Sécuriser votre blog afin de pallier aux attaques des hackers, est ce un besoin, ou une nécessité ? J’opterai pour la nécessité.

Les hackers sont des gens comme les autres, enfin presque. Pour eux Internet est un immense terrain de jeux surlequel sites et blogs ne sont que des jouets qu’il faut absolumment détruire ou rendre inutilisables.

Il ya deux ou trois ans, deux de mes blogs ont été attaqués, et comme de bien entendu, à l’époque je n’avais pas de sauvegarde, puisque ce genre de chose, cela n’arrive qu’aux autres, n’est ce pas ? Internet n’étant pas ma principale activité, le temps que je remette les choses en ordre, les deux blogs n’apparaissaient plus qu’en 8ème et 10ème pages des moteurs de recherche. Ils n’ont pas été retiré du classement, mais avaient perdu toute leur valeur.

Au résultat, je pense avoir perdu quelques centaines d’euros de revenus publicitaires, pas de quoi en faire un drame. J’ai fini par purement et simplement les abandonner.

Voyons à présent où votre installation pêche et comment la corriger.

Avez-vous une sauvegarde récente ? Utilisez vous un mot de passe efficace ? Utilisez vous un mot de passe différent pour chaque blog ?

La première pierre de votre édifice sécuritaire repose dans les sauvegardes. Faites régulièrement des sauvegardes afin de palier à tout problème quel qu’il soit.

Pour vos mots de passe, je vous suggère d’utiliser un générateur de mot de passe, tel que la version en ligne de PCTools , ou suivez une des méthodes ci-après.

Il y a deux approches pour générer un mot de passe fort pour chacun de vos blogs.

La solution légère (bien qu’efficace) consiste, à partir d’un mot de passe courant, d’y ajouter des chiffres, que vous pourrez mémoriser aisément, telle que le numéro de votre maison dans votre rue, ensuite ajoutez quelques lettres du nom de domaine, par exemple 5 lettres, pratiqment tout est permis dans les mots de passe, mis à part les espaces.

L’utilisation conjointe de majuscules et de minuscules rendra votre mot de passe plus complexe. Ainsi, si votre mot de passe est hercule24, et votre nom de domaine est mondomaine.com, votre mot de passe pourrait être HerculE24MondO, qui est un mot de passe relativement fort qui pourra résister aux attaques générales des hackers tentant de pénétrer votre blog.

La solution coriace, celle que j’utilise, est d’utiliser un outil de génération et de stockage de mots de passe, disponible pour les navigateurs. Certains aiment Roboform, pour ma part, je préfère 1Password, un outil porté du Mac vers le PC. Tous deux sont payant, mais disposent d’une version gratuite de 30 jours. Ces deux outils génèrent des mots de passe extrêmement sécurisés, que vous pourrez mettre en œuvre pour vos blogs.

A présent nous allons parler de points plus spécifiques à WordPress. Lors de chaque installation de WordPress, il vous faut éditer le fichier config-sample.php, le renommer en config.php, et y insérer le nom de votre base de données, votre nom d’utilisateur ainsi que le mot de passe de votre base de données.

Quelques autres modifications sont à apporter en plus du mot de passe.

Une des sections de config-sample.php se nomme « Authentication Unique Keys ». Il y a huit définitions qui apparaissent dans cette partie :

En vous rendant sur le site https://api.wordpress.org/secret-key/1.1/salt/ comme indiqué dans le fichier config-sample.php, vous obtiendrez des clés sécurisées pour les huit définitions, telle que celles-ci :

La prochaine étape, lors de l’installation, sera de modifier le préfixe wp_ utilisé dans votre base de données.

Cette modification peut également se faire sur un blog existant, mais c’est un autre sujet, nous y reviendrons dans un autre article. Le changement de préfixe est une des étapes nécessaires, changez wp_ en ce que vous souhaitez. Vous êtes libres d’utiliser des lettres, des chiffres, un tiret ou le caractère souligné. Cette modification permettra de contrecarrer les tentatives d’injection SQL, qui consistent en une détérioration de votre base de données. Ce type d’attaque permet également de créer un nouvel utilisateur avec tous les pouvoirs d’administrations. Il va sans dire que ce genre d’attaque rendra votre site totalement inexploitable.

Autre point critique à surveiller, vous devez utiliser la dernière version de WordPress, ceci est primordial , afin d’avoir toutes les mises à jour permettant de réparer d’ éventuelles failles de sécurité.

Enfin nous allons ajouter le plugin WordPress Security Scan qui vous permettra de vérifier plusieurs points de sécurité puis Security, et vous préviendra en cas d’oubli. Il vous indiquera également que l’utilisateur « admin » exite déjà, bien sûr il s’agit de votre compte administrateur. Une fois installé, vous pourrez accédez au plugin via l’option sécurité de votre console d’administration. Vous pouvez également changer le nom d’utilisateur, car « admin » est trop souvent utilisé, et de ce fait, c’ est une des clés utilisée par les hackers.

WordPress Security Scan vous indiquera que votre répertoire wp-admin ne contient pas de fichier .htaccess. Vous pouvez ajouter un fichier .htaccess afin de contrôler l’accès au répertoire. De nombreux sites vous fournirons des informations sur l’utilisation du fichier .htaccess.

Je vous recommande également l’installation du plugin Login LockDown si vous ne voulez pas utiliser de fichier .htaccess. Le plugin bloquera les accès interdits provenant d’une adresse IP spécifique, pour une heure, après trois tentatives infructueuses. Si vous installez ce plugin, vous pourrez tout de même accéder à votre console d’administration depuis un autre ordinateur, tout en étant protéger des hackers.

Nous avons passé en revue la protection minimale nécessaire pour tout blog WordPress. Nous reviendrons ultérieurement sur le sujet en l’approfondissant davantage.

La sécurité des blogs est trop souvent négligée par les blogueurs, et cela doit pourtant être la première des précautions à prendre. Il ya plusieurs choses que vous pouvez et devez faire pour protéger votre blog, aussi allons nous passer en revue une poignée de conseils  importants.

La première des erreurs les plus fréquentes, est d’installer un blog, de façon automatique via des interfaces de type Fantastico, et de ne plus se soucier de rien d’autre que de trouver des sujets de billets.

Etant donné que la majorité des blogueurs utilisent WordPress, la plupart des hackers et des geeks cherchent, et trouves des failles de sécurité.

Je vais vous faire une courte liste de moyens pour sécuriser votre blog WordPress efficacement

1. Ayez un mot de passe très fort
Croyez-moi ou non, 70% des blogueurs utilisent un mot de passe simple à mémoriser (date de naissance, prénom, nom du chien, etc …), grossière erreur. Il existe des tonnes de scripts pour briser les mots depasse facilement, et il sera donc aisé pour un hacker de pénétrer dans le tableau de bord de votre blog et d’y faire « le ménage ».

Avoir un mot de passe fort ne sert pas qu’à protéger votre blog, il représente 50% de la sécurité!

Je vous suggére d’utiliser un générateur de mot de passe. Pour ma part, j’utilise PC Tools Password Utilities, que vous pouvez télécharger, c’est un outil vraiment très puissant, toutefois vous pouvez également utiliser la version en ligne.

Créer des mots de passe longs, en laissant toutes les case cochées afin d’accroître encore la sécurité.

2. Protégez votre Répertoire WordPress
Savez vous que l’on peut aisément visiter votre répertoire WordPress, sans que vous le sachiez ? Curieusement beaucoup de blogueurs ne semblent pas s’en préoccuper. Vous pouvez protéger vos dossiers en incluant la ligne Options – Index dans votre fichier. Htaccess ou plus simplement encore, créer une page index.php vide avec votre éditeur de texte, et la placer à la racine de tous vos répertoires.

3. Sécurisez l’accès à votre base de données
Cela se fera en ajoutant <FilesMatch ^wp-config.php$> deny from all </ FilesMatch> dans votre fichier. Htaccess. Cela permet également de protéger votre compte en cas d’une erreur de serveur.

4. Mettez à jour vos plugins
Beaucoup de blogueurs sont trop paresseux pour mettre à jour les plugins. Rappelez-vous, que les plugins tout comme WordPress sont mis à jour à des fins de sécurité et si vous ne les mettez pas à jour, attendez vous à de sérieux problèmes à un moment ou à un autre.

5. Sauvegardez votre base de données
Faire des sauvegardes régulières de votre bases de données est obligatoire. Pour ma part j’utilise WordPress DB Manager qui est un outil que je recommande fortement. Vous pouvez également faire vos sauvegardes avec phpMyAdmin si votre hébergeur vous le mets à disposition, mais c’est bien plus complexe.

6. Protégez le dossier wp-admin
Protégez votre répertoire admin devrait également être une de vos principales préoccupation. La plupart des pirates utilisent des attaque « brutales » afin de deviner les détails de connexion de votre blog. Vous pouvez éviter ce genre d’attaque en utilisant le plugin Ask Apache Password Protect .

Le plugin ajoute une 2ème couche de protection en exigeant un nom d’utilisateur et un mot de passe pour accéder au contenu du dossier admin. Il utilise une technique avancée de cryptage de votre mot de passe dans le fichier .Htpasswd et réécrit le fichier .htaccess sans pour autant le détruire. Sans nul doute, le must-have pour tout le monde.

