La plupart des blogueurs utilisent pour construire amoureusement leur site, un WordPress. C’est facile à utiliser, avec les plugins on peut y ajouter pratiquement toutes les options souhaitées et avec les innombrables thèmes disponibles, on trouve son bonheur sans trop de frais.
Le blogueur peut donc s’adonner à son plaisir d’écrire et y passer de nombreuses heures …
Un matin, soit un visiteur, soit un ami, lui signale par email que son site ne s’affiche plus et qu’à la place le navigateur déclare que le site est potentiellement dangereux invitant le visiteur à passer son chemin pour le moment … mais depuis combien de temps cela dure sans avoir été avertit ?
Combien de visiteurs ont été refoulé ? Mais que se passe t’il ?
La première chose qu’il fera ce sera d’aller dans son tableau de bord pour tenter d’y voir quelque chose à comprendre … mais horreur, il ne parvient même pas à entrer, un gros message d’erreur vulgaire s’affiche sur l’écran et impossible d’aller plus loin !?
Puis il se demandera de quand date son dernier backup, oups 6 mois ???? (quand il n’a pas tout simplement omis de le faire).
Il tentera alors d’écraser quelques fichiers principaux espérant récupérer au moins une partie mais très souvent, cela ne marchera pas et en tous cas, cela ne bouchera pas les failles existantes.
Mais que s’est il passé ?
Il existe des gens dont c’est le passe-temps, chercher des failles et les exploiter.
Parfois, c’est juste un sport, ils se disent entre eux, « moi j’ai hacké 25 sites » et l’autre « moi, c’est 26 » et c’est celui qui a la plus grosse qui gagne.
Plus embêtant, ils effacent parfois la totalité des fichiers et même parfois de la base de données, on appelle cela un defacement. Ils profitent d’une faille pour déposer un script lancé juste après, et c’est une des fonctions de ce script, effacer tous les fichiers si possible.
Le méchant va plus loin, il ajoute à certains fichiers de votre site un bout de code, presqu’invisible mais chaque visiteur qui vient chez vous exécute ce bout de code sur sa machine sans le savoir, la principale fonction de ce code sera d’installer un virus sur la machine du visiteur et de faire le plus de dégâts possibles, voir contaminer d’autres machines par toutes sortes de moyens.
Souvent il y a tellement de fichiers contaminés dans tous les répertoires de votre site, qu’écraser le fichier principal avec un fichier sain ne suffit pas, et quand le robot de Google passe par votre site et qu’il détecte l’infection, il met votre site de côté en affichant ce fameux message de site dangereux, en plus il n’est pas clairement indiqué comment s’en sortir !
Et vous, savez vous comment sortir de cet état ??
(A la fin, je vous expliquerais comment sortir de cette liste noire).
Chaque plugin, chaque thème est une potentielle porte ouverte à ces attaques si on y fait pas attention.
La prévention toute simple
Quelques étapes assez simples peuvent déjà permettre la récupération d’un blog attaqué mais attention, la faille est alors toujours présente, il va falloir faire les mises à jour de WordPress, plugins et thèmes et investiguer pour déterminer le problème après la restauration.
Avec un plugin gratuit comme « wp db backup », on peut déjà recevoir une fois par semaine une copie de sa base de données par email sans y penser.
Normalement, votre hébergeur met à votre disposition un « Cpanel » (ou équivalant) pour la gestion de votre hébergement, en un clic, on sauve le contenu de son site, et un autre clic pour sauvegarder la base de données. Si on garde un backup mensuel, hebdomadaire et journalier en cas de frénésie d’écriture d’articles, vous devriez pouvoir récupérer votre site avec le moins de dégâts possibles.
Certains hébergeurs gardent un backup journalier de leurs clients avec un historique sur 5 jours ou plus, il suffit alors de lui demander de restaurer votre site à une date donnée et de vite faire le ménage, mais tous les hébergeurs ne le proposent pas, et quand ils le font, autant s’assurer que la restauration va réellement fonctionner.
Il m’est déjà arrivé de me sentir en sécurité par le backup de mon hébergeur mais un jour, j’en ai eu besoin et nous avons alors constaté qu’en fait, il ne fonctionnait pas !
Autant rester autonome !
Mes 5 meilleurs tuyaux pour surveiller et sécuriser mon WordPress
Afin de faire de la prévention plus poussée et d’anticiper certaines attaques, des plugins gratuits sont disponibles.
wp db manager (Gestion de la base de données de WordPress.)
Ce plugin permet d’optimiser la base de données (parfois avec le temps, la base contient des trous qui ralentissent les accès au site), de réparer la base de données, de sauvegarder la base de données (sur le serveur, par email ou directement sur votre machine), restaurer la base de données directement depuis un backup présent sur le serveur.
Le plugin permet également de sauver de façon régulière et automatique la base de données ainsi que l’optimisation et sa réparation.
Sucuri (Le meilleur moyen de savoir si votre site est infecté)
Sucuri permet de scanner votre site et détecter les logiciels malveillants depuis un dictionnaire de scripts en liste noire. Il affiche le résultat dans votre tableau de bord. Il vous dira également si vous êtes bloqué par Google par exemple ou un autre site qui protège les visiteurs.
Un lien permet de nettoyer le logiciel malveillant, mais à tester !
Le tout est gratuit.
wordfence (Wordfence Security est un plugin qui inclus un firewall, scanner de virus, affichage du trafic en temps réel avec géolocation etc.)
Wordfence Security est de qualité professionnelle et gratuit mais il est nécessaire de s’enregistrer pour obtenir une clef qui vous sera demandée à l’activation du plugin. Il est possible d’acheter des clefs ‘Premium’ avec plus de fonctions.
