Maybaygiare.org

Blog Network

WordPress.org

La sécurité dans WordPress est prise très au sérieux, mais comme pour tout autre système, des problèmes de sécurité potentiels peuvent survenir si certaines précautions de sécurité de base ne sont pas prises. Cet article abordera certaines formes courantes de vulnérabilités et les mesures que vous pouvez prendre pour sécuriser votre installation WordPress.

Cet article n’est pas la solution rapide ultime à vos problèmes de sécurité. Si vous avez des préoccupations ou des doutes spécifiques en matière de sécurité, vous devez en discuter avec des personnes en qui vous avez confiance pour avoir une connaissance suffisante de la sécurité informatique et de WordPress.

Qu’est-ce que la sécurité ? # Qu’est-ce que la sécurité ?

Fondamentalement, la sécurité n’est pas une question de systèmes parfaitement sécurisés. Une telle chose pourrait bien être peu pratique, ou impossible à trouver et / ou à maintenir. Cependant, ce qu’est la sécurité, c’est la réduction des risques, pas l’élimination des risques. Il s’agit d’employer tous les contrôles appropriés à votre disposition, dans la limite du raisonnable, qui vous permettent d’améliorer votre posture globale en réduisant les chances de vous faire une cible, puis d’être piraté.

Hébergeurs de sites Web

Souvent, un bon point de départ en matière de sécurité de site Web est votre environnement d’hébergement. Aujourd’hui, un certain nombre d’options s’offrent à vous, et bien que les hôtes offrent une sécurité à un certain niveau, il est important de comprendre où se termine leur responsabilité et où commence la vôtre. Voici un bon article expliquant la dynamique compliquée entre les hébergeurs et la sécurité de votre site Web. Un serveur sécurisé protège la confidentialité, l’intégrité et la disponibilité des ressources sous le contrôle de l’administrateur du serveur.

Les qualités d’un hébergeur Web de confiance peuvent inclure:

  • Discute facilement de vos problèmes de sécurité et des fonctionnalités et processus de sécurité qu’ils offrent avec leur hébergement.
  • Fournit les versions stables les plus récentes de tous les logiciels serveur.
  • Fournit des méthodes fiables pour la sauvegarde et la récupération.

Décidez de la sécurité dont vous avez besoin sur votre serveur en déterminant le logiciel et les données à sécuriser. Le reste de ce guide vous aidera à cela.

Applications de site Web

Il est facile de regarder les hébergeurs Web et de leur confier la responsabilité de la sécurité, mais il y a également une énorme quantité de sécurité qui incombe au propriétaire du site Web. Les hébergeurs Web sont souvent responsables de l’infrastructure sur laquelle se trouve votre site Web, ils ne sont pas responsables de l’application que vous choisissez d’installer.

Pour comprendre où et pourquoi cela est important, vous devez comprendre comment les sites Web sont piratés, cela est rarement attribué à l’infrastructure et le plus souvent à l’application elle-même (c’est-à-dire à l’environnement dont vous êtes responsable).

Top

Thèmes de sécurité #Thèmes de sécurité

Gardez à l’esprit quelques idées générales tout en considérant la sécurité pour chaque aspect de votre système:

Limiter l’accès

Faire des choix intelligents qui réduisent les points d’entrée possibles disponibles pour une personne malveillante.

Confinement

Votre système doit être configuré de manière à minimiser les dommages pouvant être causés en cas de compromission.

Préparation et connaissance

Conservation des sauvegardes et connaissance de l’état de votre installation WordPress à intervalles réguliers. Avoir un plan pour sauvegarder et récupérer votre installation en cas de catastrophe peut vous aider à vous remettre en ligne plus rapidement en cas de problème.

Les sources de confiance

N’obtiennent pas de plugins/thèmes provenant de sources non fiables. Limitez-vous à la WordPress.org dépôt ou entreprises bien connues. Essayer d’obtenir des plugins / thèmes de l’extérieur peut entraîner des problèmes.

Top

Vulnérabilités sur votre ordinateur # Vulnérabilités sur votre ordinateur

Assurez-vous que les ordinateurs que vous utilisez sont exempts de logiciels espions, de logiciels malveillants et d’infections virales. Aucune sécurité dans WordPress ou sur votre serveur Web ne fera la moindre différence s’il y a un enregistreur de frappe sur votre ordinateur.

