Je vous invite à lire les deux premières parties de cette série de tutoriel si vous les avez raté : partie 1 (l’utilisateur par défaut « admin »), partie 2 (l’accès au fichier wp-config.php).

Pourquoi protéger

Cette page permet à tous les utilisateurs WordPress de se connecter au tableau de bord. Suivant son rôle, le champ d’action de l’utilisateur est plus ou moins limité.

Parmi ces utilisateurs il y a toujours un utilisateur administrateur, disposant de tous les droits sur le blog. Cet utilisateur c’est vous.

Parce que vous n’êtes pas à l’abris des intrusions de personnes indésirables, voici quelques pistes pour sécuriser cet accès.

Limit Login Attempts

L’extension Limit Login Attempts inhibe les tentatives de connexions par technique de force-brute.

Il est possible de bloquer le formulaire d’identification :

« 1 attempt remaining » : dernière chance pour entre le bon couple de login/password avant de se faire bannir temporairement.

De nombreux paramètres sont présents dans les options de l’extension :

Il suffit de préciser « after 1 lockout » pour recevoir toutes les notifications par email, pratique (et stressant) si vous êtes en déplacement.

L’extension fonctionne parfaitement sur la version 2.8.4 (bien que 2.7.1 soit indiqué).

Note dév : l’extension utilise la table wp_options avec des attributs commençant par limit_login_*

Login LockDown

Dans les même esprit, Login LockDown protège votre tableau de bord en l’indiquant dès le formulaire d’authentification :

On retrouve certains paramètres dans les options avec la possibilité de masquer les messages d’erreur (« Mask Login Errors ») :

Vous pouvez également masquer les erreurs retournées en cas de mauvais login/pass  dans le fichier functions.php de votre thème en insérant le code suivant :

add_filter('login_errors',create_function('$a',"return null;"));

Pensez à activer « Lockout Invalid Usernames » pour éviter que WordPress précise qu’un utilisateur n’existe pas. En effet, cette méthode peut permettre de découvrir quel nom d’utilisateur existe. En activant cette fonctionnalité vous rendez impossible là encore le brut-force.

Note dév : utilise la table wp-lockdowns

Crypter l’authentification

Pour crypter tout ce qui transite entre vous et votre serveur, l’idéal est d’utiliser un chiffrement SSL. Il permet d’éviter l’interception de données si vous êtes en entreprise, dans un cybercafé, sur un hotspot WiFi, etc. mais consomme beaucoup de ressources système et n’est que rarement proposé par l’hébergeur (payant).

L’extension Semisecure Login Reimagined utilise une clé publique RSA pour crypter le login+mot de passe et se sert de la clé publique pour le décrypter lors de sa réception. Tout est bien sûr transparent pour vous, seule une petite notification vous informe de la mise en place du plugin :

Il faudra que la version PHP de votre serveur ait été compilée avec SSL pour pouvoir l’utiliser.
Dans le cas contraire vous pouvez utiliser le plugin Semisecure Login qui n’utilise pas RSA mais le chiffrement MD5.

Vous pouvez crypter l’identifiant, le mot de passe ou les deux :

Vu la transparence et la fiabilité du cryptage (RSA) il serait bien dommage de s’en priver ?
Cela n’équivaut pas à via SSL  une authentification HTTPS mais l’algorithme RSA est reconnu comme fiable depuis 25 ans.

Attention toutefois si vous envoyez des fichiers via FTP sur un réseau dont vous n’êtes pas à l’abris d’une écoute, je vous rappel que vos identifiants (mot de passe inclus) transitent en clair. Il est conseillé de créer un compte FTP de façon temporaire pour ce genre de transfert non sûr, ou bien d’encapsuler FTP dans un tunnel SSH (via socks éventuellement).

Un mot de passe jetable

One-Time Password est une extension fonctionnant sur le principe d’un mot de passe unique à chaque connexion, en conformité avec la  RFC2289 du même nom.

Le principe est relativement simple et efficace : le plugin génère une liste de 50 mots de passes qu’il vous faudra imprimer ou garder en lieu sûr.
Comme si chaque mot de passe était une allumette, une fois usagée il est impossible de s’en servir à nouveau.

A chaque connexion sur votre blog il vous sera demandé le mot de passe correspondant à l’identifiant affiché (Seq). Une fois authentifié ce mot de passe ne sera plus utilisable (détruit) détruit et l’identifiant décrémenté.