Wordfence c’est:
- Examine les fichiers de WordPress et les compare avec ceux d’origine pour vérifier leur intégrité. Donc à la moindre modification anormale, vous êtes avertit.
- Il fonctionne sur les WordPress installé en MU (multi-site).
- La clef ‘premium‘ (payante) examine aussi les fichiers des thèmes et des plugins pour vérifier leur intégrité par rapport aux originaux.
- Voir quels sont les fichiers qui ont été modifiés sans raison, et les réparer.
- Possède un dictionnaire de 44,000 logiciels malveillants et variantes connues.
- Scanne en continu pour détecter les logiciels malveillants dans les articles, les liens dans les commentaires laissés par des visiteurs.
- Vérification de la complexité des mots de passe pour assurer une meilleure sécurité.
- Surveillance de vos paramètres de domaine pour éviter les détournements vers des sites illicites.
- Inclus un firewall pour bloquer certaines attaques depuis des robots et des hackers.
- Limite les accès ‘anormaux‘ à votre site par exemple dans le but de chercher à planter votre site ou chercher des failles.
- Choisir quand et comment bloquer les utilisateurs ou les robots qui tentent d’enfreindre vos règles de sécurité comme par exemple tester une liste de login et mot de passe pour entrer dans votre site.
- Voir en temps réel votre trafic, les robots, les humains, les pages introuvables (404), les connexions, déconnexions de membres du blog, qui consomme le plus vos contenus.
- Le trafic en temps réel comprend des informations de localisation. Vous saurez ainsi de quel zone géographique vient l’attaque sur votre site et les bloquer.
- Surveille l’espace disque de votre hébergement, car de nombreuses attaques DDoS tentent de consommer tout l’espace disque pour créer un déni de service, donc un blocage de votre site, voir de tout le serveur où il est hébergé.
- Wordfence est complet et constamment mis à jour pour intégrer les dernières fonctionnalités de sécurité et de chasser les menaces les plus récentes de sécurité de votre site sous WordPress.
limit login attempts (Limite le nombre de tentatives de connexion, par cookies et par adresse IP.)
Limite le nombre de tentatives de connexion, que ce soit par le formulaire normal ou bien par le cookie d’authentification (quand vous êtes connecté une fois le matin, un cookie vous assure de revenir dans le site déjà identifié plus tard dans la journée).
Par défaut WordPress permet un nombre illimité de tentatives de connexion, soit par la page de connexion ou en envoyant des cookies spéciaux. Cela permet à des personnes mal intentionnées de forcer l’entrée sur votre site en essayant des listes d’identifiants et mots de passe avec une relative facilité.
Limiter les tentatives de connexion empêche une personne ou un robot de faire d’autres tentatives après une limite spécifiée, ce qui rend une attaque difficile, voire impossible.
limit login attempts informe l’utilisateur sur les nouvelles tentatives restantes ou temps de blocage sur la page de connexion. (Après x tentatives échouées, on peut bloquer l’accès par exemple 24h).
Notification par email en option.
Traductions: bulgare, portugais brésilien, catalan, chinois (traditionnel), tchèque, néerlandais, finnois, français, allemand, hongrois, norvégien, persan, roumain, russe, espagnol, suédois, turc.
wordpress firewall 2 (Ce plugin WordPress surveille les requêtes pour identifier et bloquer les principales attaques.)
Ce plugin examine toutes les requêtes sur le site, il identifie les attaques et bloque la plupart d’entre elles. Ce type d’outil est parfois disponible sur votre hébergement mais c’est rare et surtout difficile à configurer, une fausse manœuvre et votre site est bloqué !
J’avais dis 5 tuyaux, mais je ne résiste pas à vous donner encore deux petits bonus, cachez la version de votre WordPress !
Quand un hacker identifie une porte d’entrée dans une version de WordPress, il se met alors à chercher sur Google des sites utilisant cette version, c’est très simple à faire, il suffit de chercher « Powered by wordpress 3.3.xx » ou « Fièrement propulsé par WordPress 3.3.x » selon la version recherchée, et Google lui donne de quoi jouer pendant des mois !
Remove WP version everywhere (Enlève les infos dans la source de WordPress et sa version dans les articles, les pages et le flux RSS)
Un simple plugin sans configuration qui permet de cacher la version de votre WordPress, autant ne pas faciliter la vie aux malveillants.
Et le dernier bonus:)
(Promis, après je vous laisse partir)
Timthumb Vulnerability Scanner
Examine le contenu du répertoire wp-content pour détecter des versions de TimThumb vulnérables et éventuellement les met à jour par un simple clic. Bien des sites se sont retrouvés infectés à cause de cette librairie que la plupart des thèmes utilisent pour créer les miniatures.
A chaque mise à jour ou ajout d’un thème, il est nécessaire de relancer un scan pour s’assurer que la version du script est toujours la dernière version non vulnérable, on peut aussi configurer le scan automatique.
Comment dire à Google que votre site est de nouveau propre ?
Une fois que le site est de nouveau débarrassé des logiciels malveillants, il ne sort pas automatiquement de la liste noire, pas dans un délai rapide en tous cas.
Il faut alors se connecter à l’outil gratuit proposé par Google destiné aux webmasters, ajouter le site si ce n’est pas encore le cas, réaliser un scan et si tout est propre, un lien à cliquer permet de demander à Google de revisiter le site afin de l’enlever de la liste noire.
Et vous, utilisez vous d’autres plugins pour assurer la sécurité de votre business sous WordPress ?
