Il y a quelques jours CloudFlare a rapporté qu’un énorme botnet était en train d’attaquer des milliers de sites Joomla et WordPress via une attaque par brute-force sur les mots de passe des comptes admin. Je vais donc vous faire une liste de mesures a prendre et de plugins a installer pour mieux proteger votre blog. Bien sur cette liste n’est pas exhaustive mais permet de se protéger de beaucoup d’attaques.
Source : http://securitywatch.pcmag.com/security/310350-wordpress-joomla-sites-under-brute-force-password-attack
Voici donc quelques techniques de base pour protéger au mieux son CMS.
1/ Mettre à jour régulièrement son CMS ainsi que les thèmes et plugins
Le mieux est de lister tous les plugins et thèmes installé sur votre CMS et de vérifier régulièrement toutes les mises à jour. Tout ce qui n’est pas à jour peut présenter des failles potentielles de sécurité.
2/ Virer ce qui est louche et ce qui ne nous sert pas
De nombreuses backdoors sont présente dans des plugins ou des thèmes gratuits trouvés sur des sites spécialisé un peu louche. Par exemple des thèmes « gratuit » alors qu’à la base ils sont payant… Alors un conseil vérifier la crédibilité du site ou vous télécharger et si vous codez un peux vérifier les codes sources directement.
3/ Modifier l’emplacement des pages d’administration
Si vous avez un WordPress par exemple le login admin se fait sur la page /wp-admin/ par exemple. Le mieux est de modifier l’adresse de cette page pour qu’aucun pirate ne puisse la trouver…
4/ Supprimer les comptes par default style « admin » et utiliser un bon mot de passe.
Des sites permettent de générer des mots de passe costaud (8 caractères minimum alpha numérique avec minuscules et majuscules et caractères spéciaux style $.@£ù*…). Et bien sûr supprimer les comptes par default style « admin » ou « root »…
5/ Détecter les tentatives de brute force ou de login malintentionné
Des plugins du style Google Authenticator, Limit Login Attempts, WordFence ou Better WP Security (plugins WordPress). Peuvent être super pratique pour se prémunir ou vérifier si vous vous faites attaquer
6/ Sécurisez votre hébergement
Si les pirates n’arrivent pas à accéder à votre CMS ils vont surement passer par un autre chemin. Il faut alors penser à sécuriser votre hébergement. Des logiciels comme Fail2ban peuvent vous être très utiles.
7/ Les backups
Le moyen le plus efficace en cas d’attaque c’est bien sur les backups. Faire des sauvegardes régulières de vos sites et de vos bases de données peut éviter les catastrophes et des sueurs froides…
Autre :
Si vous avez d’autres idées n’hésitez pas à les partager dans les commentaires !
Salut,
C'est Michel de Le Blog Du Hacker
Je veux bien te répondre mais sans mail valide et sans page de contact ça risque d'être difficile !