La première étape consiste à entrer un passphrase qui servira à la génération des X (au choix) mots de passes aléatoires :

Je vous recommande de choisir SHA1 comme algorithme de cryptage.

Cliquer sur Generate puis imprimer la liste de mot de passe (ou stockez-là dans un lieu sûr, cryptée de préférence) :

On retrouve 3 colonnes avec :

1. Seq :  identifiant
2. Hex : mot de passe en héxadécimal
3. Words : mot de passe, plus facile à mémoriser car composé de mots anglais

Il vous suffit ensuite d’entrer votre login puis le mot de passe (en hexa ou en mots) depuis votre liste précédemment imprimée en fonction de l’identifiant affiché :

Par mesure de sécurité, vous pouvez toujours vous connecter via votre mot de passe d’origine.

Réservez donc cette solution pour une connexion non sûre dans un cybercafé, chez un ami qui a des virus, sur un hotspot non crypté ou même sur un PC comportant un keylogger !

Je rappelle que le but de l’extension n’est pas de crypter mais simplement de fournir des mots de passes à usage unique (sans taxe carbone rassurez-vous ).

PHP >= 5.0.0 ainsi que WordPress >= 2.8 sont des pré-requis.

Personnaliser l’adresse de connexion

Il vous suffit d’utiliser le plugin Stealth Login pour personnaliser l’adresse d’accès du tableau de bord, de connexion et de déconnexion.

Au lieu de vous rendre sur http://site.fr/wp-admin vous irez sur http://site.fr/admin par exemple :

Le plugin ajoute simplement quelques lignes de rewrite dans votre fichier .htaccess. Vous pouvez donc tout à fait désactiver voir supprimer le plugin une fois vos adresses configurées.

Attention : cela ne désactive pas l’accès via via l’URL /wp-admin mais crée simplement d’autres URL personnalisées

Conclusion

Chacun de ces plugins permet d’ajouter un pallier de sécurité quant à la sécurité de votre blog WordPress. Ils ne sont pas infaillibles mais c’est toujours mieux que de ne rien avoir.

Ne les installez/activez pas tous à la fois, certains jouant le même rôle vous risqueriez d’avoir pas mal de conflits puisqu’ils ne sont pas fait pour fonctionner en même temps.

Attention tout de même à garder ces plugin à jour, car en cas de faille ils pourraient bien jouer le rôle inverse que de vous protéger.

Article original écrit par Mr Xhark publié sur Blogmotion le 30/08/2009 | 7 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Petit rappel de ce qu’est le spam car je vois pas mal de personne parler de spam à mauvais escient. Définition : « communication électronique, notamment du courrier électronique, non sollicitée par les destinataires, expédiée en masse à des fins publicitaires ou malhonnêtes ». (source)

Yopmail, la référence ultime

Je suis Yopmail depuis ces débuts car j’ai tout de suite accroché à l’idée : toutes les boîtes aux lettres « @yopmail.com » sont valides, inutile donc d’en créer une !

Au départ YopMail était hébergé chez Fred (le créateur) directement sur sa Freebox, et il fonctionnait avec EasyPHP ! Aujourd’hui il a beaucoup évolué et j’en suis toujours aussi fan :

Admettons que nous souhaitez utiliser l’adresse toto@yopmail.com, voici tous les moyens de lire les mails :

• en vous rendant sur Yopmail.com puis en saisissant le nom « toto » dans le champ réservé
• via le flux RSS de la boîte email : http://www.yopmail.com/rss.php?login=toto
• directement depuis l’adresse en sous-domaine http://toto.yopmail.com
• directement depuis l’adresse http://yopmail.com?toto
• depuis Firefox / Internet Explorer / Opera grâce aux moteurs personnalisables, étant fan du concept je suis à l’origine du plugin Firefox

Comme toutes les boîtes aux lettres sont librement consultables par tout le monde, ne choisissez pas d’adresse Yopmail pour gérer votre compte paypal tout de même hein mais plutôt sur des forums par exemple.

Pour garder un minimum vos mails « confidentiels » : utilisez un nom de boîte complexe et/ou exotique, générez automatiquement un nom de boîte ou bien créez un alias de boîte :

Vous pouvez tout à fait créer une boîte YopMail pour vous connecter à Windows Live Messenger et discuter entre-amis, en vous utilisant bien sûr un alias comme identifiant pour éviter que l’on vous change votre mot de passe (souvenez-vous de l’email réel car dans le cas contraire vous ne pourrez plus lire de mails !).

