1. La Semaine Du Web - 2013
WordPress Algérie
Sécuriser un site
WordPress
SLIMANI Nour El Houda
2. WordPress Algérie
La Semaine Du Web - 2013
Sommaire
•
•
•
•
Introduction
Raisons pour pirater un site
Les risques les plus connus
Techniques de base pour sécuriser un site WordPress
– Lors de l’installation
– Après l’installation
– Plugins requis
• Conclusion
3. WordPress Algérie
La Semaine Du Web - 2013
Introduction
• Saviez-vous que WordPress est le CMS open source le plus
utilisé au monde ?
• Environ 15% des sites internet dans le monde s’en servent.
• Qui dit succès, dit revers de la médaille! Il est donc nécessaire de
se protéger le mieux possible.
• WordPress est un logiciel de gestion de contenu très sécuritaire
mais qu’aucun système même très protégé n’est infaillible.
• La sécurité 100 % n’existe pas sur Internet ni d’ailleurs dans
n’importe quel domaine.
4. La Semaine Du Web - 2013
Le problème du hacking est
sans fin !
WordPress Algérie
5. La Semaine Du Web - 2013
WordPress Algérie
The web site whose URL is written in this
note shall be hacked !
6.
7. La Semaine Du Web - 2013
WordPress Algérie
Si mon site se fait pirater, je le saurai assez
rapidement ??
8. La Semaine Du Web - 2013
WordPress Algérie
Les causes les plus fréquentes de la vulnérabilité des
blogs Wordpress
•
•
•
•
•
Version Wordpress obsolète
Installation de thèmes et plugins douteux.
Le niveau de sécurité faible du mot de passe.
Accès FTP volés.
Problèmes de sécurité avec l’hébergeur
9. La Semaine Du Web - 2013
WordPress Algérie
Raisons pour pirater un site
• La redirection du trafic vers d’autres sites.
• L’utilisation du site pour voler les informations critiques.
• L’insertion de liens de spams dans le contenu du site en
question (articles et commentaires) pour améliorer le
référencement de leurs sites.
• Tant que vous avez un site wordpress, il y aura toujours des
raisons de vous faire pirater.
• Just for the fun :p
11. Tout le monde n'a pas forcément les
compétences techniques pour trouver
les failles de son site ni savoir les
combler afin de dormir sur ses 2 oreilles.
SÉCURISER WORDPRESS :
COMMENT FAIRE ?
12. La Semaine Du Web - 2013
WordPress Algérie
Sécuriser Wordpress:
Quelques clefs pour améliorer la protection de
votre plate-forme Web.
14. WordPress Algérie
La Semaine Du Web - 2013
Sécuriser Wordpress:
Dès l’installation : il faut se préparer au pire !
Mieux vaut prévenir que guérir !
15. La Semaine Du Web - 2013
Compte Admin :
Eliminer le maillon faible!
Virez moi ce
« Admin »
WordPress Algérie
16. WordPress Algérie
La Semaine Du Web - 2013
Compte Admin
• Admin est le maillon faible des utilisateurs de Wordpress.
• Choisissez autre chose que le traditionnel “admin”, le but du jeu est de mettre
des bâtons dans les roues à ceux qui veulent vous nuire !
• Si vous manquez d'inspiration : Le plugin Wordpress Google Authenticator ;)
17. WordPress Algérie
La Semaine Du Web - 2013
I.2 Mot de passe
• Disposer d’un mot de passe d’au moins 8 caractères incluant :
– Majuscules & Miniscules
– Des chiffres ;
– Des symboles spéciaux ;
• Blindez le mot de passe dans le genre
« jesuis_*_sur=que@tu&nele|trouveras$pas »
• Laissez faire votre imagination ou un générateur de mot de passe!
• Évitez toute donnée faisant référence à votre vie personnelle
• Plugin Limit Login Attempts : limiter le nombre de tentatives dans
un temps donné (ex : 3 tentatives toutes les 10minutes.
18. La Semaine Du Web - 2013
WordPress Algérie
I.3 Préfixes de tables : Protéger sa base de données
• Modifiez vos préfixes de tables à l’installation, au lieu de wp_
préférez un truc du genre : « commenttuvasgalerer_ »
• Renforcer la sécurité de votre BDD d’injections SQL qui
peuvent transformer votre blog en ferme de lien.
• Plugin WP Security Scan permet de renommer le préfixe.
19. La Semaine Du Web - 2013
WordPress Algérie
Once the installation process is complete
there is still quite a bit of work to be done
securing WordPress.
20. La Semaine Du Web - 2013
Archivez, Archivez, Archivez !