Gardez toujours votre système d’exploitation et le logiciel qui s’y trouve, en particulier votre navigateur Web, à jour pour vous protéger des vulnérabilités de sécurité. Si vous naviguez sur des sites non fiables, nous vous recommandons également d’utiliser des outils tels que no-script (ou la désactivation de javascript / flash / java) dans votre navigateur.

Top

Vulnérabilités dans WordPress #Vulnérabilités dans WordPress

Comme de nombreux logiciels modernes, WordPress est mis à jour régulièrement pour répondre aux nouveaux problèmes de sécurité qui peuvent survenir. L’amélioration de la sécurité des logiciels est toujours une préoccupation constante, et à cette fin, vous devez toujours vous tenir au courant de la dernière version de WordPress. Les anciennes versions de WordPress ne sont pas maintenues avec des mises à jour de sécurité.

Mise à jour de WordPress # Mise à jour de WordPress

Article principal: Mise à jour de WordPress.

La dernière version de WordPress est toujours disponible sur le site Web principal de WordPress à https://wordpress.org. Les versions officielles ne sont pas disponibles à partir d’autres sites — ne téléchargez ou installez jamais WordPress à partir d’un site Web autre que https://wordpress.org.

Depuis la version 3.7, WordPress propose des mises à jour automatiques. Utilisez cette fonctionnalité pour faciliter le processus de mise à jour. Vous pouvez également utiliser le tableau de bord WordPress pour vous tenir informé des mises à jour. Lisez l’entrée dans le tableau de bord ou le Blog des développeurs WordPress pour déterminer les étapes à suivre pour mettre à jour et rester en sécurité.

Si une vulnérabilité est découverte dans WordPress et qu’une nouvelle version est publiée pour résoudre le problème, les informations nécessaires pour exploiter la vulnérabilité sont presque certainement dans le domaine public. Cela rend les anciennes versions plus ouvertes aux attaques, et c’est l’une des principales raisons pour lesquelles vous devez toujours garder WordPress à jour.

Si vous êtes un administrateur en charge de plus d’une installation WordPress, envisagez d’utiliser Subversion pour faciliter la gestion.

Haut

Signaler des problèmes de sécurité #Signaler des problèmes de sécurité

Si vous pensez avoir trouvé une faille de sécurité dans WordPress, vous pouvez aider en signalant le problème. Consultez la FAQ sur la sécurité pour plus d’informations sur la façon de signaler les problèmes de sécurité.

Si vous pensez avoir trouvé un bogue, signalez-le. Voir Soumission de Bogues pour savoir comment procéder. Vous avez peut-être découvert une vulnérabilité ou un bogue qui pourrait en conduire une.

Top

Vulnérabilités du serveur Web # Vulnérabilités du serveur Web

Le serveur Web exécutant WordPress et le logiciel qui s’y trouve peuvent présenter des vulnérabilités. Par conséquent, assurez-vous d’exécuter des versions sécurisées et stables de votre serveur Web et du logiciel qui s’y trouve, ou assurez-vous d’utiliser un hôte de confiance qui s’occupe de ces choses pour vous.

Si vous êtes sur un serveur partagé (qui héberge d’autres sites Web que le vôtre) et qu’un site Web sur le même serveur est compromis, votre site Web peut potentiellement l’être également même si vous suivez tout ce qui est indiqué dans ce guide. Assurez-vous de demander à votre hébergeur quelles précautions de sécurité il prend.

Top

Vulnérabilités du réseau # Vulnérabilités du réseau

Le réseau aux deux extrémités — côté serveur WordPress et côté réseau client — doit être fiable. Cela signifie mettre à jour les règles du pare-feu sur votre routeur domestique et faire attention aux réseaux à partir desquels vous travaillez. Un cybercafé où vous envoyez des mots de passe via une connexion non cryptée, sans fil ou autre, n’est pas un réseau de confiance.

Votre hébergeur doit s’assurer que son réseau n’est pas compromis par des attaquants, et vous devez faire de même. Les vulnérabilités du réseau peuvent permettre l’interception de mots de passe et d’autres informations sensibles.

Top

Mots de passe #Mots de passe

De nombreuses vulnérabilités potentielles peuvent être évitées avec de bonnes habitudes de sécurité. Un mot de passe fort est un aspect important de cela.

Le but avec votre mot de passe est de rendre difficile pour les autres de deviner et difficile pour une attaque par force brute de réussir. De nombreux générateurs de mots de passe automatiques sont disponibles et peuvent être utilisés pour créer des mots de passe sécurisés.