Yopmail devient de plus en plus connu sur la toile et votre adresse Yopmail peut se voir refusée lors de votre inscription… Fred a pensé à tout et vous pouvez utiliser des domaines alternatifs pour passer à travers :

Voici quelques domaines alternatifs existants : @yopmail.fr, @yopmail.net, @yopweb.com, @jetable.fr.nf, @nospam.ze.tc, @nomail.xl.cx, @mega.zik.dj, @speed.1s.fr, @cool.fr.nf, @courriel.fr.nf, @moncourrier.fr.nf, @monemail.fr.nf, @monmail.fr.nf.

Vous pouvez tout à fait rediriger les champs MX d’un de vos domaines (gratuit ou payant) en ajoutant votre domaine dans la liste des domaines alternatifs :

Les mails arriveront par contre ensuite dans les mêmes boîtes que les @yopmail.com, méfiance donc car si vous utilisez toto@mondomaine.com il sera lisible depuis toto@yopmail.com.

YopMail est entièrement gratuit, le service est hébergé sur une dedibox et coûte de l’argent chaque mois à Fred, n’hésitez pas à cliquer de temps en temps sur une pub pour le remercier

Le plus étonnant chez YopMail est que dans les coulisses c’est un OS Windows XP avec un serveur WAMP qui rapatrie les mails, par le biais de scripts VisualBasics conconctés par Fred. Plutôt impressionnant quand on sait qu’avec une architecture Linux et des wilcards il est possible de faire la même chose (wildcard).

YopMail vous permet de visualiser la source de chaque mail (en-têtes), d’écrire un mail à une autre adresse YopMail ou encore de transférer un mail reçu vers une adresse mail personnelle, un must !

Les mails qui arrivent dans chaque boite sont consultable 5 jours maximum.

Pour ceux qui ont encore des questions il vous reste : les commentaires de ce billet, la FAQ Yopmail, le forum Yopmail et en dernier recours le formulaire de contact avec Fred qui n’est autre que le créateur du projet (par ailleurs très sympa et à l’écoute).

Aller sur YopMail

NoSpamFor.Us : simple mais fonctionnel

Sur le même principe, NoSpamFor.Us vous permet de consulter des boîtes mail qui ne nécessite pas d’être créées. Moyennant la somme de 5$ vous pouvez tout de même vous approprier une boite de votre choix, je n’adhère pas vraiment au concept mais bon…

Les mails sont préservés 7 jours mais vous ne pouvez pas purger la boite ni écrire de mail vers des boites @nospamfor.us (contrairement à YopMail). L’interface se révèle toutefois fluide et allégée avec possibilité de supprimer un mail.

Deux domaines distincts pour envoyer vos mails : @nospamfor.us et @nospam4.us, les mails de toto@nospamfor.us ne seront pas visibles sur l’autre domaine car ils sont totalement indépendants.

Aller sur NoSpamFor.Us

TemporaryInbox

TemporaryInbox propose des adresses @temporaryinbox.com, ce qui est assez long à écrire et donc source d’erreur.

Le site fonctionne parfaitement mais comporte selon moi bien trop de publicité qui gènent à la consultation des mails. De plus, il est nécessaire de saisir un captcha pour la consultation de chaque mail, et ça c’est un critère qui classe ce service bon dernier !

Aller sur TemporaryInbox

Conclusion

YopMail reste le meilleur service du genre, qui plus est en français et en constante évolution, il s’adapte aux nouveaux moyens de communication et c’est un excellent point pour lui. De plus le site est toujours disponible et les temps de récéption d’un mail sont quasi nuls, à chaque fois que vous attendez qu’un mail arrive c’est que le serveur expéditeur est un peu à la traine.

De plus il est possible de purger une boite, très utile si vous utilisez un boite populaire telle que celle d’avast

N’hésitez pas à soumettre vos idées sur l’amélioration du service car le service évoluera ! J’avais par exemple soumis la consultation des mails par sous-domaine : c’est aujourd’hui possible ! J’avais également soumis un logo pour rendre YopMail un peu plus « attirant », c’est maintenant le logo de YopMail !

En bref YopMail est facile à retenir, agréable, gratuit, fonctionnel et français (coco-rico) ! Alors mangez-en sans modération.

Si vous connaissez d’autres services du genre n’hésitez pas à m’en parler dans les commentaires.

Aller sur YopMail
Aller sur NoSpamFor.Us
Aller sur TemporaryInbox

Article original écrit par Mr Xhark publié sur Blogmotion le 08/02/2009 | 3 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons