Informatique peut effectuer une installation sécurisée de WordPress
Mohamed (7 months ago)
Salut, je m’appelle MOHAMMED merci pour ce information très complet. Ne faudrait-il pas préciser que, pour réussir sur les digg-like et les social bookmarks. il vaut mieux avoir une équipe de supporters pour aider tes articles
Veuillez agréez, Monsieur, mes salutations distinguées.
Merci pour tes encouragements et merci de votre compréhension.
JackPot (5 months ago)
La sécurité c’est important pour sûr, et même si votre site n’est pas super connu il risque d’être hacké. Je suis le webmaster de plusieurs sites et même si je suis parano, j’ai eu deux sites piratés. Un sous osCommerce et l’autre sous une vieille version de WP alors que le traffic de ce blog était proche de zéro… Le mieux reste de faire des sauvegardes régulières et de surveiller son site tous les jours.
Tendance Parfum (5 months ago)
Très bon post romain…
Sécuriser Wordpress, Cpanel et WHM. (3 months ago)
[...] 10 trucs simples pour protéger votre blogueSécuriser son blog WordPress #3Sécuriser WordPressSécuriser votre Admin WordPressQuelques conseils pour sécuriser WordPressSécuriser son blog WordPressPlugin pour contrôler la [...]
protection des plantes par les insectes (2 months ago)
Merci d’avoir regroupé toutes ces infos, tous cela me semble très complet. Au boulot
Didactory - Sites éducatifs (2 months ago)
Brr, ça fait froid dans le dos de voir toutes les possibilités d’être hacké. Merci pour tous ces conseils. Je ne connaissais pas certains plugins, je vais m’empresser de les essayer.