WordPress dispose également d’un compteur de force de mot de passe qui s’affiche lors de la modification de votre mot de passe dans WordPress. Utilisez-le lorsque vous modifiez votre mot de passe pour vous assurer que sa force est adéquate.

Choses à éviter lors du choix d’un mot de passe:

  • Toute permutation de votre vrai nom, nom d’utilisateur, nom d’entreprise ou nom de votre site Web.
  • Un mot d’un dictionnaire, dans n’importe quelle langue.
  • Un mot de passe court.
  • Tout mot de passe uniquement numérique ou alphabétique (un mélange des deux est préférable).

Un mot de passe fort n’est pas seulement nécessaire pour protéger le contenu de votre blog. Un pirate qui accède à votre compte administrateur est en mesure d’installer des scripts malveillants qui peuvent potentiellement compromettre l’ensemble de votre serveur.

En plus d’utiliser un mot de passe fort, c’est une bonne idée d’activer l’authentification en deux étapes comme mesure de sécurité supplémentaire.

Top

FTP#FTP

Lors de la connexion à votre serveur, vous devez utiliser le cryptage SFTP si votre hébergeur le fournit. Si vous ne savez pas si votre hébergeur fournit SFTP ou non, demandez-leur simplement.

Utiliser SFTP est la même chose que FTP, sauf que votre mot de passe et d’autres données sont cryptées lors de leur transmission entre votre ordinateur et votre site Web. Cela signifie que votre mot de passe n’est jamais envoyé en clair et ne peut pas être intercepté par un attaquant.

Top

Autorisations de fichiers #Autorisations de fichiers

Certaines fonctionnalités intéressantes de WordPress proviennent de la possibilité pour le serveur Web d’écrire divers fichiers. Cependant, autoriser l’accès en écriture à vos fichiers est potentiellement dangereux, en particulier dans un environnement d’hébergement partagé.

Il est préférable de verrouiller autant que possible les autorisations de vos fichiers et d’assouplir ces restrictions lorsque vous devez autoriser l’accès en écriture, ou de créer des dossiers spécifiques avec moins de restrictions dans le but de faire des choses comme le téléchargement de fichiers.

Voici un schéma d’autorisation possible.

Tous les fichiers doivent appartenir à votre compte utilisateur et être accessibles en écriture par vous. Tout fichier nécessitant un accès en écriture à partir de WordPress doit être accessible en écriture par le serveur Web, si votre configuration d’hébergement l’exige, cela peut signifier que ces fichiers doivent appartenir au groupe par le compte d’utilisateur utilisé par le processus du serveur Web.

/

Le répertoire WordPress racine: tous les fichiers doivent être accessibles en écriture uniquement par votre compte utilisateur, sauf .htaccess si vous souhaitez que WordPress génère automatiquement des règles de réécriture pour vous.

/wp-admin/

La zone d’administration de WordPress: tous les fichiers doivent être accessibles en écriture uniquement par votre compte utilisateur.

/wp-includes/

L’essentiel de la logique de l’application WordPress: tous les fichiers ne doivent être accessibles en écriture que par votre compte utilisateur.

/wp-content/

Contenu fourni par l’utilisateur : destiné à être accessible en écriture par votre compte utilisateur et le processus du serveur Web.

Dans /wp-content/ vous trouverez:

/wp-content/themes/

Fichiers de thème. Si vous souhaitez utiliser l’éditeur de thème intégré, tous les fichiers doivent être accessibles en écriture par le processus du serveur Web. Si vous ne souhaitez pas utiliser l’éditeur de thème intégré, tous les fichiers ne peuvent être accessibles en écriture que par votre compte utilisateur.

/wp-content/plugins/

Fichiers du plugin: tous les fichiers doivent être accessibles en écriture uniquement par votre compte utilisateur.

Les autres répertoires qui peuvent être présents avec /wp-content/ doivent être documentés par le plugin ou le thème qui les nécessite. Les autorisations peuvent varier.

