La sécurité de Wordpress laisse vraiment à désirer pour la majorité des blogs et ce n’est pas la faute de ses concepteurs, mais bien le facteur humain qui est à l’origine de la plupart des intrusions. On estime que 64 % des blogs sous Wordpress ont déjà été piratés au moins une fois (Statistiques fournis par Auttomatic). Voici, comment je peux pirater votre blog Wordpress en 7 étapes :
- Vous utilisez une version obsolète de Wordpress – De nombreuses personnes critiquent les mises à jour de Wordpress, mais l’une des raisons de ces mises à jour fréquentes est qu’il faut toujours corriger les failles de sécurité de Wordpress. Depuis la version 3.0, Wordpress a eu près de 13 failles critiques et 49 failles mineures, donc il faut toujours mettre à jour Wordpress dès qu’une version stable est disponible. La dernière en date est Wordpress 3.3 même si Wordpress 3.2.1 est aussi très sécurisé. Si vous utilisez une ancienne version de Wordpress, je vais d’abord regarder les failles pour cette version et je créerais un script qui va les exploiter.
- Vous utilisez des thèmes et des plugins obsolètes – Si vous avez une version récente de Wordpress, je tenterais ma chance avec vos thèmes et les extensions. Le problème est que la plupart se contentent de mettre à jour Wordpress sans se préoccuper des thèmes et des plugins Wordpress. C’est comme si vous blindiez votre porte d’entrée, mais que vos fenêtres soient grandes ouvertes. De même, il faut faire très attention quand on installe de nouveaux plugins ou thèmes Wordpress. Télécharger toujours ceux qui sont disponibles sur le répertoire officiel et mettez-les à jour avec Wordpress. En fait, Wordpress vous avertira si vos extensions ont besoin d’être mise à jour. Pour les thèmes Wordpress, il faut juste vérifier qu’ils ne recèlent pas de code hostile.
- Je me connecterais avec votre blog avec l’utilisateur admin – A chaque nouvelle installation de Wordpress, celui-ci crée un utilisateur nommé admin. Il suffira que j’utilise un script qui va tenter tous les mots de passe avec cet utilisateur. Depuis Wordpress 3.1, l’installation vous permet de changer le nom de cet utilisateur. Mais les flemmards se contentent de mettre admin et ils s’en mordent les doigts par la suite. De même, faites en sortes que votre nom d’auteur (celui qui apparait dans vos articles) ne soit pas identique à celui de votre nom de connexion. Vous pouvez le changer dans le profil de l’utilisateur.
- Utiliser un mot de passe sécurisé – Un bon mot de passe doit dépasser 10 caractères et il doit être une combinaison de chiffres et de lettres. Le mieux est de mélanger les minuscules et les majuscules. Un faible mot de passe est aussi facile à deviner que la marque de culotte de Paris Hilton.
- Je vérifierais les autres applications de votre site – Peut-être que vous lancer uniquement Wordpress sur votre hébergeur, mais il arrive que vous vouliez ajouter un forum ou un wiki. Et donc, je regarderais également leurs failles pour voir si je peux les utiliser pour entrer dans votre Wordpress. Assurez-vous que les logiciels sur votre site soient à jour et qu’il n’existe pas de faille connue. Donc, c’est une mauvaise idée de mettre phpBB avec Wordpress parce que le premier est une vraie passoire.
- J’analyserais les services de votre hébergeur web – Si je ne peux pas entrer dans votre Wordpress avec les moyens ci-dessus, je me rabattrais sur votre hébergeur web. J’utiliserais un logiciel tel que Nmap pour scanner les ports ouverts de votre machine. Par exemple, je peux trouver des ports ouverts sur votre FTP ou Mail et boum, me voilà à l’intérieur pour supprimer tous vos fichiers. Et il suffit que vous utilisiez le même mot de passe pour vous connecter à votre FTP et votre base de donnée MySQL que je pourrais littéralement exporter tout votre blog. La solution est de vérifier un par un tous les logiciels de votre serveur. Assurez-vous que son système d’exploitation soit Linux, notamment Debian et que tous les services (Serveur FTP, Mail, Cpanel, etc) soient à jour.
- La sécurité Wordpress par l’ingénierie sociale – L’ingénierie sociale est une technique qui consiste à me faire passer pour votre hébergeur web afin d’avoir vos identifiants et mots de passe. En fait, elle ne nécessite aucune connaissance en informatique, mais un remarquable don de persuasion. Si j’arrive à vous faire croire que je suis votre hébergeur Web et qu’il me faut vos identifiants pour changer des réglages critiques alors on peut dire que vous êtes foutus. Si j’ai de la chance, je pourrais même accéder à vos coordonnées bancaires. La solution consiste à vérifier soigneusement les mails ou même les coups de téléphone. Un hébergeur web ne vous demandera jamais ces informations puisque c’est lui qui vous les a fournis ! Si vous devez changer vos identifiants, il vous demandera simplement de le faire dans les meilleurs délais, mais il ne vous demandera jamais de les lui donner.
Mots clés Technorati : securiser wordpress,pirater wordpress,securite wordpress,piratage blog wordpress