Image via Wikipedia

Nombre plugin sont uniquement constitués de fichiers php, et généralement on peut y accéder directement.

En fonction du type de plugin, et des fonctions contenues dans le fichier, l’accès direct à vos plugin peut générer une faille de sécurité.

La recette d’aujourd’hui bloque l’accès direct aux fichiers plugin.

Il suffit de coller les lignes ci-dessous dans votre fichier .htaccess, qui se trouve à la racine de votre installation de blog

N’oubliez pas d’effectuer une sauvegarde de votre fichier .htaccess, avant toute modification, vous serez en mesure de le restaurer en cas de problème.

<Files ~ "\.(js|css)$">
order allow,deny
allow from all
</Files>

D’autres recettes et astuces sont à venir.

L’équipe de développement de WordPress vient de mettre à votre disposition la version 3.05 qui corrige plusieurs quelques points de sécurité et  rend le code plus rigoureux.

• - Deux problèmes de sécurité moyen ont été corrigés, dans les deux cas les contributeurs des blogs pouvaient accéder à des fonctions normalement interdites à leur statut.
• - Un point de sécurité concernant l’accès des contributeurs à du contenu qui leur est interdit (brouillons, articles privés) a été réparé.
• - Deux points de sécurité ont été amélioré, l’un pour les plugin ne respectant le niveau de sécurité requis par l’API de sécurité et le second ajoute une protection addictionnelle a une vulnérabilité réparée par la version précédente.

Par mesure de sécurité, il est rappelé qu’avant de faire la mise à jour, vous devez faire une sauvegarde de votre base de données.

Image via Wikipedia

WordPress vient d’être mis à jour en version 3.0.3.

Cette dernière mise à jour est très importante pour tous les blogs WordPress.

Selon le site WordPress cette mise à jour fixe un problème d’édition à distance, qui dans certains cas, permet à l’auteur ou au contributeur d’éditer, publier ou supprimer des postes de façons anormales

Il est donc plus que fortement recommandé d’effectuer la mise à jour de votre blog WordPress sans délais.

Sécuriser votre blog afin de pallier aux attaques des hackers, est ce un besoin, ou une nécessité ? J’opterai pour la nécessité.

Les hackers sont des gens comme les autres, enfin presque. Pour eux Internet est un immense terrain de jeux surlequel sites et blogs ne sont que des jouets qu’il faut absolumment détruire ou rendre inutilisables.

Il ya deux ou trois ans, deux de mes blogs ont été attaqués, et comme de bien entendu, à l’époque je n’avais pas de sauvegarde, puisque ce genre de chose, cela n’arrive qu’aux autres, n’est ce pas ? Internet n’étant pas ma principale activité, le temps que je remette les choses en ordre, les deux blogs n’apparaissaient plus qu’en 8ème et 10ème pages des moteurs de recherche. Ils n’ont pas été retiré du classement, mais avaient perdu toute leur valeur.

Au résultat, je pense avoir perdu quelques centaines d’euros de revenus publicitaires, pas de quoi en faire un drame. J’ai fini par purement et simplement les abandonner.

Voyons à présent où votre installation pêche et comment la corriger.

Avez-vous une sauvegarde récente ? Utilisez vous un mot de passe efficace ? Utilisez vous un mot de passe différent pour chaque blog ?

La première pierre de votre édifice sécuritaire repose dans les sauvegardes. Faites régulièrement des sauvegardes afin de palier à tout problème quel qu’il soit.

Pour vos mots de passe, je vous suggère d’utiliser un générateur de mot de passe, tel que la version en ligne de PCTools , ou suivez une des méthodes ci-après.

Il y a deux approches pour générer un mot de passe fort pour chacun de vos blogs.

La solution légère (bien qu’efficace) consiste, à partir d’un mot de passe courant, d’y ajouter des chiffres, que vous pourrez mémoriser aisément, telle que le numéro de votre maison dans votre rue, ensuite ajoutez quelques lettres du nom de domaine, par exemple 5 lettres, pratiqment tout est permis dans les mots de passe, mis à part les espaces.