WordPress Algérie
21. La Semaine Du Web - 2013
WordPress Algérie
Archivage et sauvegarde
• Même si on a beau bien se protéger, notre vie peut prendre
une tournure différente ! Backup, Backup, Backup !
• Faut toujours avoir un plan de sauvegarde et de restauration.
• Avant toute intervention, faites des backup régulièrement de
votre site WordPress
– Votre base de données MySQL ;
– Votre compte FTP ;
22. La Semaine Du Web - 2013
WordPress Algérie
Archivage et sauvegarde : WP-DB-Backup
•
•
•
•
Sauvegarder la base de données WordPress
Choisir les tables à sauvegarder,
Recevoir les tables par eMail,
La base de données pourra être réinjectée à distance elle
aussi.
24. WordPress Algérie
La Semaine Du Web - 2013
Si seulement …
•
•
•
•
•
Sauvegarder Wordpress dans son intégralité (Base de données+ fichiers),
L’envoyer par mail
Sur FTP ( dans un dossier de sauvegarde)
Soit dans un autre FTP (plus malin je trouve ^^)
Vers DropBox: Recevoir chaque {mois|semaine|jour|heure} une
sauvegarde du FTP sur mon bureau dans le dossier DropBox de mon
Ordi donc même si le pirate met le feu chez moi, OSEF :p je pourrai tjrs
récupérer ma sauvegarde.
• Et pourquoi pas d’autres options en plus :p ? Juste pour la beauté de mes
yeux , hein ?? J’ai le droit de rêver au final :p
• Avant que j’oublie … Faut qu’il soit gratuit comme on les aime ;)
26. WordPress Algérie
La Semaine Du Web - 2013
BackWPup
•
•
•
•
•
•
•
Plugin de sauvegarde le plus complet
Sauvegarde de la Base de données
Export articles et pages en XML
Optimisation et réparation de la Base de données
Sauvegarde des fichiers et répertoires
Backup aux formats zip, tar, tar.gz, tar.bz2
Sauvegarde envoyée sur votre serveur FTP, Amazon S3, Google
Storage, Microsoft Azure, RackSpaceCloud, Dropbox, SugarSync...
• Envoi des logs et backups sur votre email
28. La Semaine Du Web - 2013
WordPress Algérie
Installation des extensions & plugins
• N’installez pas n’importe quoi sur votre site :
• Préférez les extensions proposées par le site officiel de WordPress
• Favoriser ceux qui ont des mises à jours régulière et faites les ces
mises à jour,
• Choisissez les extensions qui ont un nombre de vote (et de votant)
très bon
• Un plugin qui n’est pas souvent mis à jour peut contenir des
failles de sécurité.
• Informez-vous sur les rapports de bug et failles de sécurité desdits
plugins.
29. La Semaine Du Web - 2013
WordPress Algérie
Mise à jour extensions et version Wordpress
La mise à jour de son blog peut donner quelques sueurs froides
mais le piratage de votre blog pourrait vous donner un mal de
tête bien plus conséquent !!!
• Tenir à jour votre architecture WordPress et vos extensions,
• Tenez vous également au courant des mises à jour de votre
thème…Et appliquez les ;)
30. La Semaine Du Web - 2013
WordPress Algérie
Protéger les accès à Wordpress et ses répertoires
• Avoir un mot de passe digne de ce nom.
• Sachez convenablement organiser votre thème
• Protéger repertoires sensibles
– Regle générale : 755 pour les folders & 644 pour les files,
– .htaccess : Options All –Indexes
• Améliorer encore la sécurité avec le plugin «Ask Apache ».
– Protéger le dossier wp-admin par une authentification au niveau du
serveur.
– Désactiver les liens malveillants et l’accès direct aux répertoires wpcontent et wp-includes
32. La Semaine Du Web - 2013
WordPress Algérie
Niveau intermédiaire
• Prendre toutes les précautions nécessaire à la protection de
votre site, c’est bien.
Mais
• Ne pas exposer vos données sensibles aux grand soleil, c’est
encore mieux.
33. La Semaine Du Web - 2013
WordPress Algérie
Suppression du fichier readme.html
• Placé à la racine de votre site, ce fichier contient la version
WordPress de votre site,
(testez avec www.votresite.com/readme.html).
34. La Semaine Du Web - 2013
WordPress Algérie
Chouchoutez vos fichiers sensibles !
• “wp-config.php”
• “.htaccess”
35. La Semaine Du Web - 2013
WordPress Algérie
Protéger wp-config.php
• Erreurs PHP qui offrent l’accès au fichier wp-config.php
• Le fichier wp-config.php peut-être protégé par des clés de sécurité alors
pourquoi s’en priver ?