Cet article participe à l’évènement inter-blogueurs « Echanges de compétences » organisé par le blog Copywriting Pratique. Si vous avez lu cet article, à combien l’évalueriez-vous
sur 5 ? Cliquez sur la note de votre choix : 0 – 1
– 2 – 3 – 4 – 5
Merci Patrick, très bon article, et très utile ! Il est vrai qu’on ne parle pas assez des plugins pour la sécurité ! Ces hackers me font peur, je l’avoue, mais désormais je me sens mieux, depuis que j’ai installé 6 des plugins de sécurité et surveillance de son blog WP. Aucun de mes mentors en blogging n’a parlé de ces extensions pourtant importantes, il me semble !
J’ai 38 plugins (:s) actifs et mon blog n’est pas ralenti, il est un peu lent depuis le début, je ne sais pas si c’est mon serveur, mais bon.
Je garde les infos aussi sur le webmaster de Google, dont j’ai entendu parler il y a peu, mais que j’ignore comment paramétrer.
Belle journée
Bonjour Marjorie,
Merci de ta visite, en visitant le tient, rien que l’image je me suis dis « ha ça sent Artisteer par ici » 🙂
Il est vrai que lorsqu’on ajoute des plugins dans wordpress, il y a parfois des ralentissements, cela dit faut pas chercher les poux en se disant avant il mettait 1 sec et maintenant il est lent avec 1.00025 secondes … bien entendu il ne faudrait pas arriver à 15 secondes 🙂
Pour voir comment se comporte ton blog et ses plugins, tu peux installer le plugin « P3 (Plugin Performance Profiler) », il va afficher visuellement le temps que chaque plugin consomme, ce qui permettrait éventuellement de se passer de celui qui prend le plus.
Il y aura probablement quelques personnes qui vont te conseiller un ‘cache’, sa fonction sera de mettre les pages dans un cache, donc ce sera le premier appel qui construira la page et les autres demandes recevront la page sans repasser par les routines de WordPress, c’est là que cela me gêne, donc j’éviterais.
Un autre lien intéressant pour voir ce qui se passe côté visiteur, c’est de simuler une visite avec le site http://www.webpagetest.org
On peut choisir le pays d’où se fera le test et voir le résultat sur différents navigateurs.
Patrick
Ah ! Eh bien merci pour toutes ces infos pertinentes ! On en entend trop peu parler car ce sont toujours les mêmes choses (de base, j’en conviens) qui reviennent.
En effet tu as l’oeil, mon thème est bien créé par Artisteer, par un copain graphiste.
A bientôt et merci de ton passage
Merci Patrick ! Je ne connaissais pas tous ces plugins.
Je me croyais relativement à l’abris vu que j’ai un serveur, et que je ne me suis jamais fait pirater.
Mais quand on voit un truc aussi simple à faire que de cacher la version de wordpress ou de limiter le nombre de tentatives de connexion, ce serait bête de s’en priver !
Bonjour Argancel,
C’est toujours quand on s’y attend le moins, comme un dimanche matin, qu’on apprend ce genre d’aventure et c’est toujours mieux de prévenir que de guérir 🙂
J’ai 4 serveurs et même si c’est rare c’est toujours stressant…
Merci de ta visite
Patrick
Noir, c’est noir, il me reste l’espoir…
Bonjour Patrick,
Moi qui pensais être couvert avec Online Backup for WordPress et TimThumb Vulnerability Scanner, je commence à avoir des sueurs froides… 🙂
Plus sérieusement, merci pour « pharmacopée » préventive . Je vais m’empresser de faire au moins comme le dit Argancel, et vérifier s’il n’y a pas « d’interaction médicamenteuse ».
Bien cordialement,
Jean-Louis
J’ai oublié : j’ai fait usage de mon droit de vote… Que le meilleur gagne !
Bonjour Jean-Louis,
Merci de ta visite et de ton vote 🙂
Autant prendre un max de précautions ou d’avoir un bon backup (qui ne contient pas déjà l’infection !)
Bonne journée
Patrick
Bonjour Patrick
J’ai attrapé des sueurs froides en lisant ton article, car je n’ai pas installé
grand chose de tout ce que tu préconises. Je me disais que mon hébergeur
infomaniak sauvegardait pour moi. Mais en lisant ton article……
Bonne journée
Marie-Do
P.S. : A voté 😉
Bonjour Marie-Do,
Compter sur son hébergeur oui, mais si le backup ne fonctionnait pas pour une raison ou une autre et en plus si on ne se rend pas compte de suite que ton site est infecté, tu fais des sauvegardes avec le virus dessus, et quand tu installes de nouveau ton blog avec le backup, en fait, tu recopies le virus. Il faut pratiquement garder un backup hebdomadaire et un mensuel par exemple, ainsi si l’hebdomadaire contient également le virus vu trop tard, tu peux récupérer celui du mois en cours, il faut rester autonome !
Merci de ta visite et de ton vote 🙂
Amicalement
Patrick
Bonjour,
Merci pour les conseils je penser pas a tous cela, et du coup avant d’écrire mon commentaire je suis vite aller sauvegarder mon blog reste maintenant a mieux le protéger.
Bonjour Thomas,
C’est pas du luxe 🙂
Merci de ta visite
Amicalement
Parick
Effectivement c’est pas luxe lol
Mais comme je débute dans le domaine, je suis les conseils que je trouve et qui me semble bon comme ceux dans ton message.
Et il me faut trouver maintenant comment sécuriser son blogger ou peut être passer a word press, j’hésitai a changer cars je le trouve simple d’utilisation, je n’en voyer pas trop l’intérêt, sauf quelque conseil de bloguer sans réel fondement ou vrai argument (dut on dit) mais je croit que ton message va me faire changer d’avis si je ne trouve pas une solution correct pour blogger.
