Le printemps est souvent la période où les campagnes d’attaques sur les CMS sont intenses, allez savoir pourquoi…

Ce mois d’avril 2016 est particulièrement touché et je vois mes compteurs WordFence s’affoler. Pour autant la présence de ces « traces » de tentatives est en partie rassurante, les systèmes mis en place font leur travail. Les sites avec un double login sont mieux protégés que les autres, mais la dernière version de WordPress (4.5) apporte une bonne mauvaise nouvelle, on peut désormais se connecter à l’administration avec l’adresse courriel du profil. Un plus pour ceux qui ont du mal à se souvenir de leur mot de passe, un moins pour la sécurité car il est plus facile de trouver l’adresse courriel d’un profil WordPress.

Les type d’attaques sont nombreuses et une d’elles est particulièrement pénalisante c’est le déni de Service Distribué (DDoS) Layer 7

Sous cette définition on trouve une attaque qui s’occupe de la couche « application » d’un site internet (la couche supérieure des opérations sur un site web), elle est difficile à détecter car elle se trouve dans le domaine de l’utilisateur et se noie dans les différentes requêtes classiques d’un site. Certains sites voient près de 10 000 requêtes par seconde avec des pointes à 20 000… de quoi mettre à genou n’importe quel hébergement.

Devant ce type d’attaque l’extension de protection WordFence pour WordPress vient de mettre en place un pare-feu adapté à ce type d’attaque, le WAF (Web Application Firewall). La procédure utilise 2 fichiers installés sur le site et une écriture dans le fichier Htaccess, ce qui peut demander un aménagement selon les ressources de l’hébergement. Pour l’avoir mis en place sur des hébergements mutualisés chez OVH (perso et pro), Online.net, PHPNet et 1&1 cela se passe sans accroc. Patientez quelques minutes parfois pour que tout soit pris en compte (cache système notamment).

L’extension va se mettre en mode « apprentissage » pour une semaine de manière à collecter les IP de connexion et créer une liste blanche des « bonnes » IP à ne pas bannir et celles qui le doivent. Ce système va collecter sur des millions de sites les mauvaises IP et nourrir une énorme base de données pour limiter les accès aux sites. Hors abonnement (5 $/mois) la mise à jour de la base est réalisé tous les mois, avec l’abonnement c’est en temps réel. Lors de l’activation un compte à rebours est mis en place pour activer le filtrage au bout des 7 jours d’apprentissage, vous n’avez rien d’autre à faire… mais vérifiez le comportement du pare-feu à la date indiquée pour voir si il n’est pas trop efficace et bloque des accès depuis des IP « normales ».

Cette solution est sur le papier un bon outil pour améliorer sensiblement la sécurité de WordPress mais il n’est pas surfait d’y ajouter quelques règles complémentaires et un Htaccess sur mesure pour éviter toutes « pénétration » du CMS par des détours plus ou moins tordus. WPMarmite en fait un récapitulatif sur cette page.

Sources : ya-graphic.com, WPMarmite, ssi.gouv.fr, Yahoo.com