• Générer et y insérez les grâce au lien :https://api.wordpress.org/secret-key/1.1/salt/
• Reconnecter sur vos bloc après cette manipulation
36. La Semaine Du Web - 2013
WordPress Algérie
Exemple de clefs d’authentification et salage
37. WordPress Algérie
La Semaine Du Web - 2013
Protéger .htaccess
• Restreindre les droits d’accès au seul propriétaire
– A partir d’un navigateur FTP ( ex: Filezilla)« Droit d’accès au fichier » =>
644
– Grâce à WP Security Scan
• Protégez votre fichier .htaccess
39. La Semaine Du Web - 2013
WordPress Algérie
Masquez votre version
• Editer le fichier functions.php : présent dans votre thème
(dans /wp-content/themes/VotreTheme) et ajouter:
• Editer le fichier header.php en supprimant la ligne :
• Autre alternative : l’extension Better security WP.
• Jouer avec vos assaillants en leur mentant sur la version que
vous utilisez avec le plugin Replace WP-Version ;)
40. La Semaine Du Web - 2013
WordPress Algérie
Empêcher les attaques par Brute Forcing :
• Bloquer les tentatives multiples de connexions au panneau
d’administration
• Remédier à cela en utilisant le plugin Login LockDown .
41. La Semaine Du Web - 2013
WordPress Algérie
Limiter le nombre de tentatives de connexions
• Blocage par adresse IP ne sera pas efficace
• Une meilleure alternative consiste à activer une
authentification en 2 temps (2-factor authentication) :
• Plugin pour le mettre en place rapidement sur votre site :
Google Authenticator.
42. La Semaine Du Web - 2013
WordPress Algérie
Désactiver Windows Live Writer ) :
• WordPress vous offres la possibilité de publier vos articles via
Une ligne de
Windows Live Writer.
code suspecte
• Supprimer les lignes indésirables
se cache ici !
• Editer le fichier functions.php:
43. La Semaine Du Web - 2013
WordPress Algérie
Attention à failles TimThumb
• Script TimThumb .
• Ré-écrire le fichier .htaccess
• Le plugin TimThumb Vulnerability
44. La Semaine Du Web - 2013
WordPress Algérie
Quelques précautions supplémentaires
• Ne laisser aucune donnée sensible dans wp-content !
– Ex: L’archive de base de données que certains plugins comme WPbackup le stockent dans wp-content.
• Supprimer tous les utilisateurs inactifs à fort pouvoir
(administrateur).
45. La Semaine Du Web - 2013
WordPress Algérie
Des plugins à votre secours !
• Better WP Security
• WP-Scurity Scan
• TAC (Theme Authenticity Checker)
47. La Semaine Du Web - 2013
WordPress Algérie
Masquer les erreurs de connexion
• Renforcer la sécurité en masquant les erreurs de connexion
affichés lors de tentative infructueuse.
=> Eviter de divulguer les messages aux yeux de tous
• Editer le fichier functions.php de votre thème et d’y ajouter:
• Recommencer cette manipulation Si vous changiez de thème.
49. La Semaine Du Web - 2013
WordPress Algérie
Antivirus pour Wordpress: Wordfence
•
•
•
•
Gratuit & Puissant
Analyse en profondeur un site Wordpress
Accès au fichier incriminé pour rapidement faire le ménage
Visualiseur géolocalisé et en direct du trafic de votre site
50. La Semaine Du Web - 2013
WordPress Algérie
Anti-Malware (Get Off Malicious Scripts)
• Anti-Malware/Anti-virus Plugin
• Solution prometteuse !
51. WordPress Algérie
La Semaine Du Web - 2013
Theme check
• Utilitaire simple et efficace pour analyser votre thème
• Un très bon outil
52. La Semaine Du Web - 2013
WordPress Algérie
WordPress Firewall 2
•
•
•
•
•
•
•
Bloquer les directory traversals
Bloquer les requêtes d’injection SQL
Bloquer les termes spécifiques ( wp_, user_login, etc.)
Bloquer l’upload de fichier .exe, .php
Avertir par mail en cas de tentatives d’attaques
Rediriger les attaques vers une page 404 ou la page d’accueil
Et bien d’autres fonctionnalités que je vous laisse découvrir….
53. WordPress Algérie
La Semaine Du Web - 2013
C’est la vie !
• En dépit de toutes précautions le risque ne sera jamais nul !
le risque zéro n'existe pas...
• Pour prévenir toute mauvaise surprise, il convient de faire
des backups régulièrement.
• Le plugin WP-Database Backup est une bonne solution !
54. La Semaine Du Web - 2013
WordPress Algérie
SLIMANI Nour EL Houda
PhD Student at Laboratory
of Research in Artificial
Intelligence LRIA, USTHB.
Wordpress Member
Web developper
Just Me ;)
WordPress