Merci a toi pour cette article
Bonjour Thomas,
Je n’ai pas encore entendu qu’un blog de chez Blogger avait été attaqué, le seul reproche que l’on pourrait faire c’est qu’un jour, Google décide que ce service ne lui amène rien et qu’il décide de le fermer, il fait régulièrement le ménage et si ton business dépend de cela …
Bonne journée
Patrick
Bonjour,
OK donc j’ai pas en m’en faire niveau sécurité
Mais pour le moment ce n’est qu’un test je traduit des textes de Steve Pavlina qui me plaise et je bosse un peut mon anglais cars j’en ai besoin ou je vie, mais ce test et en vu d’ouvrir un autre blog en rapport avec mon entreprise de publication (carte touristique) d’ici quelque mois le temps de bien préparer tous ça, donc la il est vrai que je ferai mieux de passer chez word press et prendre un hébergeur cars ce sera en direct avec mon Business et même le faire maintenant pour me faire la main.
Merci pour ces conseils.
Bonne journée
Re bonjour,
Dans quel région es tu pour le moment qui t’oblige à parler anglais ?
WordPress sera un excellent choix probablement pour ton projet car on peut pratiquement faire tout ce qu’on veut avec des plugins et des thèmes, regarde par exemple Geoplaces de chez Templatic si il correspond à ce que tu veux faire. Un hébergeur, cela coûte 20 euros par an domaine compris là j’héberge tous mes derniers sites, pas de limite de trafic, d’espace et un service sans souci 🙂
Bonne journée
Patrick
Merci, pour l’adresse mais je veut faire un blog standard c’est pour offrir un nouveau service a mes clients.
Je fait les cartes moi même, cars elles ne sont pas assez précise celle que je peut trouver actuellement et mon concept sont des carte en 3D, je dessine les bâtiments montagne etc… pour faciliter les vacances 🙂 Je me trouve en Asie du sud- est. Le concept du site n’est pas encore tous a fait fini, et la première version sera d’ailleurs en anglais mais je prévoit une autre en Français cars parler et travailler en anglais c’est pas ce que trouve le plus agréable, j’aime ma langue maternel.
Salut Patrick, 🙂
super article, on ne parle jamais assez de ces failles de sécurité dans WordPress et des moyens de s’en prémunir. J’utilise moi-même toute une batterie de plugins de sécurité parmi lesquels Limit login attempts qui fonctionne bien, j’ai eu l’occasion de m’en rendre compte ! 🙂
Je vais bien sûr tester ceux que je ne connais pas encore et les adopter s’ils se révèlent meilleurs que ceux que j’ai déjà.
Petit bémol toutefois à propos de Wp-db-manager qui laisse un porte toute grande ouverte avec des variables que les hackers ne se privent pas d’utiliser. Mon hébergeur m’a conseillé d’en changer, j’ai donc opté pour BackUpWordPress qui semble ne poser aucun problème.
A bientôt, amicalement,
Alexandra
Bonjour Alexandra,
et malgré que j’en parle, je me suis encore fait avoir hier, un wordpress tout neuf, pas de plugin, tout est à jour et pourtant pas moyen de m’identifier, en allant dans la DB, je constate qu’on a modifié le login et c’est l’email d’un hacker à la place du mien ! Heureusement, pas de dégâts, j’ai rétabli le blog et tout de suite, j’ai mis les plugins de sécurité, bref, ne pas remettre à demain … 🙂
Je ne savais pas que Wp-DB-Manager posait des problèmes, je vais approfondir le sujet, de toute façon je préfère faire les backups avec le cpanel de mon hébergement 🙂
Merci de ta visite
Patrick
Ouille, pas de bol ! Il devait te guetter celui-là… 🙁
Comme quoi, on n’est jamais trop prudent : les mesures de sécurité sont à prendre en priorité, dès que l’installation est faite et avant d’installer quoi que ce soit d’autre.
A bientôt !
Alexandra
Salut Patrick,
il fallait que je fouille un peu à propos de cette faiblesse de wp-db-manager, j’ai enfin retrouvé les échanges que j’ai eus avec mon hébergeur (O2Switch).
En fait, pour que wp-db-manager puisse faire les sauvegardes de la base de données, il faut que passthru() et system() soient « enabled ». Lors d’une récente sauvegarde, j’ai constaté qu’ils étaient « disabled » et ça m’a un peu énervée parce que j’avais déjà demandé à mon hébergeur de les activer.
C’est là que le service technique m’a informée de ce problème de sécurité : « Ces balises sont en OFF suite à des problèmes constatés justement sur des CMS WordPress et Joomla.
Ces fonctions sont de plus en plus utilisées pour des tentatives de hackk. De fait, je veux bien vous réactiver pour le compte mais je ne recommande pas. »
Et il m’a dirigée vers ce lien : http://liseweb.fr/BLOG/backupwordpress-un-moyen-simple-de-sauvegarder-son-blog-wordpress
Si ça peut servir… 🙂
Histoire d’en remettre une couche : ce matin (comme par hasard !), j’ai trouvé l’email envoyé par Limit Login Attempts qui m’indiquait que 16 tentatives de connexion avaient échoué sur un de mes blogs… c’est donc bien réel, les attaques tapent dans le tas, jusqu’à ce qu’une porte s’ouvre pour aller mettre le bazar. Personne n’est à l’abri, donc faites ce qu’il faut.
Bonne journée à tous,
Alexandra
Bonjour Alexandra,
C’est marrant, je viens juste de terminer un email vers toi à l’instant 😀
D’abord je te remercie pour le partage de ce lien, je connaissais ce plugin mais je vais te dire pourquoi je l’avais écarté … Ce plugin sauve les backups dans un répertoire du site et j’ai eu un jour la surprise d’avoir un blog hacké mais totalement vidé de ses fichiers !
Seul l’index avait survécu mais comme tous les autres fichiers ont été détruit, il ne servait plus à grand chose, et de plus, le répertoire des backups a aussi été vidé !