L’utilisation conjointe de majuscules et de minuscules rendra votre mot de passe plus complexe. Ainsi, si votre mot de passe est hercule24, et votre nom de domaine est mondomaine.com, votre mot de passe pourrait être HerculE24MondO, qui est un mot de passe relativement fort qui pourra résister aux attaques générales des hackers tentant de pénétrer votre blog.

La solution coriace, celle que j’utilise, est d’utiliser un outil de génération et de stockage de mots de passe, disponible pour les navigateurs. Certains aiment Roboform, pour ma part, je préfère 1Password, un outil porté du Mac vers le PC. Tous deux sont payant, mais disposent d’une version gratuite de 30 jours. Ces deux outils génèrent des mots de passe extrêmement sécurisés, que vous pourrez mettre en œuvre pour vos blogs.

A présent nous allons parler de points plus spécifiques à WordPress. Lors de chaque installation de WordPress, il vous faut éditer le fichier config-sample.php, le renommer en config.php, et y insérer le nom de votre base de données, votre nom d’utilisateur ainsi que le mot de passe de votre base de données.

Quelques autres modifications sont à apporter en plus du mot de passe.

Une des sections de config-sample.php se nomme « Authentication Unique Keys ». Il y a huit définitions qui apparaissent dans cette partie :

En vous rendant sur le site https://api.wordpress.org/secret-key/1.1/salt/ comme indiqué dans le fichier config-sample.php, vous obtiendrez des clés sécurisées pour les huit définitions, telle que celles-ci :

La prochaine étape, lors de l’installation, sera de modifier le préfixe wp_ utilisé dans votre base de données.

Cette modification peut également se faire sur un blog existant, mais c’est un autre sujet, nous y reviendrons dans un autre article. Le changement de préfixe est une des étapes nécessaires, changez wp_ en ce que vous souhaitez. Vous êtes libres d’utiliser des lettres, des chiffres, un tiret ou le caractère souligné. Cette modification permettra de contrecarrer les tentatives d’injection SQL, qui consistent en une détérioration de votre base de données. Ce type d’attaque permet également de créer un nouvel utilisateur avec tous les pouvoirs d’administrations. Il va sans dire que ce genre d’attaque rendra votre site totalement inexploitable.

Autre point critique à surveiller, vous devez utiliser la dernière version de WordPress, ceci est primordial , afin d’avoir toutes les mises à jour permettant de réparer d’ éventuelles failles de sécurité.

Enfin nous allons ajouter le plugin WordPress Security Scan qui vous permettra de vérifier plusieurs points de sécurité puis Security, et vous préviendra en cas d’oubli. Il vous indiquera également que l’utilisateur « admin » exite déjà, bien sûr il s’agit de votre compte administrateur. Une fois installé, vous pourrez accédez au plugin via l’option sécurité de votre console d’administration. Vous pouvez également changer le nom d’utilisateur, car « admin » est trop souvent utilisé, et de ce fait, c’ est une des clés utilisée par les hackers.

WordPress Security Scan vous indiquera que votre répertoire wp-admin ne contient pas de fichier .htaccess. Vous pouvez ajouter un fichier .htaccess afin de contrôler l’accès au répertoire. De nombreux sites vous fournirons des informations sur l’utilisation du fichier .htaccess.

Je vous recommande également l’installation du plugin Login LockDown si vous ne voulez pas utiliser de fichier .htaccess. Le plugin bloquera les accès interdits provenant d’une adresse IP spécifique, pour une heure, après trois tentatives infructueuses. Si vous installez ce plugin, vous pourrez tout de même accéder à votre console d’administration depuis un autre ordinateur, tout en étant protéger des hackers.

Nous avons passé en revue la protection minimale nécessaire pour tout blog WordPress. Nous reviendrons ultérieurement sur le sujet en l’approfondissant davantage.

Compte tenu des menaces cohérente qui vous accompagnent pendant que vous naviguez sur Internet, le gestionnaire de mot de passe est l’outil qu’il vous faut afin de sécuriser vos données informatiques.

Vous ne pouvez pas faire face seul, aux virus nocifs, aux logiciels espions, ou à une attaque de phishing. De même avoir ces données personnelles volées ou compromises n’est jamais amusant, et il est rarement facile d’y remédier, si vous êtes technophobe.

Je pense qu’il va sans dire que  pour garder votre ordinateur (et vos données) protégés vous utilisez un bon antivirus, aussi ne vous laissez pas voler vos données personnelles, car ne pas le faire vous coûtera plus cher que le coût du logiciel en lui-même si votre machine est attaquée.

Qu’est-ce qu’un gestionnaire de mot de passe

Un gestionnaire de mot de passe protège vos comptes en ligne, à des niveaux élevés de sécurité. Passons en revue quelques uns ; des notes de service, les touches de raccourci, les générateurs de mot de passe, l’importation fonctions d’exportation, le soutien informatique multiples, sauvegarde de données, auto-fill et plus.

Les fonctions d’un gestionnaire de mot de passe :

• Mise en échec des Keyloggers (enregistreur de frappe)
• Déclaration de guerre contre les attaques de phishing
• Génération de mots de passe
• Gestion des mots de passe
• Remplissage des formulaires
• Connexion automatique
• Assure une navigation sécurisée grâce au cryptage mot de passe fort
• Synchronisation de tous vos mots de passe entre plusieurs ordinateurs
• Accès permanent à vos mots de passe grâce à Roboform en ligne

Depuis plus de 4 ans, j’utilise Roboform , et je ne peux imaginer comment j’ai pu m’en passer auparavant. Les gestionnaires de mots de passe sont ce que l’on appelle un « must-have » pour toute personne surfant en sécurité sur Internet.

Roboform

RoboForm est probablement le meilleur gestionnaire de mot de passe à l’heure actuelle. J’appécie de pouvoir obtenir la version RoboForm2Go pour les clés USB. Il suffit de brancher la clé USB sur n’importe quel ordinateur hôte et vos mots de passe et vos comptes sont aussitôt accessibles partout dans le monde.

RoboForm ne laisse aucune trace sur la machine hôte, ce qui signifie que vos données ne seront pas volées par le propriétaire de l’ordinateur après avoir quitté sa machine.

Vous pouvez obtenir une version d’essai gratuite de Roboform, afin de le tester avant de l’adopter. Pour les nomades tels quemoi, RoboForm2Go est l’outil idéal, léger et portable. Si vous possédez plusieurs ordinateurs, vous pouvez synchroniser tous vos installation de Roboform à l’aide de Roboform en ligne. C’est rapide, relativement facile à utiliser et rentable.

1Password – Un outil astucieux pour Mac

Un des outils favori des utilisateurs Apple Mac et marketeurs en ligne est 1Password. Leur dernière version est compatible avec Snow Leopard (Mac), ce qui manque à l’heure actuelle à Roboform. Vous pouvez utiliser Roboform sur un Mac grâce au bookmarklet en ligne, mais il est plus lourd à manier et plus lent – donc beaucoup plus ennuyeux.

Les autres gestionnaires de passe

• KeyPad SurfSecret
  XP Password Manager
  Password Manager Aurora
  Handy Password

Cette sélection de gestionnaires de mot de passe devraient vous mettre sur la voie de la sécurisation de vos données. Pour ma part je suis convaincu de l’utilité et du bien fondé de Roboform. Vous pouvez commencer avec une version d’essai du gestionnaire de mot de passe que vous préférez, puis passer à la version payante si vous en êtes satisfait.

Surfez en toute sécurité

Image by Brett L. via Flickr

JavaScript est l’une des technologies Web les plus courantes et de nombreux sites l’utilisent afin d’offrir des fonctionnalités améliorées. Toutefois, JavaScript n’est pas forcément une bonne chose. En fait, l’utilisation de JavaScript peut être une menace sur au point de vue de l’optimisation pour les moteurs de recherche (SEO) http://www.google.com/support/webmasters/bin/answer.py?hl=fr&answer=35291 et ce,pour de nombreux sites, y compris votre blog. Si vous utilisez WordPress ou tout autre CMS écrit en PHP, JavaScript peut être un mauvaise choix et peut générer plus de mal que d’apporter de bien

JavaScript et WordPress

JavaScript peut être utilisé sur de nombreux sites, y compris les sites écrits en PHP. Habituellement, il n’est pas aisé d’incorporer du code JavaScript directement dans votre blog WordPress en raison de problèmes de compatibilité, mais sachez qu’il est tout à fait possible de le faire.

JavaScript peut être intégré dans votre blog WordPress, mais il vous faudra être prudent afin de ne pas créer de problèmes de fonctionnalités et/ou de performances.

En quoi JavaScript pourraient il nuire au SEO de mon blog ?

Lorsque vous demandez à un expert SEO ce qu’il pense de JavaScript, il ou elle vous dira probablement que JavaScript est une catastrophe pour le SEO. Même s’il n’en est pas exactement ainsi, JavaScript a des effets négatifs sur l’optimisation de votre blog En voici quelques exemples:

1. Les robots n’aiment pas  JavaScript
L’effet le plus dévastateur que JavaScript puisse avoir sur votre blog est en terme de classement SEO. La mauvaise utilisation du langage JavaScript peut affecter négativement votre classement dans les moteurs de recherche. Si votre code JavaScript n’est pas compris par les robots d’indexation, le contenu inclus au coeur de votre code, sera perdu pour les moteurs de recherche. Ce seul inconvénient pose déjà la question quant à la nécessité d’utiliser JavaScript au sein d’un site.

2. Baisse de performance
JavaScript peut considérablement ralentir un site. Si vous hébergez votre blog WordPress, auprès d’un hébergeur de qualité, vous serez moins à même de constater la dégradation des performances, mais malgré tout, l’utilisation de JavaScript, augmentera la charge des serveurs, et, par conséquent, les performances peuvent s’en trouver altérées.

3. La sécurité
En plus de la baisse des performances, JavaScript pourrait poser des problèmes de sécurité. Encore une fois, si votre blog est hébergé chez un hébergeur de qualité, les mesures adéquates sont prises, et même s’il y a des problème de sécurité découlant de votre code JavaScript, les dommages seront minimes, mais le cas contraite, ce sera la porte ouverte à tous les abus et problèmes.

4. Limitation d’accès
Malgré la popularité de JavaScript, JavaScript est installé et activé par défaut dans presque tous les navigateurs et presque toutes les plate-forme, ne pariez pas que votre code s’éxécutera. Il existe de nombreux cas, où JavaScript peut être utilisé mais uniquement si l’utilisateur en active le fonctionnement, dans le cas contraire, ces utilisateurs ne seront pas en mesure d’accéder à ses fonctionnalité. Par exemple, les appareils mobiles le plus souvent n’ont pas de support JavaScript, ou alors des fonctions très basiques de JavaScript.

5. Blocage d’utilisateurs
Même si le navigateur de vos utilisateurs prend en charge JavaScript, il ne signifie pas encore que vos utilisateurs puissent l’utiliser. Bien que sur certains navigateurs JavaScript est activé par défaut, sur d’autres l’activation doit être faite manuellement et si vos utilisateurs ne le font pas, ils ne pourront profiter des améliorations que vous avez apporté. Cela signifie que si vous avez du contenu au sein de votre code JavaScript, celui-ci deviendra inaccessible à tous ceux qui n’utilisent pas JavaScript.

Ces 5 menaces que Javascript fait peser sur votre blog sont assez suffisament graves pour être signalées. Pourtant, personne ne dit qu’il est interdit de d’utiliser JavaScript aussi longtemps que vous l’utiliserez à bon escient. Si vous savez faire face aux mauvais côtés de JavaScript , celui-ci ne sera pas un réel problème pour votre blog. Rappelez-vous simplement de ne pas l’utiliser pour toutes les fonctions auxquelles vous pensez, car cela va certainement créer des problèmes.

Image by Andrew Dupont via Flickr

La sécurité des blogs est trop souvent négligée par les blogueurs, et cela doit pourtant être la première des précautions à prendre. Il ya plusieurs choses que vous pouvez et devez faire pour protéger votre blog, aussi allons nous passer en revue une poignée de conseils  importants.

La première des erreurs les plus fréquentes, est d’installer un blog, de façon automatique via des interfaces de type Fantastico, et de ne plus se soucier de rien d’autre que de trouver des sujets de billets.

Etant donné que la majorité des blogueurs utilisent WordPress, la plupart des hackers et des geeks cherchent, et trouves des failles de sécurité.

Je vais vous faire une courte liste de moyens pour sécuriser votre blog WordPress efficacement

1. Ayez un mot de passe très fort
Croyez-moi ou non, 70% des blogueurs utilisent un mot de passe simple à mémoriser (date de naissance, prénom, nom du chien, etc …), grossière erreur. Il existe des tonnes de scripts pour briser les mots depasse facilement, et il sera donc aisé pour un hacker de pénétrer dans le tableau de bord de votre blog et d’y faire « le ménage ».

Avoir un mot de passe fort ne sert pas qu’à protéger votre blog, il représente 50% de la sécurité!

Je vous suggére d’utiliser un générateur de mot de passe. Pour ma part, j’utilise PC Tools Password Utilities, que vous pouvez télécharger, c’est un outil vraiment très puissant, toutefois vous pouvez également utiliser la version en ligne.

Créer des mots de passe longs, en laissant toutes les case cochées afin d’accroître encore la sécurité.

2. Protégez votre Répertoire WordPress
Savez vous que l’on peut aisément visiter votre répertoire WordPress, sans que vous le sachiez ? Curieusement beaucoup de blogueurs ne semblent pas s’en préoccuper. Vous pouvez protéger vos dossiers en incluant la ligne Options – Index dans votre fichier. Htaccess ou plus simplement encore, créer une page index.php vide avec votre éditeur de texte, et la placer à la racine de tous vos répertoires.

3. Sécurisez l’accès à votre base de données
Cela se fera en ajoutant <FilesMatch ^wp-config.php$> deny from all </ FilesMatch> dans votre fichier. Htaccess. Cela permet également de protéger votre compte en cas d’une erreur de serveur.

4. Mettez à jour vos plugins
Beaucoup de blogueurs sont trop paresseux pour mettre à jour les plugins. Rappelez-vous, que les plugins tout comme WordPress sont mis à jour à des fins de sécurité et si vous ne les mettez pas à jour, attendez vous à de sérieux problèmes à un moment ou à un autre.

5. Sauvegardez votre base de données
Faire des sauvegardes régulières de votre bases de données est obligatoire. Pour ma part j’utilise WordPress DB Manager qui est un outil que je recommande fortement. Vous pouvez également faire vos sauvegardes avec phpMyAdmin si votre hébergeur vous le mets à disposition, mais c’est bien plus complexe.

6. Protégez le dossier wp-admin
Protégez votre répertoire admin devrait également être une de vos principales préoccupation. La plupart des pirates utilisent des attaque « brutales » afin de deviner les détails de connexion de votre blog. Vous pouvez éviter ce genre d’attaque en utilisant le plugin Ask Apache Password Protect .

Le plugin ajoute une 2ème couche de protection en exigeant un nom d’utilisateur et un mot de passe pour accéder au contenu du dossier admin. Il utilise une technique avancée de cryptage de votre mot de passe dans le fichier .Htpasswd et réécrit le fichier .htaccess sans pour autant le détruire. Sans nul doute, le must-have pour tout le monde.

7. Mettez WordPress à jour
Combien parmi vous utilisent la dernière version de WordPress (2.9.2) ? La mise à jour étant tellement simple à effectuer, il serait stupide de s’en passer par paresse. Tout comme la mise à jour des plugins, la mise à jour de WordPress est cruciale, car elle élimine les failles de sécurité des versions précédentes.

Avoir un blog de belle facture avec un excellent contenu et une communauté active c’est très bien, mais à quoi cela servira si un hacker passe par votre blog et que celui-ci n’est pas sécurisé, c’est comme si vous laissiez la porte de votre maison grande ouverte.  Assurez-vous que votre blog soit protégé  avant qu’il ne soit trop tard. Rappelez-vous un blog est inutile si il contient des failles de sécurité.

Image by B Tal via Flickr

Le week-end dernier, outre Atlantique, une nouvelle attaque a eu pour cible les blog WordPress. Le fait que ce nouvel épisode de la série « les hackers récidivent » ce soit passée aux Etats Unis, ne signifie pas pour autant que de ce côté de l’océan, nous soyons à l’abri.

Voici l’histoire telle qu’elle s’est déroulée :

1. WordPress stocke les autorisations d’accès à votre blog en clair dans le fichier wp-config.php
2. Ce fichier de configuration doit uniquement être en lectures sur les serveurs Apache, mais quelques utilisateurs (à vrai dire de très nombreux utilisateurs), laissent le fichier accessible à tout le monde (755 au lieu de 750 dans l’argot Linuxien)
3. Un utilisateur malveillant de Networks Solutions (un réseau de publicité sur Internet) crée un script pour collecter les informations de sécurité des fichiers mal configurés
4. Ce même utilisateur malveillant a ainsi pu collecter, en toute quiétude, plusieurs centaines, voir milliers d’informations
5. Le même utilisateur malveillant (toujours lui), a lancé une attaque pour modifier toutes les bases de données des sites dont il avait collecté les données d’accès, ce qui a eu pour effetque l’URL de tout ces blogs était devenue networkads.net/grep. Simple, non ?

Nous allons détailler deux points qui vous permettront de sécuriser votre blog, contre ce genre d’attaque.

Première étape :

Ouvrez le fichier wp-config.php de votre blog, et recherchez
/** Adresse de l’hébergement MySQL. */
define(‘DB_HOST’, ‘localhost’);

ajoutez ensuite ceci :

/** URL du blog
define(‘WP_SITEURL’, ‘votreblog.com’);

remplacez votreblog.com par l’URL exacte de votre blog

Sauvegardez votre fichier.

Cette modification de votre fichier de configuration évitera en cas d’intrusion de votre base de données, que l’URL de votre blog, qui par défaut est stockée dans la base de données, soit réécrite par un script malicieux, puisqu’elle est déclarée dans le fichier de configuration.

Deuxième étape :

Pour changer la permission d’accès à votre fichier wp-config.php, ouvrez votre programme FTP, recherche le fichier wp-config.php dans la racine de votre blog, cliquez avec le bouton droit et choisissez CHMOD ou Permissions selon votre programme et changez la valeur afin qu’elle soit à 640, certains vous proposerons 750, mais à mon avis 640 est parfait.

En fin de compte, qui est à blâmer, WordPress pour stocker les autorisations d’accès dans un fichier texte, ou les utilisateurs négligents ? Les deux, chacun ayant sa part de responsabilité.

Il est aussi à noter que ce genre d’attaque ne se limite pas à WordPress, mais à tous type CMS (Content Management System) qui stockent les données d’accès dans un simple fichier texte.

Pour vous tous qui êtes sur un serveur partagé (la majorité des serveurs grand public), prenez soin de configurer votre fichier wp-config.php IMMEDIATEMENT, avant que quelqu’un d’autre ne le fasse à votre place.

Image by José Goulão via Flickr

Ma conviction personnelle me fait dire que jamais votre blog, ou le mien, ne sera suffisamment protégé. Aussi allons nous ajouter un outil supplémentaire à notre panoplie de blogueur afin de minimiser les risques et nous permettre d’avoir le cœur un peu plus léger.

Les attaques de blogs ne devraient pas exister et pourtant tous les jours de très nombreux blogs sont attaqués. En tant que professionnel de l’informatique, je suis attentif à la sécurité et si je constate qu’il y a moins de  10 tentatives de pénétration de mon blog en une journée, je considère que cette journée est « anormalement calme ».

Mais comment voulez-vous maintenir contenu et convivialité sur votre blog tout en gardant à l’esprit que la sécurité est primordiale. Comment surveiller votre blog, sans y passer la journée ? Après tout, il y a bien d’autres choses dont vous avez à vous soucier.

En 2009 j’ai découvert, un matin, que l’un de mes premiers blogs, en ligne depuis plus de 3 ans, avait été piraté, que les fichiers PHP contenaient du code malveillant et que la base de données elle même était complètement parasitée.

Ayant analysé les logs (listing des connections) de mon blog, je me suis rendu compte que je n’étais pas directement visé, mais en fait c’est l’hébergeur qui était la cible de cette attaque, et lorsque les pirates ont réussis à pénétrer un des sites, ils ont réussi à infecter tous les sites hébergés sur le serveur en question.

Résultat de l’opération : j’ai passé de nombreuses heures à effectuer des recherches pour trouver l’origine de l’intrusion, ensuite de quoi, il m’a fallu nettoyer les fichiers PHP ainsi que la base de données, et part la même j’ai perdu une très grosse partie de mon lectorat, car Google avait placé une annonce indiquant que mon blog contenait du code malveillant.

Dire que tout cela aurait pu être évité !

Aujourd’hui, je vais vous apprendre à mettre en œuvre un système de sécurisation basique, mais très utile, pour votre blog.

1. Connectez vous à votre Tableau de bord de votre blog
2. Allez à Extensions puis cliquez sur Ajoute
3. Dans la zone de recherche, entrez « WordPress File Monitor » et cliquez sur Chercher parmi les extensions
4. WordPress File Monitor apparaît en première position (à l’heure ou je tape ces lignes), cliquez sur « Installer »
5. Une nouvelle fenêtre va apparaître, cliquez sur « Installer maintenant »
6. A la fin de l’installation, cliquez sur « Activer l’extension »

Nous allons à présent, configurer le plugin afin que vous soyez avertis en cas d’intrusion de votre blog.

Cliquez sur Réglages et sélectionnez WordPress File Monitor Le plugin étant en anglais, je vais passer en revue les différentes options

Le plugin étant en langues anglaise, je vais vous détailler les options

1. Zone « Dashboard Alert » en laissant Yes par défaut, un message s’affichera lors de votre prochaine connexion.
2. Zone « Scan interval » les 30 minutes proposées sont suffisantes, pour éviter de surcharger le serveur, et éviter que vous soyez pénalisé.
3. Zone « Detection Method » choisissez « Modification Date (faster, but less secured). Le seconde option peut générer des problèmes selon la taille du blog, donc évitez ce choix.
4. Dans la zone « From Address » Indiquez l’ adresse email à utiliser pour les notifications.
5. Dans la zone « Notify Address » indiquez l’adresse email sur laquelle vous souhaitez recevoir l’alerte.
6. Ne modifiez pas la zone « Notification format », préférez l’option « Detailled »
   Choisissez « Date de modification » pour le mode de détection
7. Site Root est automatiquement complété avec le chemin exact de votre blog sur le serveur
8. Ajoutez ce qui suit dans « Exclude Paths »
   wp-content/uploads
   wp-admin/error_log
   wp-content/error_log
   sitemap.xml
   error_log
   sitemap.xml.gz
9. Cliquez sur « Submit » afin d’enregistrer les paramètres.

Vous pourrez ajouter d’autres exclusions plus tard, en fonction de vos installation, les exclusions que j’ai indiqué sont les plus courantes pour les blogs.

Si vous avez suivi toutes les étapes, dorénavant, vous recevrez un email de notification à chaque fois que l’un quelconque des fichiers de votre blog sera modifié. La modification de certains fichiers peut être tout à fait normale dans le fonctionnement de votre blog, et vous pourrez donc exclure ce ou ces fichiers des futures notifications ou alors les alertes pourraient vous signaler que quelqu’un s’attaque à votre blog!

Vous obtiendrez également une liste de tous les fichiers modifiés, au cas où vous auriez une restauration à effectuer, ce qui vous permettra de ne restaurer que les fichiers endommagés, ce, aussi longtemps que vous avez une bonne sauvegarde du système de fichiers.

Image by niallkennedy via Flickr

Durant les dernières semaines, les utilisateurs de Twitter ojnt été la cible de plusieurs attaques à grande échelle, de type phishing, et selon les experts de la Société SOPHOS (éditeur d’antivirus), la dernière en date n’est pas différente.

L’attaque consiste en l’envoi du texte « This you??? » suivi d’un lien qui renvoi l’utilisateur vers une fausse page de login Twitter. Surtout ne tombez pas dans le panneau. Si vous saisissez vos données de login, vous ne pourrez plus vous connecter à Twitter, car en fait vous envoyez vos données au xhackers

Si vous pensez avoir été victime de cette attaque, vous devriez changer votre mot de passe au plus tôt.

Ci-dessous une démonstration du phishing effectuée par les experts de la société SOPHOS en langue anglaise.

Image by dotcompals via Flickr