Top

Modification des autorisations de fichier # Modification des autorisations de fichier

Si vous avez un accès shell à votre serveur, vous pouvez modifier récursivement les autorisations de fichier avec la commande suivante:

Pour les répertoires :

find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \;

Pour les fichiers:

find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;

Top

Concernant les mises à jour automatiques # Concernant les mises à jour automatiques

Lorsque vous demandez à WordPress d’effectuer une mise à jour automatique, toutes les opérations de fichier sont effectuées en tant qu’utilisateur propriétaire des fichiers, et non en tant que serveur web. utilisateur. Tous les fichiers sont définis sur 0644 et tous les répertoires sont définis sur 0755, et accessibles en écriture uniquement par l’utilisateur et lisibles par tout le monde, y compris le serveur Web.

Haut

Sécurité de la base de données #Sécurité de la base de données

Si vous exécutez plusieurs blogs sur le même serveur, il est sage d’envisager de les conserver dans des bases de données distinctes, chacune gérée par un utilisateur différent. Ceci est mieux accompli lors de l’installation initiale de WordPress. Il s’agit d’une stratégie de confinement: si un intrus réussit à casser une installation WordPress, il est d’autant plus difficile de modifier vos autres blogs.

Si vous administrez MySQL vous-même, assurez-vous que vous comprenez votre configuration MySQL et que les fonctionnalités inutiles (telles que l’acceptation de connexions TCP distantes) sont désactivées. Voir Conception de base de données MySQL sécurisée pour une belle introduction.

Top

Restriction des privilèges de l’utilisateur de la base de données # Restriction des privilèges de l’utilisateur de la base de données

Pour les opérations WordPress normales, telles que la publication d’articles de blog, le téléchargement de fichiers multimédias, la publication de commentaires, la création de nouveaux utilisateurs WordPress et l’installation de plugins WordPress, l’utilisateur de la base de données MySQL n’a besoin que des privilèges de lecture et d’écriture de données dans la base de données MySQL; SÉLECTIONNEZ, INSÉREZ, METTEZ À JOUR et SUPPRIMEZ.

Par conséquent, toute autre structure de base de données et tous les privilèges d’administration, tels que DROP, ALTER et GRANT, peuvent être révoqués. En révoquant ces privilèges, vous améliorez également les politiques de confinement.

Remarque: Certains plugins, thèmes et mises à jour WordPress majeures peuvent nécessiter des modifications structurelles de la base de données, telles que l’ajout de nouvelles tables ou la modification du schéma. Dans ce cas, avant d’installer le plugin ou de mettre à jour un logiciel, vous devrez accorder temporairement à l’utilisateur de la base de données les privilèges requis.

AVERTISSEMENT: Tenter des mises à jour sans disposer de ces privilèges peut poser des problèmes lorsque des modifications de schéma de base de données se produisent. Ainsi, il n’est PAS recommandé de révoquer ces privilèges. Si vous ressentez le besoin de le faire pour des raisons de sécurité, assurez-vous d’abord d’avoir un plan de sauvegarde solide en place, avec des sauvegardes régulières de bases de données entières que vous avez testées sont valides et peuvent être facilement restaurées. Une mise à niveau de base de données ayant échoué peut généralement être résolue en restaurant la base de données dans une ancienne version, en accordant les autorisations appropriées, puis en laissant WordPress essayer à nouveau la mise à jour de la base de données. La restauration de la base de données la ramènera à cette ancienne version et les écrans d’administration de WordPress détecteront ensuite l’ancienne version et vous permettront d’exécuter les commandes SQL nécessaires dessus. La plupart des mises à niveau de WordPress ne changent pas le schéma, mais certaines le font. Seules les mises à niveau ponctuelles majeures (3.7 à 3.8, par exemple) modifieront le schéma. Les mises à niveau mineures (3.8 à 3.8.1) ne le seront généralement pas. Néanmoins, gardez une sauvegarde régulière.

Top

Sécurisation de wp-admin #Sécurisation de wp-admin

L’ajout d’une protection par mot de passe côté serveur (telle que BasicAuth) à /wp-admin/ ajoute une deuxième couche de protection autour de la zone d’administration de votre blog, de l’écran de connexion et de vos fichiers. Cela force un attaquant ou un bot à attaquer cette deuxième couche de protection au lieu de vos fichiers d’administration réels. De nombreuses attaques WordPress sont menées de manière autonome par des robots logiciels malveillants.

La simple sécurisation du répertoire wp-admin/ peut également casser certaines fonctionnalités de WordPress, telles que le gestionnaire AJAX à wp-admin/admin-ajax.php. Voir la section Ressources pour plus de documentation sur la façon de protéger correctement votre répertoire wp-admin/ par mot de passe.

