Qui aurait cru qu’un blog plut\u00f4t confidentiel comme le mien se fasse attaquer? Certainement pas moi. Pourtant, il ne faut pas oublier les petits malins qui utilisent des attaques aveugles juste pour tester ou s’amuser. Comme beaucoup de monde, 34% des sites web<\/a>1<\/a><\/sup>, j’utilise WordPress. \u00c0 l’instar de la majorit\u00e9 des virus qui s’attaquent \u00e0 Windows, les bots s’attaquent aux sites WP<\/a>. Si seulement j’avais mis en place les 5 protections hypers simples…<\/p>\n\n\n\n Pour moi, c’\u00e9tait juste emb\u00eatant dans le sens o\u00f9 j’ai perdu les 4 ou 5 derniers billets. De plus, j’\u00e9tais au Japon et j’avais d\u00e9cid\u00e9 de tenir mes lecteurs au courant de mes aventures. Bref, blog down, Nico est feignant… Il r\u00e9pare le tout durant l’inter-saison. Tout va pour le mieux dans le meilleur des mondes. Surtout, j’ai appris de mes erreurs. C’est tout simple de se prot\u00e9ger de ces attaques. Certaines choses sont \u00e9videntes, mais je ne l’avais pas fait2<\/a><\/sup>.<\/p>\n\n\n\n On nous parle souvent de s\u00e9curit\u00e9 au point qu’on se dit que c’est bon, l’h\u00e9bergeur prend en charge… Et bien non, pas n\u00e9cessairement. J’\u00e9tais chez un h\u00e9bergeur tr\u00e8s comp\u00e9titif en Tch\u00e9quie, wedos, mais il aurait fallu que je change de formule pour avoir un site en HTTPS3<\/a><\/sup>. Le procrastinateur avait encore pris le dessus et je ne l’avais pas fait. J’en profite pour regarder les offres ailleurs. Je me rends compte que LWS<\/a>, chez qui j’ai achet\u00e9 mon nom de domaine en .be, a cette option de base dans sa formule LWS perso et qu’il suffit de l’activer. C’est la m\u00eame chose chez OVH.<\/p>\n\n\n\n Une fois que vous avez obtenu le certificat chez votre h\u00e9bergeur, il suffit de revenir dans votre panneau de contr\u00f4le WordPress et ajouter https<\/em> devant votre nom de site.<\/p>\n\n\n\n Ici, cela peut para\u00eetre con, parce que c’est \u00e9vident que le core<\/em> WP ainsi que les extensions doivent \u00eatre \u00e0 jour. J’ai d’ailleurs automatis\u00e9 cela. C’est simple et efficace. J’utilise un th\u00e8me connu colormag<\/a> et les plugins habituels, tels que Akismet<\/a> ou Jetpack<\/a>. Il manquait pourtant des mises-\u00e0-jour: le PHP4<\/a><\/sup> ainsi que de ma base de donn\u00e9es MySQL<\/a>. Je ne pense pas que l’attaque soit arriv\u00e9e de l\u00e0, mais autant faire attention \u00e0 tout.<\/p>\n\n\n\n Comme dit un peu plus haut, WP est tr\u00e8s populaire d\u00fb \u00e0 sa facilit\u00e9. Bien que la s\u00e9curit\u00e9 soit prioritaire, il y a deux grosses faiblesses \u00e0 \u00e9liminer imm\u00e9diatement<\/p>\n\n\n\n L’utilisateur \u00ab\u00a0de base\u00a0\u00bb est l’administrateur et se pr\u00e9sente sous admin. Il faut changer directement. En fait, si vous ne changez pas, le log par d\u00e9faut est \u00ab\u00a0admin\u00a0\u00bb, donc il suffit de corrompre votre mot de passe pour avoir acc\u00e8s \u00e0 votre site. Pour changer cela, vous allez dans le menu utilisateurs, cr\u00e9er un nouveau \u00e0 qui vous donnez les droits administrateur<\/em>, puis vous effacez l’admin par d\u00e9faut. <\/p>\n\n\n\n Bien que le sous-titre puisse para\u00eetre un peu compliqu\u00e9<\/em>, c’est tr\u00e8s simple. Votre base de donn\u00e9es va recevoir divers dossiers de la part de Worpdress. Par d\u00e9faut, ils ont tous cette forme:<\/p>\n\n\n\n WP doit \u00eatre renomm\u00e9 en un autre pr\u00e9fixe quelconque. La manipulation pour changer cela est extr\u00eamement ais\u00e9e. Vous allez dans votre panneau PHPMyAdmin, puis dans base de donn\u00e9es en ensuite vous activez Tout cocher <\/em>dans structure<\/em> et enfin dans le menu d\u00e9roulant avec la s\u00e9lection<\/em> vous trouverez remplacer le pr\u00e9fixe \u00e0 la table<\/em>. Vous prenez un pr\u00e9fixe de votre choix et c’est r\u00e9gl\u00e9.<\/p>\n\n\n\n Gr\u00e2ce \u00e0 ces deux manips, une attaque traditionnelle sur WP sera d\u00e9jou\u00e9e sans effort.<\/p>\n\n\n\n L’id\u00e9e m’a \u00e9t\u00e9 sugg\u00e9r\u00e9e par LWS<\/a>. Parfois cela me g\u00eane, mais je l’ai gard\u00e9e: un captcha sur ma page de login. L’extension Login No Captcha reCAPTCHA<\/a> est parfaite pour cela. Lorsque vous voulez vous connecter \u00e0 votre site, vous devez prouver que vous n’\u00eates pas un robot. J’avoue que parfois cela me semble exag\u00e9r\u00e9, mais au bout du compte, cela me convient. <\/p>\n\n\n\n \u00c0 notre niveau de blogueur Cloudflare <\/a>est un service de s\u00e9curit\u00e9 sur le web qui emp\u00eache les attaques brutes. Wikipedia<\/a> donne plus d’informations et ma description est clairement simpliste. Cependant, la version gratuite permet de se faire rediriger via leurs serveurs qui scrutent les attaques. Il suffit de cr\u00e9er un compte puis de changer les param\u00e8tres DNS<\/a>. Je vais vulgariser: le Domaine Name System sert \u00e0 retrouver votre site web via son adresse. Au lieu d’avoir votre fournisseur qui s’en occupe, vous demandez \u00e0 Cloudfare de s’en occuper pour lui. En m\u00eame temps, il scrute ceux qui cherchent votre adresse.<\/p>\n\n\n\n C’est comme si la poste demandait \u00e0 s\u00e9curitas de d\u00e9livrer votre courrier. Alors que les gardes s\u00e9curisent votre domicile, que personne ne peut s’en approcher, vous \u00eates quand m\u00eame livr\u00e9 lorsque vous commandez une pizza.<\/p>Nicolas Boucher (qui rigole bien de cette m\u00e9taphore \u00e0 la con. Que les puristes s’insurgent!)<\/cite><\/blockquote>\n\n\n\n Je pense sinc\u00e8rement qu’avec ces quelques astuces, la plupart des attaques seront d\u00e9jou\u00e9es, mais vous pouvez continuer \u00e0 s\u00e9curiser gr\u00e2ce aux conseils hardening wordpress<\/a>. J’ai vraiment perdu beaucoup de temps \u00e0 cause d’une attaque relativement simple alors je pense que ces quelques manipulations sont bienvenues. Aussi, n’oubliez pas votre backup.<\/p>\n Durant l’hiver 2020, je me suis fait hacker mon blog. J’ai perdu pas mal de temps et d’\u00e9nergie pour rien.<\/p>","protected":false},"author":1,"featured_media":2422,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[29],"tags":[86,84,91,87,90,88,89,85,92,83],"yoast_head":"\nHTTPS<\/h3>\n\n\n\n
![\"\"](\"https:\/\/www.dreamsandmoods.be\/wp-content\/uploads\/2020\/07\/Capture-d\u2019\u00e9cran-9-1024x576.png\")
![\"ajouter](\"https:\/\/www.dreamsandmoods.be\/wp-content\/uploads\/2020\/07\/Capture-d\u2019\u00e9cran-13-1024x576.png\")
<\/figure>\n\n\n\n\u00catre \u00e0 jour<\/h2>\n\n\n\n
![\"\"](\"https:\/\/www.dreamsandmoods.be\/wp-content\/uploads\/2020\/07\/Capture-d\u2019\u00e9cran-10-1024x576.png\")
Contrer les faiblesses WordPress<\/h2>\n\n\n\n
admin<\/h4>\n\n\n\n
pr\u00e9fixe table MySQL<\/h4>\n\n\n\n
WP_commentmeta\nWP_comments\nWP_options\netc.<\/pre>\n\n\n\n
![\"\"](\"https:\/\/www.dreamsandmoods.be\/wp-content\/uploads\/2020\/07\/Capture-d\u2019\u00e9cran-11-1024x576.png\")
<\/figure>\n\n\n\nCaptcha<\/h2>\n\n\n\n
Cloudflare<\/h2>\n\n\n\n