Il fallait vivre dans un igloo cette semaine pour ne pas entendre parler des différentes brèches de sécurités récemment dévoilées dans WordPress.

securiser-blog-wp-partie1

Voici un premier billet d'une longue série dans laquelle j'aborderai différentes techniques et méthodes de sécurité qui vous permettront de limiter les dégâts pour de prochaines éventuelles failles.

Après la faille XSS 0day qui permettait de rediriger le visiteur grâce à du code héxa en commentaire vers un site de phishing (>= v2.8.1 explication ici) puis la faille de réinitialisation du mot de passe des comptes dont le login est connu (>= 2.8.2 explication ici), dites-vous que ces découvertes ne sont pas les dernières.

Pourquoi ces modifications ?

WordPress est l'un des CMS les plus répandu. Plus votre configuration sera exotique, plus vous passerez à travers les balles de vilains pirates.

Note : je vais employer à plusieurs reprises le mot "pirate" dans cette série. Comprenez qu'un pirate (pour mon billet) est une personne tierce malveillante non autorisée à gérer votre blog.

Supprimer l'utilisateur "admin"

A chaque installation de WordPress est associé un utilisateur "admin". C'est  précisément à cause de cet utilisateur que certains blogueurs ont reçu par email un nouveau mot de passe dans la dernière faille en date.

L'administration de votre blog est protégée par deux champs : l'identifiant et le mot de passe. En laissant l'identifiant "admin" dans votre liste d'utilisateur vous ne laissez plus que le mot de passe à deviner aux pirates.

Il convient donc de supprimer totalement l'utilisateur pour éviter d'éventuelles intrusions :

  1. Se connecter avec l'utilisateur "admin" et créer un nouvel utilisateur (Utilisateurs > Ajouter) avec un identifiant peu commun et le placer comme "administrateur" :

    creer-user

    Prenez soin de décocher "Envoi ce mot de passe au nouvel utilisateur par e-mail." pour éviter qu'un pirate ayant accès à votre boite email puisse le récupérer.

  2. Se déconnecter de l'administration du blog (en haut à droite).
  3. Se connecter avec le nouvel utilisateur ("totoadmin" pour mon cas).
  4. Cliquer sur "Utilisateurs", puis "Supprimer" dessous le compte "admin". Attention à bien sélectionner "Attribuer tous les articles et les liens à : totoadmin" (sinon vous perdrez tous vos billets !):
    supprimer-admin
  5. Se déconnecter
  6. Se connecter à nouveau avec l'utilisateur nouvellement crée pour vérifier les droits
  7. C'est fini !

Il utilise d'autres méthodes pour réaliser l'opération en modifiant directement la base de donnée via phpMyAdmin par exemple, mais je vous recommande fortement d'utiliser celle présentée ici puisqu'elle est nativement prévue dans WordPress, qui plus est si vous n'êtes pas expert en base de données.

  • Prochaine étape : protection du fichier wp-config.php

Auteur : Mr Xhark

Fondateur du blog et passionné par les nouvelles techno, suivez-moi sur twitter