Quelques conseils après piratage d’un blog wordpress
J’avais promis suite à mon récent piratage de donner les enseignements tirés de cette (douloureuse) expérience.
En voici une poignée, ils valent ce qu’ils valent mais je fais avec les moyens dont la nature m’a généreusement doté…
(Si vous ne l’avez encore fait je vous conseille préalablement la lecture de cet article pour suivre la
chronologie des évènements.)
- Toujours vérifier dès l’installation de votre blog WordPress les options par défaut, en cas de doute les désactiver.
Je ne sais pourquoi j’ai laissé la possibilité d’inscription au blog ouverte car je n’ai aucune idée de l’usage de cette option.
- Se renseigner chez son hébergeur de l’existence ou non de sauvegardes automatiques.
Plus qu’utile en cas de fausse manip ou de grosse galère comme ici.
Chez OVH c’est intégré par défaut : si ce n’est pas le cas chez votre hébergeur vous savez ce qu’il vous reste à faire.
- TOUJOURS faire des sauvegardes de sa base de données, à fréquence régulière, de nombreux plugins comme WordPress Database Backup le font automatiquement
C’est la seule façon de ne pas tout perdre et de retrouver un site « ad integrum » en cas de soucis.
- Et mon conseil, celui qui vaut de l’or : conserver des sauvegardes de bases de données plus anciennes.
Ne pas se satisfaire des 2 ou 3 dernières qui peuvent être endommagées : dans mon cas, sûr d’être protégé, j’aurais tout perdu !
Et rien ne sert d’en faire douze par jour, mieux vaut avoir les bonnes… :-)
La première qui a fonctionné pour moi datait de 5 semaines.
- Utiliser ensuite Google cache pour récupérer les articles manquants s’ils ne sont pas trop anciens.
Par exemple http://webcache.googleusercontent.com/search?q=cache:http://iriche.com permet de retrouver la page d’accueil de iRiche.
Avec l’url complète de l’article vous devriez retomber dessus.
La manip est un peu plus complexe mais sur google on trouve la marche à suivre.
Ne pas attendre que cela arrive pour suivre ces quelques conseils sinon vous pleurerez !
Voilà vous savez tout.
Je suis un pur autodidacte, ces enseignements sont le fruit de ma mésaventure, il y a probablement d’autres moyens plus académiques de se sortir de ces mauvais pas.
En tout cas cela n’arrive pas qu’aux autres, pensez y !
Dans un prochain article je vous indiquerai ce que j’ai fait pour sécuriser un peu mieux mes différents sites tout en ayant présent à l’esprit que les malfaisants sont plus forts que moi (et surtout très c…!)
En attendant si vous avez d’autres « trucs » pour se refaire une santé après un piratage, n’hésitez pas, les commentaires sont là pour cela.
Merci beaucoup pour le partage d’astuces ! C’est la deuxième fois que je me fais piraté et je suis à la recherche d’une solution efficace ! La sauvegarde de la base de données me semble indispensable pour éviter tout désagrément.
Hello,
la sauvegarde de la bdd est vitale dans ces cas-là sinon on ne peut pas récupérer mais aussi, comme je l’indique, nécessité d’en avoir plusieurs car parfois elles ne fonctionnent pas.
Mais il faut aussi sauvegarder le reste de temps à autres à moins d’avoir une sauvegarde chez l’hébergeur.
Deux fois moi aussi, on pourrait monter un club ! ;-)
Bon courage.
Salut David !
Pas drôle de se faire trouer les fesses comme ça =(
Voici mes 2 suggestions qui peuvent t’aider, voir même aider plusieurs personnes à augmenter leur niveau de sécurité sur WP :
1) Limit Login Attempts. Un vrai petit bijou qui contrecarre les hackers ou robots qui essaient sans répis de se logger dans ton admin.
http://wordpress.org/plugins/limit-login-attempts/
2) Sucuri Security Scanner
Permet d’avoir une belle vue sur la sécurité de ton site :
http://wordpress.org/plugins/sucuri-scanner/
A++
…Et un troisième plugin super important qui permet d’être plus proactif en matière de sécurité de son site :
http://wordpress.org/plugins/ultimate-security-checker/
Ultimate Security Checker
Je recommande FORTEMENT l’installation et la configuration appropriée de ces 3 plugins !
salut,
j’avais installé le 2 et le 3.
Pour le premier point j’ai changé le nom d’admin et mis un mot de passe plus conséquent mais il y a encore des tas de choses qui peuvent être vulnérables (le ftp, etc…)
De toute manière malheureusement rien n’est parfait, les nuisibles sont plus forts que moi, il reste qu’à croiser les doigts… ;-)
Salut David :D
Excellent pour les points 2 et 3, surtout 3. C’est à garder à jour en tout temps et à réviser à toutes les 1-2 semaines avec un nouveau scan. Monter le score le plus haut possible, comme tu le sais !
Bref, ça devrait t’aider un bon coup. Maintenant, pour le plugin #1 (limit login attempts), il est absolument indispensable et ce, même si tu as changé ton nom admin en login. C’est la grosse base de ne pas laisser admin et tu as bien fait de le faire, mais il faut aller plus loin pour arrêter de te faire gobber des ressources (charge inutile) sur ton serveur par des tentatives INCESSANTES de connexion.
Je te conseille de l’installer et de l’activer quand même si tu ne l’as pas encore fait, et d’activer la fonction qui t’envoie un email lorsqu’il y a une tentative de hack. Tu vas vite te rendre compte que ça n’arrête jamais et que ça se produit plusieurs fois par jour. C’est ça de gagner en barrant la porte (mes paramètres sont très serrés : 3 essais max, ban pour plusieurs jours quand ça arrive, etc).
A++
hello
merci de tes informations.
J’ai donc installé le 3eme plugin, maintenant wait and see ! ;-)
Dans mon autre site je trouve régulièrement du code modifié dans les fichiers et je ne sais pas comment c’est possible : peut-être une vulnérabilité du ftp ?
A+
Salut David !
Il y a de bonnes chances que ce soit un de tes plugins qui est vieux et qui possède une faille de sécurité. Ça m’est déjà arrivé, c’est dégueu de se rendre compte qu’il y a du code qui est inséré dans notre thème par d’autres !
Souvent, l’insertion de code malicieux se fait par des portes d’entrées où la saisie est possible, comme les commentaires ou la page de contact. As-tu des plugins qui touchent ce genre de truc ? Ont-ils été mis à jour récemment ?
Hello CC,
en général j’essaie de tenir mes plugins à jour mais effectivement j’ai un truc de contact et puis les commentaires.
J’ai aussi installé celui que tu m’as recommandé « login attempts » et c’est impressionnant : depuis hier une quinzaine d’essais.
Ce sont des adresses IP tournantes par ex 150.12.1 150.12.2 etc. je suppose que ce sont des robots.
Bon, de toute manière c’est sans fin, il y a des désœuvrés dont le but dans la vie est de pourrir celle des autres, c’est ainsi.
A+
Salut David =)
Oui, c’est chiant et il faut l’accepter. Toutefois, il y a quand même des choses importantes à faire en matière de prévention.
Essaie d’utiliser des plugins qui sont régulièrement mis à jour. Par exemple, pour le contact form, celui-ci a été mis à jour il y a environ 10 jours :
Fast Secure Contact Form
http://wordpress.org/plugins/si-contact-form/
Pour ton plugin de commentaires, je te suggère d’investiguer. La date de la dernière mise à jour du plugin remonte-t-elle à loin ? Si oui, envisage un nouveau plugin, il se peut que tu te fasses injecter du code par celui-ci aussi. Du moins, commence par changer le contact form, puis règle le problème des commentaires au besoin. Ça devrait aider à stopper l’injection de code.
L’info est toujours écrit à droite sur la page du plugin, comme par exemple celle que je t’ai donnée ci-dessus « Last Updated: 2013-8-16 ».
C’est une info importante à regarder. Ensuite, évidemment, comme on le sait, il faut garder à jour ses plugins installés de manière très serrée.
hello,
merci pour tes conseils, je regarde ça.
A bientôt.