Tout votre business est il à la merci des hackers ?

3 mai 2012 By 37 Comments

La plupart des blogueurs utilisent pour construire amoureusement leur site, un WordPress. C’est facile à utiliser, avec les plugins on peut y ajouter pratiquement toutes les options souhaitées et avec les innombrables thèmes disponibles, on trouve son bonheur sans trop de frais.

Le blogueur peut donc s’adonner à son plaisir d’écrire et y passer de nombreuses heures …

Un matin, soit un visiteur, soit un ami, lui signale par email que son site ne s’affiche plus et qu’à la place le navigateur déclare que le site est potentiellement dangereux invitant le visiteur à passer son chemin pour le moment … mais depuis combien de temps cela dure sans avoir été avertit ?

Combien de visiteurs ont été refoulé ? Mais que se passe t’il ?

La première chose qu’il fera ce sera d’aller dans son tableau de bord pour tenter d’y voir quelque chose à comprendre … mais horreur, il ne parvient même pas à entrer, un gros message d’erreur vulgaire s’affiche sur l’écran et impossible d’aller plus loin !?

Puis il se demandera de quand date son dernier backup, oups 6 mois ???? (quand il n’a pas tout simplement omis de le faire).

Il tentera alors d’écraser quelques fichiers principaux espérant récupérer au moins une partie mais très souvent, cela ne marchera pas et en tous cas, cela ne bouchera pas les failles existantes.

Mais que s’est il passé ?

Il existe des gens dont c’est le passe-temps, chercher des failles et les exploiter.

Parfois, c’est juste un sport, ils se disent entre eux, « moi j’ai hacké 25 sites » et l’autre « moi, c’est 26 » et c’est celui qui a la plus grosse qui gagne.

Plus embêtant, ils effacent parfois la totalité des fichiers et même parfois de la base de données, on appelle cela un defacement. Ils profitent d’une faille pour déposer un script lancé juste après, et c’est une des fonctions de ce script, effacer tous les fichiers si possible.

Le méchant va plus loin, il ajoute à certains fichiers de votre site un bout de code, presqu’invisible mais chaque visiteur qui vient chez vous exécute ce bout de code sur sa machine sans le savoir, la principale fonction de ce code sera d’installer un virus sur la machine du visiteur et de faire le plus de dégâts possibles, voir contaminer d’autres machines par toutes sortes de moyens.

Souvent il y a tellement de fichiers contaminés dans tous les répertoires de votre site, qu’écraser le fichier principal avec un fichier sain ne suffit pas, et quand le robot de Google passe par votre site et qu’il détecte l’infection, il met votre site de côté en affichant ce fameux message de site dangereux, en plus il n’est pas clairement indiqué comment s’en sortir !

Et vous, savez vous comment sortir de cet état ??
(A la fin, je vous expliquerais comment sortir de cette liste noire).

Chaque plugin, chaque thème est une potentielle porte ouverte à ces attaques si on y fait pas attention.

La prévention toute simple

Quelques étapes assez simples peuvent déjà permettre la récupération d’un blog attaqué mais attention, la faille est alors toujours présente, il va falloir faire les mises à jour de WordPress, plugins et thèmes et investiguer pour déterminer le problème après la restauration.

Avec un plugin gratuit comme « wp db backup », on peut déjà recevoir une fois par semaine une copie de sa base de données par email sans y penser.

Normalement, votre hébergeur met à votre disposition un « Cpanel » (ou équivalant) pour la gestion de votre hébergement, en un clic, on sauve le contenu de son site, et un autre clic pour sauvegarder la base de données. Si on garde un backup mensuel, hebdomadaire et journalier en cas de frénésie d’écriture d’articles, vous devriez pouvoir récupérer votre site avec le moins de dégâts possibles.

Certains hébergeurs gardent un backup journalier de leurs clients avec un historique sur 5 jours ou plus, il suffit alors de lui demander de restaurer votre site à une date donnée et de vite faire le ménage, mais tous les hébergeurs ne le proposent pas, et quand ils le font, autant s’assurer que la restauration va réellement fonctionner.

Il m’est déjà arrivé de me sentir en sécurité par le backup de mon hébergeur mais un jour, j’en ai eu besoin et nous avons alors constaté qu’en fait, il ne fonctionnait pas !

Autant rester autonome !

Mes 5 meilleurs tuyaux pour surveiller et sécuriser mon WordPress

Afin de faire de la prévention plus poussée et d’anticiper certaines attaques, des plugins gratuits sont disponibles.

wp db manager (Gestion de la base de données de WordPress.)

Ce plugin permet d’optimiser la base de données (parfois avec le temps, la base contient des trous qui ralentissent les accès au site), de réparer la base de données, de sauvegarder la base de données (sur le serveur, par email ou directement sur votre machine), restaurer la base de données directement depuis un backup présent sur le serveur.

Le plugin permet également de sauver de façon régulière et automatique la base de données ainsi que l’optimisation et sa réparation.

Sucuri (Le meilleur moyen de savoir si votre site est infecté)

Sucuri permet de scanner votre site et détecter les logiciels malveillants depuis un dictionnaire de scripts en liste noire. Il affiche le résultat dans votre tableau de bord. Il vous dira également si vous êtes bloqué par Google par exemple ou un autre site qui protège les visiteurs.

Un lien permet de nettoyer le logiciel malveillant, mais à tester !

Le tout est gratuit.

wordfence (Wordfence Security est un plugin qui inclus un firewall, scanner de virus, affichage du trafic en temps réel avec géolocation etc.)

Wordfence Security est de qualité professionnelle et gratuit mais il est nécessaire de s’enregistrer pour obtenir une clef qui vous sera demandée à l’activation du plugin. Il est possible d’acheter des clefs ‘Premium’ avec plus de fonctions.

Wordfence c’est:

  • Examine les fichiers de WordPress et les compare avec ceux d’origine pour vérifier leur intégrité. Donc à la moindre modification anormale, vous êtes avertit.
  • Il fonctionne sur les WordPress installé en MU (multi-site).
  • La clef ‘premium‘ (payante) examine aussi les fichiers des thèmes et des plugins pour vérifier leur intégrité par rapport aux originaux.
  • Voir quels sont les fichiers qui ont été modifiés sans raison, et les réparer.
  • Possède un dictionnaire de 44,000 logiciels malveillants et variantes connues.
  • Scanne en continu pour détecter les logiciels malveillants dans les articles, les liens dans les commentaires laissés par des visiteurs.
  • Vérification de la complexité des mots de passe pour assurer une meilleure sécurité.
  • Surveillance de vos paramètres de domaine pour éviter les détournements vers des sites illicites.
  • Inclus un firewall pour bloquer certaines attaques depuis des robots et des hackers.
  • Limite les accès ‘anormaux‘ à votre site par exemple dans le but de chercher à planter votre site ou chercher des failles.
  • Choisir quand et comment bloquer les utilisateurs ou les robots qui tentent d’enfreindre vos règles de sécurité comme par exemple tester une liste de login et mot de passe pour entrer dans votre site.
  • Voir en temps réel votre trafic, les robots, les humains, les pages introuvables (404), les connexions, déconnexions de membres du blog, qui consomme le plus vos contenus.
  • Le trafic en temps réel comprend des informations de localisation. Vous saurez ainsi de quel zone géographique vient l’attaque sur votre site et les bloquer.
  • Surveille l’espace disque de votre hébergement, car de nombreuses attaques DDoS tentent de consommer tout l’espace disque pour créer un déni de service, donc un blocage de votre site, voir de tout le serveur où il est hébergé.
  • Wordfence est complet et constamment mis à jour pour intégrer les dernières fonctionnalités de sécurité et de chasser les menaces les plus récentes de sécurité de votre site sous WordPress.

limit login attempts (Limite le nombre de tentatives de connexion, par cookies et par adresse IP.)

Limite le nombre de tentatives de connexion, que ce soit par le formulaire normal ou bien par le cookie d’authentification (quand vous êtes connecté une fois le matin, un cookie vous assure de revenir dans le site déjà identifié plus tard dans la journée).

Par défaut WordPress permet un nombre illimité de tentatives de connexion, soit par la page de connexion ou en envoyant des cookies spéciaux. Cela permet à des personnes mal intentionnées de forcer l’entrée sur votre site en essayant des listes d’identifiants et mots de passe avec une relative facilité.

Limiter les tentatives de connexion empêche une personne ou un robot de faire d’autres tentatives après une limite spécifiée, ce qui rend une attaque difficile, voire impossible.

limit login attempts informe l’utilisateur sur les nouvelles tentatives restantes ou temps de blocage sur ​​la page de connexion. (Après x tentatives échouées, on peut bloquer l’accès par exemple 24h).

Notification par email en option.

Traductions: bulgare, portugais brésilien, catalan, chinois (traditionnel), tchèque, néerlandais, finnois, français, allemand, hongrois, norvégien, persan, roumain, russe, espagnol, suédois, turc.

wordpress firewall 2 (Ce plugin WordPress surveille les requêtes pour identifier et bloquer les principales attaques.)

Ce plugin examine toutes les requêtes sur le site, il identifie les attaques et bloque la plupart d’entre elles. Ce type d’outil est parfois disponible sur votre hébergement mais c’est rare et surtout difficile à configurer, une fausse manœuvre et votre site est bloqué !

J’avais dis 5 tuyaux, mais je ne résiste pas à vous donner encore deux petits bonus, cachez la version de votre WordPress !

Quand un hacker identifie une porte d’entrée dans une version de WordPress, il se met alors à chercher sur Google des sites utilisant cette version, c’est très simple à faire, il suffit de chercher « Powered by wordpress 3.3.xx » ou « Fièrement propulsé par WordPress 3.3.x » selon la version recherchée, et Google lui donne de quoi jouer pendant des mois !

Remove WP version everywhere (Enlève les infos dans la source de WordPress et sa version dans les articles, les pages et le flux RSS)

Un simple plugin sans configuration qui permet de cacher la version de votre WordPress, autant ne pas faciliter la vie aux malveillants.

Et le dernier bonus:)
(Promis, après je vous laisse partir)

Timthumb Vulnerability Scanner

Examine le contenu du répertoire wp-content pour détecter des versions de TimThumb vulnérables et éventuellement les met à jour par un simple clic. Bien des sites se sont retrouvés infectés à cause de cette librairie que la plupart des thèmes utilisent pour créer les miniatures.

A chaque mise à jour ou ajout d’un thème, il est nécessaire de relancer un scan pour s’assurer que la version du script est toujours la dernière version non vulnérable, on peut aussi configurer le scan automatique.

Comment dire à Google que votre site est de nouveau propre ?

Une fois que le site est de nouveau débarrassé des logiciels malveillants, il ne sort pas automatiquement de la liste noire, pas dans un délai rapide en tous cas.

Il faut alors se connecter à l’outil gratuit proposé par Google destiné aux webmasters, ajouter le site si ce n’est pas encore le cas, réaliser un scan et si tout est propre, un lien à cliquer permet de demander à Google de revisiter le site afin de l’enlever de la liste noire.

Http://webmaster.google.com

Et vous, utilisez vous d’autres plugins pour assurer la sécurité de votre business sous WordPress ?

Cet article participe à l’évènement inter-blogueurs « Echanges de compétences » organisé par le blog Copywriting Pratique. Si vous avez lu cet article, à combien l’évalueriez-vous
sur 5 ? Cliquez sur la note de votre choix : 01
2345

Combien d’argent perdez-vous parce que vous n’utilisez pas un rédacteur web pour générer plus de trafic ?

19 mars 2012 By 2 Comments

Quand un visiteur arrive sur votre site, en moins de 10 secondes il décide si oui ou non il va continuer sa visite.

Si il ne comprend pas au premier coup d’oeil ce qu’il va y trouver, un site bariolé de publicités clignotantes, une navigation impossible, un popup (ou plusieurs) qui surgissent, un texte plein de fautes non écrit par un bon rédacteur web, la décision ne va pas tarder, il ferme la fenêtre et passe au site suivant.

Quel dommage de passer du temps à faire venir des visiteurs, de dépenser de l’argent pour acquérir du trafic qui finalement repart en vitesse parce qu’il n’a rien trouvé d’intéressant à lire.

En plus, si votre contenu ne contient aucun des mots clef les plus recherchés dans votre thématique, aucune chance que votre page apparaissent dans les résultats des moteurs de recherche.

Il faut donc augmenter le temps de visite en ajoutant par exemple du contenu intéressant.

Le visiteur se lasse vite…

Si vous écrivez une fois par mois, voir par trimestre, vos visiteurs vous auront oublié en pensant que vous les spammez et bien vite ils se désabonneront de votre lettre d’informations pour ne plus jamais revenir.

Éventuellement, vous penserez à copier le contenu d’un autre site, ce qui va vite vous apporter des ennuis, ou bien prendre les articles sur les répertoires d’articles, mais bien souvent ces articles sont vides et ne contiennent aucune personnalité. La plupart du temps, votre trafic s’en va en fin de lecture puisqu’en fin d’article, vous êtes obligé de laisser les coordonnées de l’auteur qui fait cela uniquement pour attirer votre trafic sur son site !

Vous pouvez bien entendu vous improviser rédacteur web et rédiger vous même votre contenu mais même dans une thématique qui se rapproche de vos passions, un jour ou l’autre vous vous essoufflez, vous manquez d’inspiration et votre trafic s’en ressent également, lassé de ne rien voir de nouveau.

Comment changer la situation

Pour changer cela, rien de tel que d’ajouter du contenu intéressant et régulièrement.

Depuis un article par semaine jusqu’à un par jour, ajouter du contenu a énormément d’avantage.

Le visiteur arrive par une recherche sur votre page et tombe sur un article intéressant en relation avec sa recherche, déjà il y passe du temps pour le lire.

Si l’article lui a donné l’information qu’il cherchait et qu’en dessous on lui donne d’autres articles en relation avec sa recherche, il va en lire plusieurs, donc passer du temps sur votre site en parcourant plusieurs pages.

Pour Google, c’est un excellent signal et au plus ce phénomène se reproduira, au plus Google mettra votre page en valeur dans les recherches, donc plus de trafic.

Ca rapporte quoi ?

Un visiteur qui passe du temps sur votre site, sera plus enclin à s’inscrire sur votre newsletter, ou téléchargez votre bonus, et donc grossir votre liste de prospects.

Imaginez que vous écrivez sur un an 50 articles, et que seulement 20 d’entre eux vous amène un seul visiteur par jour, et là, je suis vraiment pessimiste quand même :)

A la fin de l’année, vous aurez eu 20 articles x 1 visiteur x 30 jours x 12 mois = 7200 visiteurs.

Quand on sait qu’une page de vente moyenne convertit 1 visiteur sur 100 en client, vous auriez eu 72 ventes, et tout cela sans dépenser un sous dans la publicité.

Et ce n’est pas le seul usage

Si vous choisissez 5 ou 10 des meilleurs articles agencés de tel façon que vous pouvez en faire un petit livre blanc ou une vidéo qui solutionne un des problèmes de vos prospects, il servira d’appât pour construire votre liste, et vous savez (je l’espère) qu’une liste c’est le bien le plus précieux dans votre business.

Mais que faire si on manque d’inspiration, si on ne sait pas écrire un article intéressant sans fautes ou tout simplement pas envie de passer sa vie sur l’écriture d’articles, on fait alors appel à un rédacteur web.

Comment ça marche

En général, vous préparez un briefing qui explique votre démarche, un mot clef et vous demandez un devis. Une fois que l’auteur accepte la mission, vous aurez votre contenu dans les heures qui suivent.

Ce contenu sera unique à votre site, bien écrit et il vous appartient.

Combien ça coûte

En général, c’est au nombre de mots mais le prix peut dépendre également de la qualité recherchée. On peut aller de l’article très simple, voir « bateau » jusqu’à un article écrit par un journaliste professionnel qui en plus connait très bien votre thématique.

Vous pouvez également faire varier le prix à la baisse en demandant une mission sur le long terme, par exemple en lui demandant d’écrire un article par semaine pendant 3 ans, vous aurez plus que probablement un prix inférieur. Le prix pourrait donc varier entre 10 euros et 50 euros selon la qualité demandée, en moyenne on pourrait estimer à 25 euros un article de 500 mots.

En conclusion, je dirais que avant même de penser à faire venir du trafic sur votre site, pensez à investir dans son avenir en y ajoutant du contenu de qualité et le plus régulièrement possible et si possible par un professionnel. Cela provoque du trafic gratuit et des visiteurs de meilleure qualité pour vos offres commerciales.

5 conseils pour garder vos visiteurs plus longtemps sur votre blog

2 mars 2012 By Leave a Comment
5 conseils pour garder vos visiteurs plus longtemps

Il est crucial de garder le plus longtemps possible ses visiteurs sur son blog, c’est un facteur déterminant pour sa réussite. Imaginez une baignoire (votre site) que l’on remplit (trafic) et vous avez des trous partout qui permettent à l’eau de s’échapper ! Personne ne viendra prendre un bon bain dans une baignoire vide ! Un bon [...]

[Continue reading…]

Votre site est habillé comme celui d’un voisin (peu recommandable) ?

17 février 2012 By Leave a Comment
Santé

Quand vous créez un nouveau site, que ce soit en html ou avec WordPress, à un certain moment, il faut lui donner une belle apparence et si possible personnalisée. Il n’est pas toujours nécessaire de faire appel à un graphiste mais alors que faites vous pour chercher un modèle graphique ? Il reste le choix soit [...]

[Continue reading…]

A quel moment vos visiteurs décrochent de vos vidéos ?

10 février 2012 By Leave a Comment
evp1

La vidéo devient incontournable et on en voit de plus de sites avec des vidéos de présentation, de formation et j’entend même dire souvent que pour la vente, c’est le jour et la nuit en terme de conversion par rapport à une page de vente texte. Avez vous des pages de vente que vous pourriez [...]

[Continue reading…]

Comment transformer une page fans Facebook en site niche vidéo en 5 minutes

26 janvier 2012 By 2 Comments
Une fan page devenue un mini-site niche vidéos

Ce service en ligne de moins de $10 une seule fois, est un outil marketing dont l’usage est de créer très simplement une super page fans sur facebook en la transformant en mini site de niche sous formes de vidéos. On a tout, l’aspect viral, construction d’une liste, pas de techniques compliquées, il vous suffit [...]

[Continue reading…]
« Older Posts

Réinitialiser le mot de passe

Veuillez entrer votre email. Vous allez recevoir votre nouveau mot de passe par email.