Les attaques les plus courantes contre un blog WordPress se divisent généralement en deux catégories.

  1. Envoi de requêtes HTTP spécialement conçues à votre serveur avec des charges utiles d’exploitation spécifiques pour des vulnérabilités spécifiques. Ceux-ci incluent des plugins et des logiciels anciens / obsolètes.
  2. Tenter d’accéder à votre blog en utilisant la devinette de mot de passe « force brute”.

L’implémentation ultime de cette protection par mot de passe « de deuxième couche” consiste à exiger une connexion cryptée HTTPS SSL pour l’administration, de sorte que toutes les communications et données sensibles soient cryptées. Voir Administration Sur SSL.

Top

Securing wp-includes #Securing wp-includes

Une deuxième couche de protection peut être ajoutée lorsque les scripts ne sont généralement pas destinés à être accessibles par un utilisateur. Une façon de le faire est de bloquer ces scripts en utilisant mod_rewrite dans le.fichier htaccess. Remarque: pour vous assurer que le code ci-dessous n’est pas écrasé par WordPress, placez-le en dehors des balises # BEGIN WordPress et # END WordPress dans le.fichier htaccess. WordPress peut écraser n’importe quoi entre ces balises.

Haut

Sécurisation de wp-config.php # Sécurisation de wp-config.php

Vous pouvez déplacer le fichier wp-config.php dans le répertoire au-dessus de votre installation WordPress. Cela signifie que pour un site installé à la racine de votre espace Web, vous pouvez stocker wp-config.php en dehors du dossier racine Web.

Remarque: Certaines personnes affirment que déplacer wp-config.php a des avantages de sécurité minimes et, s’il n’est pas fait avec soin, peut en fait introduire de graves vulnérabilités. D’autres ne sont pas d’accord.

Notez que wp-config.php peut être stocké UN niveau de répertoire au-dessus de l’installation WordPress (où réside wp-includes). Assurez-vous également que vous seul (et le serveur Web) pouvez lire ce fichier (cela signifie généralement une autorisation 400 ou 440).

Si vous utilisez un serveur avec .htaccess, vous pouvez le mettre dans ce fichier (tout en haut) pour refuser l’accès à quiconque navigue pour cela:

<files wp-config.php>order allow,denydeny from all</files>

Top

Désactiver l’édition de fichiers #Désactiver l’édition de fichiers

Le tableau de bord WordPress permet par défaut aux administrateurs d’éditer des fichiers PHP, tels que des fichiers de plugin et de thème. C’est souvent le premier outil qu’un attaquant utilisera s’il peut se connecter, car il permet l’exécution de code. WordPress a une constante pour désactiver l’édition à partir du tableau de bord. Placer cette ligne dans wp-config.php équivaut à supprimer les fonctionnalités ‘edit_themes’, ‘edit_plugins’ et ‘edit_files’ de tous les utilisateurs:

define('DISALLOW_FILE_EDIT', true);

Cela n’empêchera pas un attaquant de télécharger des fichiers malveillants sur votre site, mais pourrait arrêter certaines attaques.

Top

Plugins #Plugins

Tout d’abord, assurez-vous que vos plugins sont toujours mis à jour. De plus, si vous n’utilisez pas de plugin spécifique, supprimez-le du système.

Top

Firewall #Firewall

Il existe de nombreux plugins et services qui peuvent servir de pare-feu pour votre site Web. Certains d’entre eux fonctionnent en modifiant votre.fichier htaccess
et restreindre certains accès au niveau Apache, avant qu’il ne soit traité par WordPress. Un bon exemple est iThemes Security ou All in One WP Security. Certains plugins de pare-feu agissent au niveau de WordPress, comme WordFence et Shield, et essaient de filtrer les attaques pendant le chargement de WordPress, mais avant qu’il ne soit entièrement traité.

Outre les plugins, vous pouvez également installer un WAF (web firewall) sur votre serveur Web pour filtrer le contenu avant qu’il ne soit traité par WordPress. Le WAF open source le plus populaire est ModSecurity.