7. Mettez WordPress à jour
Combien parmi vous utilisent la dernière version de WordPress (2.9.2) ? La mise à jour étant tellement simple à effectuer, il serait stupide de s’en passer par paresse. Tout comme la mise à jour des plugins, la mise à jour de WordPress est cruciale, car elle élimine les failles de sécurité des versions précédentes.

Avoir un blog de belle facture avec un excellent contenu et une communauté active c’est très bien, mais à quoi cela servira si un hacker passe par votre blog et que celui-ci n’est pas sécurisé, c’est comme si vous laissiez la porte de votre maison grande ouverte.  Assurez-vous que votre blog soit protégé  avant qu’il ne soit trop tard. Rappelez-vous un blog est inutile si il contient des failles de sécurité.

Image by B Tal via Flickr

Nous essayons constamment d’améliorer nos blogs, afin que les moteurs de recherche référencent tout notre site / blog, mais il y a aussi certaines pages que nous ne souhaitons pas que ces moteurs puissent voir, et donc indexer.

Que faisons-nous dans ces cas ?

Pouvons nous maîtriser la façon dont les robots référencent nos pages ?

A vrai dire, parfois oui, et parfois non.

Voyons ensemble  comment empêcher les robots d’accéder à des portions choisies d’un site, afin d’éviter à tout un chacun d’y accéder, et ce de manière efficace.

1. La mise sous clé

La première des protections, et sans aucun doute la plus efficace, est d’utiliser un login et un mot de passe. Vous allez sécuriser vos pages en bloquant l’accès. En laissant les pages, dossiers ou fichiers derrière cette protection vous sécurisez vos pages.

2. La Balise d’entête Nofollow

La seconde protection que je vous propose, consiste à utiliser la balise d’entête nofollow. Dans l’entête de toutes les pages dont vous ne souhaitez pas laisser libre accès aux robots, insérez la balise d’entête « nofollow«   dans la partie comprise entre <HEAD> et </HEAD> de vos pages. Techniquement, les robots vont « ignorer » ces pages durant l’indexation de votre site.

Toutefois, cette méthode ne sera pas efficace si de nombreux liens externes pointent vers votre site, et que les robots arrivent à voir voir vos pages par de manière détournée, tout en ne les indexant pas immédiatement. D’autre part si vous avez un grand nombre de pages que vous souhaitez « cacher » aux robots, l’ajout de la balise d’en-tête nofollow peut entraîner d’autres complications au sein même de votre site.

3. Blocage des liens internes avec le tag Nofollow

La troisième et la plus simple des  façons de bloquer les moteurs consiste à utiliser le tag « nofollow » sur les liens qui pointent vers ces pages . Le tag nofollow indiquera aux robots d’ignorer le contenu de la page, car la teneur en est inutile.

Même si cela semble techniquement correct, les robots peuvent parfois voir « au travers » des balises nofollow.

À mon avis, l’ajout de balises nofollow aux liens pour bloquer les robots d’indexation, c’est comme si vous protégiez une chambre avec un mur en verre. Les robots d’indexation ne pourront pas entrer ou indexer, mais ils verront le contenu au travers des mûrs en verre, et ainsi ils auront une idée du contenu.

Voila. Trois méthodes efficaces (et inefficaces) d’empêcher les robots d’indexer certaines pages de votre site. Chacune d’entre elle fonctionne bien selon le cas, toutefois, dans certains circonstances, ils vous faudra user des trois méthodes pour barrer l’accès aux robots indexeurs et les empêcher de voir le contenu de vos pages.

Vous connaissez d’autres méthodes ? Faites nous partager votre façon de faire.

Image : Hajime Sorayama via Flickr

Durant les dernières semaines, les utilisateurs de Twitter ojnt été la cible de plusieurs attaques à grande échelle, de type phishing, et selon les experts de la Société SOPHOS (éditeur d’antivirus), la dernière en date n’est pas différente.

L’attaque consiste en l’envoi du texte « This you??? » suivi d’un lien qui renvoi l’utilisateur vers une fausse page de login Twitter. Surtout ne tombez pas dans le panneau. Si vous saisissez vos données de login, vous ne pourrez plus vous connecter à Twitter, car en fait vous envoyez vos données au xhackers

Si vous pensez avoir été victime de cette attaque, vous devriez changer votre mot de passe au plus tôt.

Ci-dessous une démonstration du phishing effectuée par les experts de la société SOPHOS en langue anglaise.

Image by dotcompals via Flickr