Donc il faut en plus penser à récupérer régulièrement le backup depuis ton serveur vers ton ordinateur, autant dire qu’on le fait un certain temps et après on relâche son attention.
Par contre, je me souviens que je suis tombé sur un plugin qui sauve la totalité sur un compte Dropbox, on a de bonens raisons pour s’y intéressé maintenant
http://wordpress.org/extend/plugins/wordpress-backup-to-dropbox/
Belle journée alexandra
Patrick
Salut,
Merci Patrick et encore une fois merci. La plupart de mes blogs ont été attaqué dernièrement et continu de l’être. J’ai pu remarqué que le hacker y ajoutait un script php. Donc ce que j’ai fait est de modifier les droits d’accès à mes fichiers. Cela m’a permis de y faire face.
Mais j’ai trouvé cela aussi risqué pour moi. J’ai donc opter pour le plugin WP DB BACKUP qui me permet de faire une sauvergarde de ma base de données tous les jours histoires de pallier toutes attaques.
Par contre, je ne sais pas comment tout remettre en place si je suis attaqué.
Je pense que je vais examiner de près les différents outils que tu fournis dans ton article et surtout celui qui surveille de près la modification de vos fichiers. J’en ai entendu parlé sur un forum sans savoir comment l’appliquer.
Bon je vais m’arrêter là et comment la mise en place de la sécurité de mes blogs wordpress.
Cordialement,
Yves Kouyo
Bonjour Yves,
C’est vrai que cela devient une véritable plaie, d’autant que ceux qui font cela n’ont pas grand chose à y gagner.
Le plugin DB BACKUP c’est déjà très bien, au moins tu reçois chaque jour la base de données et tu peux la mettre en sécurité, car finalement, tout ton blog est dedans pratiquement à part les images.
Avec WP MONITOR, dés qu’un fichier sera anormalement changé, tu recevras un email, c’est assez simple à installer, « Ajouter un plugin » et « Activer le plugin ».
Le plus compliqué, c’est « bulletproof security », il me faisait peur lui … mais je n’ai pas eu de soucis particulier.
Merci de ta visite
Amicalement
Patrick
Bonsoir Patrick
Cet article fait un peu peur, mais je le trouve vraiment précieux.
Comme quoi, ca n’arrive pas qu’aux autres ces histoires.
Merci pour l’article 😉
Nassim
Bonjour Nassim,
Si l’article donne quelques frayeurs, ne plus pouvoir entrer dans son blog est pire 🙂
Merci de ta visite
Patrick
Bonjour Patrick
On pense que ça arrive aux autres mais mon compte gmail vient d’être piraté et vraiment c’est la galère donc j’ai lu ton article avec ô combien d’intérêt.
Alors, comme je ne suis pas une flèche en fnformatique je te pose la question qui probablement te paraîtra sotte mais allons-y : »tu conseilles tout un tas de plugins faut-il les mettre tous ou pas ? ou seulement quelques-uns j’avais fait les back-up de mes blogs mais google m’a coupé mon compte donc que me conseilles-tu de faire
Je te donne 5 car ton article es vraiment bien expliqué même pour moi et c tout dire
Bonjour Sylvianne,
ha oui, le compte Gmail piraté c’est une grosse galère, j’ai entendu une histoire il y a peu et cela m’a fait peur également car j’avais l’habitude d’y stocker tous mes mots de passe. En entendant cette histoire, j’ai passé un bout de temps à faire des copier/coller sur un document Word pour ne rien laisser sur Gmail, on est jamais tranquille !
Il n’y a pas de sotte question et pour répondre à la tienne, voici les plugins que j’installe d’office:
TimThumb Vulnerability Scanner et je ‘scan’ chaque fois qu’un thème se met à jour
WordPress Database Backup pour recevoir chaque semaine une copie de ma base de données
sucuri (mais sur leur site tu peux gratuitement inscrire un site, tu reçois alors chaque jour un email pour dire si ton blog est propre ou pas)
limit login attempts pour empêcher les attaques en essayant toutes sortes de mot de passe
wordpress firewall 2
wordpress file monitor plus
bulletproof security (c’est celui qui fait peur mais je n’ai jamais eu de problème), je crois d’ailleurs que pour celui là en particulier, je devrais faire une vidéo !
Merci de ta visite et de ton vote 🙂
Bonne journée
Patrick
Bonjour Patrick
Tu vas faire sombrer tous le monde dans la paranoïa avec cet article. 🙂
De toute façon, peu importe le nombre de protection, un pirate mal intentionné pourra toujours passer les barrières.
Après, c’est certain que la tâche va être plus complexe pour lui.
J’utilise wpDBManager et backup to dropbox pour récupérer l’intégralité de mes fichiers et pages html.
Pour TimThumb Vulnerability Scanner, il contrôle une faille dans un certain fichier si je ne me trompe pas. Si ce fichier n’est pas dans le thème de base, a priori, il ne devrait pas y avoir de problème. Mais sur ce point, je ne suis pas sûr du tout.
Après plus un blog est protégé, plus le défi est intéressant pour une personne mal intentionnée.
Et pour ce qui est de cacher la version de wordpress, je pense que la majorité des blogueurs utilisent la dernière version, censée être la plus stable. Donc pour celui-là, je suis sceptique.
Pour les autres, je vais jeter un oeil à tout cela.
Merci pour les infos.
Il n’existe pas une solution tout en un par hasard ?
Bonjour Thierry,
C’est possible qu’une fois conscientisés, quelques uns vont flipper 😀
mais moins qu’en découvrant un jour que le blog ne fonctionne plus … je peux te dire que ça donne mal au ventre…
TimThumb Vulnerability Scanner ne vérifie qu’une seule chose, si le script TimThumb.php est vulnérable ou non, si oui, en un clic on peut le mettre à jour.
Cela peut sembler bizarre que ce plugin ne surveille que ce fichier mais il est utilisé par des tas de thèmes pour générer les petites images et parfois aussi par des plugins (Galeries par exemple)
Je scanne uniquement en cas d’ajout, mise à jour d’un nouveau thème ou un plugin, car certains thèmes ne se mettent pas à jour, et lors d’une mise à jour, on risque de remettre un fichier avec une faille.
Comme tu le dis Thierry, un blog n’est jamais protégé à 100%, il y aura toujours une faille quelque part, mais autant rendre la tâche plus difficile avec le résultat que le hackers se dise, « bon, lui j’ai pas le temps maintenant, je vais embêter un plus facile » 🙂
Pour la solution qui fait tout en un, j’avais repéré « Wordfence » qui semble faire le tout, firewall, surveillance des fichiers, limite les logins, enlève les infos version de wordpress, visualisation du trafic en live, virus et attaques diverses mais j’installe pas mal de blogs en version « Multisites » et dans ce cas là, malgré que dans la doc ils le disent compatible, il ne semblait pas fonctionner durant mon test, mais pour un wp installé simplement, je pense que c’est une bonne alternative pour rassembler le tout en un.
Il faut un peu de temps pour tester sa réelle efficacité !
En te souhaitant un bonne journée
Patrick
Merci pour le retour
Je vais essayer wordference. Si cela permet de limiter un peu le nombre de plugins. 🙂
Tiens nous au courant de ton expérience, je l’installe aussi maintenant en lieu et place sur quelques wp installés en mode simple 🙂
Patrick
Re… plus de place pour répondre dans l’ordre… 🙂
Non, pas de problème avec BackUp WordPress pour se faire adresser les sauvegardes de la bdd dans sa messagerie, il le fait, comme tous les plugins de sauvegarde dignes de ce nom.
Ceci dit, rien n’empêche de faire régulièrement des sauvegardes manuelles à partir de phpMyAdmin chez nos hébergeurs. Deux précautions valent mieux qu’une seule.
A bientôt,
Alexandra
Alexandra,
Oui par email mais si ton backup fait 80mb, par email tu risques de coincer 🙂
Patrick
Oui, bien sûr Patrick, mais si ce n’est que la bdd, ça ne fait jamais que quelques petits Mo, ça passe très bien par email. Et pour tous les fichiers, je fais régulièrement une sauvegarde via FTP.
J’avais aussi installé Volcanic pour envoyer les sauvegardes directement sur mon compte Amazon, et je viens de voir que là aussi, il y a une fonctionnalité qui a été désactivé par l’hébergeur. Pas glop ! 🙁
Encore une autre solution, c’est Website Defender, sur lequel on peut créer un compte (gratuitement je précise) pour tous les checkups de sécurité de nos sites et blogs. Là où ça se complique un peu, c’est au niveau de certaines lignes de code php qui peuvent être interprétées comme « potentiellement malicieuses » alors qu’elles ne le sont pas.
Bref, faut pas trop flipper non plus, mettez déjà en place ce qu’il faut pour récupérer une bdd propre et pour bloquer les tentatives de connexion intempestives, et ce sera déjà pas mal.
Alexandra
J’aurais mieux fait de ne pas le lire ton article. Blague à part, super intéressant même si je suis sur Joomla. Je me renseignerai pour les correspondances en Joomla.
Bonne journée
Marie-Noël
Bonjour Marie-Noël,
Désolé d’avoir gâché ta matinée 😀
je ne connais Joomla que par connaissances qui l’utilisent, je pense que là quand le moteur est attaqué, ils font les mises à jour directement de la totalité, mais je me souviens qu’il y a également des modules développés par des tiers, mieux vaut rester vigilant dans leur forum.
Merci de ta visite et bonne journée
Patrick
Etant aussi sous joomla, je sait que les sites qui se font hacker souffrent tous des mêmes défauts,
Des mots de passe faibles, des extensions et joomla non mis à jour, et des droits sur les fichiers incoherents ( du genre 777 sur le site….)
Et c est la meme chose sous wordpress.
WordPress et joomla ressemblent a windows(quoiqu’en ayant moins de trous quand même), et les meme techniques de securisation doivent etre appliquées…
Beaucoup d’utilisateurs utilisent leur CMS comme leur windows, ils font un peut tout et nimporte quoi…on ne peut pas leur en vouloir, tout le monde n est pas informaticien, et meme certains informaticiens n ont pas les compétences…..
Personnelement, je fait un backup journalier que j exportes sur mon pc tout simplement pour ne pas perdre une journée de statistiques, ainsi que le travail éfféctué (eciture d articles ou ajout de fonctionnalités)….
Faire des sauvagardes, c est bien…faire des sauvegardes et les tester c est mieux…..
@marie noel….regardes akeeba backup pour tes sauvegardes…un gros standard joomla….
Bonsoir Witkowski, tu as raison, quelque soit le cms, il faut faire des sauvegardes, limiter les bidouillages et les modules « étrangers »
Merci de ta visite
Patrick
Patrick, merci pour cet article des plus instructif, même si maintenant moi aussi
j’ai le » trouillomètre » à zéro.:-(
J’ai une trentaine de plugins en place et je vois que ceux que tu préconises, je
ne les ai pas installés.
Je vais tester Suri et Worfence et voir …
Très bon article….donc très bonne note 🙂
Au plaisir,
Didier
Bonsoir Didier,
En final, Wordfence regroupe plusieurs fonctions des autres plugins et il me semble bien fonctionner, merci de ta visite et de ton vote 😉
Avec Siri, tu sauras en plus si ton blog est infecté…
Patrick
Voilà Patrick, j’ai installé Wordfence et Sucuri et visiblement ça m’a tout l’air de très bien fonctionner.
Je me sens mieux à présent, j’ai tout scanné et je suis pas infecté, ouf !!!
Bon mais je suis tout de même à 32 plugins maintenant …
Tu en as combien personnellement ?
Quel est ton temps de chargement complet ?
A+ Didier
Bonjour Didier,
Sur ce site, j’en suis à 28 plugins et j’ai regardé mon temps moyen sur les trois derniers mois, temps d’accès moyen 1,14 sec pour mars, 1.17 sec pour avril et 1.17 dans le moi de mai.
Je surveille mes sites avec http://www.woozweb.com
Tu peux aussi voir en « live » la consommation de tes plugins avec le temps d’accès en installation le plugin qui se nomme « P3 », cela permet de voir visuellement quel plugin fait quoi et le temps qu’il fait perdre…
Je te souhaite une excellente journée
Patrick
Hello Patrick,
j’ai installé P3, il a comptabilisé 33 extension, mais impossible de lancer le scan de mes plugins ???
Aucun des liens à cliqué ne fonctionne .
As-tu aussi rencontré ce pb ?
A+ Didier
Re bonjour Didier,
Je n’ai eu aucun problème, en fait quand tu demandes un scan, il ouvre une petite fenêtre avec ton site dedans et il demande de cliquer sur tes menus pour te balader d’une page à l’autre, une fois que tu t’es promené sur ton site, tu cliques sur « I am done » et là il te montre les statistiques comme sur l’image suivante : http://screencast.com/t/pg0d4H3e
Bon appétit
Pat
Hello Patrick,
woozeb.com c’est super bien, 😉
Pour P3, j’ai beau batailler, pas moyen de savoir pourquoi ça ne marche pas .
Les liens ne sont pas cliquables … Voir Photo
http://toutpourlamemoire.com/Capture1.PNG
Je crois que je vais laisser tomber 🙁
Merci tout de même pour tes conseils 🙂
A + Didier
Bonsoir Didier,
En effet, c’est bizarre, au lieu du bouton, tu as une case à cocher, tu as peut-être un autre plugin qui fait une collision avec lui … mais bon, ne te tracasse pas trop, c’est juste quand tu as des soupçons de lenteur…
Que ta soirée soit belle
Pat
Oui Patrick, tu as raison 😉
Mon blog de se charge pas en une fraction de seconde comme le tien, mais bon, on a la classe ou on l’a pas, pas vrai ?
Si tu vas sur woosweb.com et que tu testes http;//toutpourlamemoire.com, que pense-tu des performances ??
Excellente soirée à toi 😉
Hello Didier,
Je ne sais pas voir l’image de ton site sur Woozweb dans le mois en cours, mais un test donne moins d’une seconde !
Test Url
URL : http://toutpourlamemoire.com
Contenu vérifié: non renseignée
Url Ok
Résultat du test HTTP OK HTTP/1.1 200 OK – 20360 bytes in 0.247 seconds |time=0.247123s;8.000000;;0.000000 size=20360B;;;0
Temps de réponse 247,12 ms
Bonne soirée
Pat
Didier,
je t’ai repéré quelques liens pour tester le temps de réponse de ton site.
http://www.seomix.fr/temps-chargement-mesure/
http://www.websiteoptimization.com/services/analyze/
http://tools.pingdom.com/fpt/
Amitié
Pat
Hello Patrick,
J’ai fait des tests avec les 3 sites que tu m’a recommandé et finalement je suis pas si mal. 🙂
En tous cas, merci pour toutes ces compétences que tu partages si généreusement avec nous.
Je vais un peu arrêter de te harceler, maintenant que je suis rassuré grâce à tes conseils avisés.
Excellente journée à toi. Au plaisir,
Didier
Bonjour Didier,
Ne pense pas que tu me harcèles, c’est avec beaucoup de plaisir que je partage tout cela et quand tu as une question, (si je peux répondre) :D, tu fonces 🙂
Bonne journée
Pat
Ok, Patrick, même si je ne te harcèle pas,
je ne veux néanmoins pas abuser de ton temps et de ta sympathie. 😉
Au fait, le lien pour celles ou ceux qui souhaiteraient noter mon article c’est :
http://toutpourlamemoire.com/le-stress-et-la-memoire/une-mauvaise-memoire-appliquez-ces-5-regles-toutes-simples-qui-changent-la-donne/
A bientôt 🙂
Didier
ce n est pas le fait davoir 30 plugins qui est important,mais le fait de savoir si les 30 sont utilisés en meme temps… D ou la notion d acceptable que j evoques dans un autrez commentaire
Merci Patrick pour cet article qui me sera très utile.
C’est noter en double, lol.
Didier
Bonjour Didier,
Faut le mettre sur le frigo 🙂
Merci de ta visite
Patrick
Le frigo, c’est pour la viande hackée. -:)
Didier
Ho ho ho, excellent le jeu de mot 🙂
Bonjour Patrick,
Merci beaucoup pour cet article très complet ! Je viens de mettre à jour mon site sous wordpress et je me sens plus en sécurité avec tous ces plugins. 🙂
Juste une question : est-ce que ces plugins peuvent ralentir le site ?
Merci !
Bonsoir Gaetan,
Certains le disent, c’est aussi vrai mais comme tu vois, j’ai plus de 30 plugins et le site répond en 1.17 secondes donc sauf si tu constates des lenteurs anormales causés parfois par des plugins qui attendent la réponse d’un service extérieur, tu ne dois pas trop t’inquiéter. En cas de doute, tu passes par le plugin ‘p3’ pour tester et avec un service gratuit comme ‘woozweb’, tu peux surveiller ton site et son temps de réponse.
Merci de ta visiste
Patrick
Ils le ralentiront toujours.
C est comme si tu lances 10 logiciels en meme temps sur ton ordinateur..Ils ralentornt forcement ton pc…le tout est de savoir si c est accèptable ou pas…..
@patrick:
Les plugins qui rentrent en collision ont tous un point commun:
Les developpeurs ont mal géré l’espace de nom dans leurs fichiers javascript.
Bilan: plusieurs script avec des variables de meme nom…donc ca plantes les deux car le serveur ou le navigateur ne sait plus a qui renvoyer l’information.
C est ce que j ai constaté dans la plupart des conflits.
Bonsoir,
Je viens de trouver ton commentaire dans les spams, heureusement, il n’était pas encore noyé 🙂
Tu as raison pour les collisions, c’est comme les développements sous windows, certains programmeur ont respecté les librairies mises à leur disposition, d’autres ont essayé de passer outre, du coup à chaque mise à jour, leur programme plante la plupart du temps.
Merci de ta visite
Patrick
Bonjour,
Merci pour l’info, je viens de tester woozweb et c’est très intéressant.
Connais-tu woorank ? C’est un outil très intéressant également pour monitorer ton site.
@+
Bonjour Gaëtan,
De mémoire il me semble que woorank c’est plutôt pour mesurer ses efforts de référencement alors que woozweb c’est pour monitorer le bon fonctionnement du site.
Amicalement
Patrick
Un grand merci pour cet article Patrick, cela faisait quelques temps que je cherchais comment sécuriser au mieux mon blog wordpress. (j’étais plus habituée à la plateforme blogger : mon 1er blog perso était dessus) A tester donc, ça va me rassurer 😉 A bientôt.
Bonsoir Sandra,
Merci de ta visite et bonne activité de bloggueuse 🙂
Amicalement
Patrick
Bonjour Patrick,
Très bon article, il est évident de rappeler qu’il peut exister des failles de sécurité et qu’il est important de bien se protéger. Je connaissais quelques uns des plugins mais 3 pas du tout donc une bonne occasion de les utiliser.
Merci et à bientôt
Cordialement
Ludovic
Bonjour Ludovic,
Le tout est de le faire à temps, merci de ta visite
Amicalement
Patrick
Bonjour Patrick,
j’ai constaté que beaucoup d’extensions pour sécuriser WordPress ne sont pas efficaces. J’ai utilisé les serveurs Global Net Concept comme un laboratoire. Voici le résultat de mes recherches sur la façon de mieux sécuriser WordPress à ce jour :
http://www.global-net-concept.com/10-conseils-pour-securiser-wordpress-partie-2/
Amicalement,
Eric
Bonjour Eric,
Je vais aller voir cela, et merci de ton passage 😉
Amicalement
Patrick
Bonjour,
Je n’aimes pas le plugin wordfence, tous les plugins soi-disant de sécurité, peuvent créer d’autres failles, déjà maintenir à jour son site à 100%, puis ajouter du code dans .htaccess pour protéger des dossiers, supprimer le compte Admin, avoir un bon mot de passe, écrire des articles avec un compte Editeur et non Admin, voir changer le préfixe des tables, cela suffit.
Je vois avec le plugin wordfence, j’allais sur un site, 2 à 3 fois par semaines, sans problème, depuis hier, je ne peux plus, message d’erreur de wordfence, je suis bloqué, j’ai écrit à l’administrateur du site, mon IP ressemble à un personne qui a essayé d’hacker le site, ce n’est pas moi, je le jure, c’est quoi le problème de wordfence !
Bonjour,
Je l’ai sur tous mes sites, non seulement il fait tout ce dont vous parlez mais en plus il limite le nombre de tentatives de login, il bloque les tentatives d’intrusion, il avertit des mises à jour à faire, les fichiers modifiés ou ajoutés qui n’ont rien à voir avec WP …
Pour le problème de blocage, une adresse IP est une adresse IP, wordfence ne s’amuse pas à trouver des ressemblances .. si vous avez été bloqué, sur le même message vous avez en bas, un champs qui vous permet de mettre votre email et un bouton ‘envoyer’. Vous allez alors recevoir un email avec un lien pour vous débloquer.
Si rien ne fonctionne, il est toujours possible en ftp aller renommer dans le répertoire des plugin celui de wordfence ou bien le supprimer …
Bon courage
Patrick
Bonsoir,
Ce que j’ai cité et à faire soi-même, pas besoin d’un plugin pour ça, le blocage IP, il y a le plugin « Cerber Limit Login Attempts » pour ça, WordPress prévient des mises à jour, des plugins, des thèmes, de WP lui même.
Il avertit si il y a des fichiers modifiés ou ajoutés, bien, mais cela voudrait dire que quelqu’un a réussi à entrer sur votre site malgré Wordfence.
En regardant sur le forum de WordPress-fr.net, j’ai vu que Wordfence a déjà donné de fausses alertes, je vous rappelle que la version 5.2.5 avait 4 failles de sécurités par exemple, oui cela arrive à n’importe quel plugin, mais un plugin de sécuité, c’est le comble.
Mon IP a pu être pris, quand j’ai posté un commentaire sur le site de la personne, puis je ne veux pas me débloquer, puisque l’administrateur du site, je le redis, m’a dit que Wordfence a signalé une intrusion sur son site avec un IP identique au mien, je le redis encore, ce n’est pas moi, je ne suis pas hacker, j’ai passé l’âge pour ça, bien au contraire, j’étais modérateur sur le forum de WPFr-net pendant un bon moment, j’ai aidé plusieurs personnes pour leurs sites.
Je ne veux pas débloquer mon IP et que la personne ait un problème avec son site, mais en étant innocent, je me sentirai coupable.
Merci