WordPress – les failles les plus courantes

Beaucoup de sites web informatique parlent régulièrement des protections à mettre en place sur WordPress et je me propose de faire une petite piqûre de rappel . Ayant l’habitude de naviguer un peu partout sur le net, je tombe régulièrement sur des sites personnels comme le mien. Il faut avouer que c’est vraiment l’outil idéal pour la publication d’informations en tout genre. Cependant, à chaque visite ou presque, j’en profite pour scanner le site afin de vérifier son installation et son niveau de protection. Le constat est malheureusement sans appel, plus de la moitié laissent des portes ouvertes aux hackers qui pourraient facilement être bloquées avec quelques petits réglages simples à effectuer. Voici les trois failles simples à corriger et le plus souvent rencontrées.

  1. Le directory listing

    Ce terme anglais indique simplement qu’il est possible de lister les fichiers présent dans l’un des répertoires de votre WordPress via une url pointant non pas vers une page, mais vers un dossier de votre site. ex: www.monsite.fr/wp-content/uploads/. Voici ce que l’on obtient:Wordpress - uploadsLaisser ainsi la possibilité de lister les fichiers présents sur votre serveur est une aide précieuse pour celui qui désire soit modifier des informations, ou s’introduire dans votre serveur. Pourtant, cela se corrige très facilement en configurant votre fichier .htaccess en y ajoutant l’information suivante:

    Options -Indexes

    Vous pouvez également modifier la configuration de votre serveur apache si vous y avez accès via la configuration suivante:

    <Directory />
        Options FollowSymLinks
        AllowOverride None
    </Directory>
  2. Présence des fichiers Readme.txt

    Ces fichiers sont fournis automatiquement avec les plugins que vous installez pour améliorer les fonctionnalités de votre WordPress. Le problème est qu’ils indiquent du coup la version de votre plugin. Si une faille est disponible pour votre version installée, il sera alors facile de l’utiliser puisque vous fournissez l’information. en supprimant ces fichiers, vous augmentez le temps nécessaire au hacker pour s’introduire dans votre site. Plus il devra y passer de temps, plus vite il abandonnera. Attention ! vous devez également supprimer ces fichiers après chaque mise à jour de vos plugins. ils sont automatiquement ajoutés à chaque mise à jour via l’interface d’administration de WordPress. Si vous les mettez à jour manuellement, pensez à désélectionner ce fichier de votre transfert ftp.Il est bon également de supprimer le fichier readme.html disponible à la racine de votre site web.

  3. Protégez votre page de login

    La page de login de WordPress renvoie les erreurs de login avec un beau message d’erreur:
    Wordpress - Erreur loginCependant, en cherchant un peu, un hacker peu tomber sur une information plus intéressante:
    Wordpress - erreur login user
    Notre hacker connait maintenant le nom d’un utilisateur, il ne lui reste plus qu’à bruteforcer le mot de passe….. Pour éviter de lui donner trop d’information, il est possible de faire disparaître ses erreurs de login de votre page de connexion en ajoutant le bout de code suivant à votre page function.php

    add_filter('login_errors',create_function('$a', "return null;"));

    Ainsi, plus de message lors d’une mauvaise connexion.

Ce n’est qu’une petite partie de ce qu’il est possible de faire afin de mieux sécuriser votre WordPress. Il existe grand nombre de plugins à ajouter à WordPress afin de le rendre plus sécurisé, qu’il se surveille lui-même, qu’il fasse des backups régulièrement, etc.. Mais ces quelques actions sont un peu la base de la protection à mettre en place avec l’installation de votre site.

Sébastien

Ingénieur pour l’aviation civile. Passionné d’informatique. Curieux des nouvelles technologies et de la cyber-sécurité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *