Attaque en cours : Comment sécuriser un site WordPress

Vous l’avez peut-être entendu, depuis ce we (13-14 avril 2013) une attaque d’envergure contre des sites/blogs utilsant WordPress est en cours.

Tweet HackWordPress Massive WordPress Attack

On en parle ici, ici, sur wordpress-fr.net et Matt Mullenweg a rédigé un post à ce sujet. Voici les fondamentaux pour sécuriser un site WordPress.

Une attaque massive par brute force

Le principe de ce genre d’attaque est simple. Des pirates essaient de deviner votre identifiant et mot de passe pour accéder à votre site et le pirater. Même si depuis sa version 3.0 WordPress permet de choisir son identifiant lors de l’installation, de nombreux administrateurs ont utilisé par défaut l’identifiant « admin ». La moitié du chemin est parcouru puisqu’il ne reste plus qu’à deviner votre mot de passe.

Les pirates utilisent des réseaux de machines (botnets) afin de mutliplier le nombre de tentatives. Des milliers de robots (les bots) vont alors tenter des combinaisons de login/mot de passe afin de forcer le cadenas de votre site.

Attention aux mots de passe faibles

Le problème se pose si vous avez choisi un mot de passe faible. Pour effectuer ce genre d’attaque les pirates demandent à des machines robots de tenter des listes de mots de passes en se servant d’une sorte de dictionnaire. Pour vous donner un exemple voici les mots de passe qu’on retrouve le plus fréquemment lors de ces attaques :

  • admin
  • admin123
  • 123456
  • 123123
  • 123456789
  • password
  • 1234
  • root
  • 1234567
  • 12345
  • qwerty
  • welcome
  • pass
  • abc123
  • 12345678
  • 1111
  • test
  • monkey
  • iloveyou
  • dragon
  • demo

La solution : sécuriser un site WordPress

Protéger le compte administrateur

Puisque les pirates tentent d’accéder à votre site avec le login « admin » et les mots de passe évoqués plus haut, la solution consiste à changer l’identifiant du compte administrateur si celui-ci est admin, et à renouveler son mot de passe en en choisissant un plus fort.

Limiter le nombre de tentatives de connexions

Il existe plusieurs moyens de limiter les tentatives de connexion.

Etant donné que des milliers de machines sont utilisées le blocage par adresse IP ne sera pas efficace (l’hébergeur Hostgator qui a publié l’alerte ce we aurait dénombré plus de 90 000 adresses IP différentes).

Une meilleure alternative consiste à activer une authentification en 2 temps (2-factor authentication). Il existe bien entendu un plugin pour le mettre en place rapidement sur votre site : le plugin Google Authenticator.

Mettre à jour sa version de WordPress et les plugins

Des failles de sécurité sont régulièrement corrigées dans WordPress, il faut le mettre à jour (à l’heure de cet article on en est à la version 3.5.1) ainsi que les plugins.

Conclusion

Si vous n’utilisez pas l’identifiant admin, que votre mot de passe est un peu plus compliqué à trouver que « 123456 » ou « motdepasse » et que votre site WordPress et ses plugins sont à jour, vous ne devriez pas vous affoler.

Si vous avez besoin d’aide pour sécuriser votre site WordPress, n’hésitez pas à nous contacter.

 

 

Exprimez vous!

*