(3 vote(s), 
Loading...Il fallait vivre dans un igloo cette semaine pour ne pas entendre parler des différentes brèches de sécurités récemment dévoilées dans WordPress.
Voici un premier billet d'une longue série dans laquelle j'aborderai différentes techniques et méthodes de sécurité qui vous permettront de limiter les dégâts pour de prochaines éventuelles failles.
Après la faille XSS 0day qui permettait de rediriger le visiteur grâce à du code héxa en commentaire vers un site de phishing (>= v2.8.1 explication ici) puis la faille de réinitialisation du mot de passe des comptes dont le login est connu (>= 2.8.2 explication ici), dites-vous que ces découvertes ne sont pas les dernières.
Pourquoi ces modifications ?
WordPress est l'un des CMS les plus répandu. Plus votre configuration sera exotique, plus vous passerez à travers les balles de vilains pirates.
Note : je vais employer à plusieurs reprises le mot "pirate" dans cette série. Comprenez qu'un pirate (pour mon billet) est une personne tierce malveillante non autorisée à gérer votre blog.
Supprimer l'utilisateur "admin"
A chaque installation de WordPress est associé un utilisateur "admin". C'est précisément à cause de cet utilisateur que certains blogueurs ont reçu par email un nouveau mot de passe dans la dernière faille en date.
L'administration de votre blog est protégée par deux champs : l'identifiant et le mot de passe. En laissant l'identifiant "admin" dans votre liste d'utilisateur vous ne laissez plus que le mot de passe à deviner aux pirates.
Il convient donc de supprimer totalement l'utilisateur pour éviter d'éventuelles intrusions :
- Se connecter avec l'utilisateur "admin" et créer un nouvel utilisateur (Utilisateurs > Ajouter) avec un identifiant peu commun et le placer comme "administrateur" :
Prenez soin de décocher "Envoi ce mot de passe au nouvel utilisateur par e-mail." pour éviter qu'un pirate ayant accès à votre boite email puisse le récupérer.
- Se déconnecter de l'administration du blog (en haut à droite).
- Se connecter avec le nouvel utilisateur ("totoadmin" pour mon cas).
- Cliquer sur "Utilisateurs", puis "Supprimer" dessous le compte "admin". Attention à bien sélectionner "Attribuer tous les articles et les liens à : totoadmin" (sinon vous perdrez tous vos billets !):
- Se déconnecter
- Se connecter à nouveau avec l'utilisateur nouvellement crée pour vérifier les droits
- C'est fini !
Il utilise d'autres méthodes pour réaliser l'opération en modifiant directement la base de donnée via phpMyAdmin par exemple, mais je vous recommande fortement d'utiliser celle présentée ici puisqu'elle est nativement prévue dans WordPress, qui plus est si vous n'êtes pas expert en base de données.
- Prochaine étape : protection du fichier wp-config.php
11 commentaires
Super, très bonne idée de mettre ces tu
ips sur WP...
Merci bcp, allez je RT direct.
Cherchant depuis quelques temps quel CMS je vais prendre. Mon choix étant hésitant entre deux. Les plus connus. Le 1er c'est celui dont parle l'article, le deuxième est Joomla. Ce qui me faisait penché en faveur du premier c'était que je n'étais pas tombé sur un article parlant sécurité. Bon on va réfléchir encore un peu.
J'ai suivi et appliqué les étapes de ton billet xhark,
tout à fait excellent, déjà le fait d'éliminer le compte par défaut "admin" peut faire éviter pas mal d'attaques (qu'ils soient anciennes ou futures) qui cible wordpress
un autre conseil, mais qui requiert d'être appliqué pendant l'installation de wordpress (de préférence) c'est de modifier le préfixe des tables plutôt que de laisser la valeur par défaut (wp_) avec qlq chose d'aléatoire genre : kdhs_ ou qlos_
et j'ai hâte de voir la prochaine étape (wp-config.php) j'avoue que j'utilise déjà un moyen pour sécuriser ce fichier, et tous autre fichier sensible contenant des données de connexion vers nos bdd(s) mais je suis curieux peut être que ca sera le moyen que j'utilise, ou mieux un nouveau, ARF j'ai hâte
PS: merci pour la mention de mon billet, agréable journée / soirée xhark
@xc3ptional : j'ai prévu d'aborder le cas des préfixes de tables dans un prochain billet 😉 Merci pour ta remarque
Dernière chose à faire : changer son Pseudonyme (obligatoire) car par défaut, il reprend la valeur du login.
Je plussoie, c'est la base de supprimer de l'utilisateur admin 🙂
Ou alors tu peux modifier le nom d'utilisateur admin directement dans la bdd
http://jonasluthi.com/2009/06/modifier-lidentifiant-de-connexion-cree-par-defaut-sous-wordpress/
🙂
Meeeeeeeeeeeeerci !! Je galérais tellement en allant bidouiller dans la bdd!!
C'est tellement plus simple comme ça.
J'ai enfin mon blog, et aucun souci pour me connecter.
[...] mon précédent billet concernant le cas de l’utilisateur par défaut « admin », j’aborde aujourd’hui le fichier wp-config.php dans ma série « Comment [...]
Merci pour ce billet j'en avait bien besoin car ont me proposait souvent la méthode base de donnée via phpMyAdmin mais ses trop risqué pour moi , alors je vais essayé votre méthode et bravo pour votre blog, look très professionnel et excellent, bien écris... jy reviendrai!
bon succés
Vous avez terminé il ya quelques bons points. J'ai fait une recherche sur le thème et constaté que la majorité des personnes auront le même avis avec votre blog.