Hackers : WordPress une proie facile ?

On en parle actuellement partout, je reçois des dizaines de courriels à ce sujet, la plateforme WordPress est la cible d’une attaque massive de bots (PC zombies) pour accéder à l’administration du CMS.

Le cas n’est pas nouveau, auparavant d’autres CMS ont eu à assumer ce type de situation (Joomla entre autre…), tous les CMS avec une adresse unique du back-office sont potentiellement affaiblis par cette porte d’accès connue de tous, mais il ne faut pas dramatiser. Toute situation de faiblesse demande un peu d’attention et les webmasters chevronnés connaissent les grandes failles de leurs solutions intégrées.

Pour WordPress les choses sont connues et on l’indique dans de nombreux blogs et forums, la règle de base pour une installation avec :

  • Un nom d’administrateur différent du « admin » de base (on ne met pas » administrateur » non plus)
  • Un mot de passe en béton, pour ce faire une phrase facilement mémorisable peut suffire, par exemple : Lechatdelavoisineestbleu (glisser une capitale améliore encore les choses).
  • Un préfixe des tables MySQL différent du « wp_ » de base

Avec ces premiers points acquis votre CMS WordPress est déjà plus en sécurité.

Ensuite il est conseillé d’installer une ou plusieurs extensions de protection, à ce titre j’utilise trois choses :

  • Bad Behavior
  • Limit-login-attempts
  • WP Database Backup

Le premier scrute les logs de connexion et formulaire, il peut gérer des White List et Black List, bannir temporairement et surtout indiquer les fichiers modifiés récemment sur le site.

Le second limite de manière drastique la connexion au back-office avec un nombre limité d’essais de mot de passe, un bannissement temporaire plus ou moins long, l’envoi de courriel d’alerte et dans le cas de récidive un bannissement définitif.

Le troisième effectue des sauvegardes régulières de la base de données ou me l’envoi en pièce jointe sur une adresse courriel spécifique.

D’autres solutions existent pour protéger votre CMS WordPress, par exemple supprimer le fichier Readme.txt qui contient la version WordPress de votre site. Si vous n’avez pas su tenir à jour votre site, une version antérieure présentera des failles connues, et donc des moyens facile de cracker votre accès.

Dans les extensions efficaces mais néanmoins dédiés aux spécialistes je note :

  • Better security WP
  • WP Security Scan
  •  TAC (Theme Authenticity Checker)

Il reste ensuite toutes les pratiques autour des fichiers .htaccess (fichier caché) et  wp-config.php pour en limiter la manipulation, ici on s’adresse aux webmaster chevronnés.

En attendant que la vaste opération en cours se calme d’ici quelques semaines…

Sources : Le pixel solitaire, Fabrice Court, Thierry Bertrand