Un pare-feu de site web peut également être ajouté comme intermédiaire entre le trafic d’Internet et votre serveur d’hébergement. Ces services fonctionnent tous comme des proxys inverses, dans lesquels ils acceptent les demandes initiales et les redirigent vers votre serveur, le dépouillant de toutes les demandes malveillantes. Ils y parviennent en modifiant vos enregistrements DNS, via un enregistrement A ou un échange DNS complet, permettant à tout le trafic de passer d’abord par le nouveau réseau. Cela entraîne le filtrage de tout le trafic par le pare-feu avant d’atteindre votre site. Quelques entreprises offrent un tel service, comme CloudFlare, Sucuri et Incapsula.

De plus, ces fournisseurs de services tiers fonctionnent par défaut comme un réseau de distribution de contenu (CDN), ce qui permet d’optimiser les performances et d’atteindre une portée mondiale.

Top

Plugins nécessitant un accès en écriture # Plugins nécessitant un accès en écriture

Si un plugin souhaite accéder en écriture à vos fichiers et répertoires WordPress, veuillez lire le code pour vous assurer qu’il est légitime ou vérifiez auprès de quelqu’un de confiance. Les endroits possibles à vérifier sont les Forums de support et le canal IRC.

Top

Plugins d’exécution de code # Plugins d’exécution de code

Comme nous l’avons dit, une partie de l’objectif du durcissement de WordPress consiste à contenir les dégâts causés en cas d’attaque réussie. Les plugins qui permettent l’exécution arbitraire de code PHP ou autre à partir d’entrées dans une base de données augmentent efficacement la possibilité de dommages en cas d’attaque réussie.

Un moyen d’éviter d’utiliser un tel plugin est d’utiliser des modèles de page personnalisés qui appellent la fonction. Une partie de la sécurité que cela offre n’est active que lorsque vous interdisez l’édition de fichiers dans WordPress.

Haut

La sécurité par l’obscurité #La sécurité par l’obscurité

La sécurité par l’obscurité est généralement une stratégie primaire malsaine. Cependant, il existe des zones dans WordPress où l’obscurcissement des informations peut aider à la sécurité:

  1. Renommer le compte administratif: Lors de la création d’un compte administratif, évitez les termes faciles à deviner tels que admin ou webmaster comme noms d’utilisateur car ils sont généralement sujets à des attaques en premier. Sur une installation WordPress existante, vous pouvez renommer le compte existant dans le client de ligne de commande MySQL avec une commande comme UPDATE wp_users SET user_login = 'newuser' WHERE user_login = 'admin';, ou en utilisant une interface MySQL comme phpMyAdmin.
  2. Modifier le table_prefix : De nombreuses attaques par injection SQL spécifiques à WordPress publiées supposent que le table_prefix est wp_, la valeur par défaut. Changer cela peut bloquer au moins certaines attaques par injection SQL.

Top

Sauvegardes de données #Sauvegardes de données

Sauvegardez régulièrement vos données, y compris vos bases de données MySQL. Voir l’article principal: Sauvegarde De Votre Base De Données.

L’intégrité des données est essentielle pour les sauvegardes fiables. Chiffrer la sauvegarde, conserver un enregistrement indépendant des hachages MD5 pour chaque fichier de sauvegarde et/ou placer des sauvegardes sur un support en lecture seule augmente votre confiance dans le fait que vos données n’ont pas été altérées.

Une stratégie de sauvegarde saine pourrait inclure la conservation d’un ensemble d’instantanés chronométrés régulièrement de l’ensemble de votre installation WordPress (y compris les fichiers de base WordPress et votre base de données) dans un emplacement de confiance. Imaginez un site qui fait des instantanés hebdomadaires. Une telle stratégie signifie que si un site est compromis le 1er mai mais que le compromis n’est détecté que le 12 mai, le propriétaire du site disposera de sauvegardes avant le compromis qui peuvent aider à reconstruire le site et peut-être même des sauvegardes après le compromis qui aideront à déterminer comment le site a été compromis.

Top

Journalisation #Journalisation

Les journaux sont votre meilleur ami lorsqu’il s’agit de comprendre ce qui se passe avec votre site Web, surtout si vous essayez d’effectuer des analyses judiciaires. Contrairement aux croyances populaires, les journaux vous permettent de voir ce qui a été fait et par qui et quand. Malheureusement, les journaux ne vous diront pas qui, nom d’utilisateur, s’est connecté, mais cela vous permettra d’identifier l’adresse IP et l’heure et, plus important encore, les actions que l’attaquant a pu entreprendre. Vous pourrez voir l’une de ces attaques via les journaux – Cross Site Scripting (XSS), Inclusion de fichiers Distants (RFI), Inclusion de fichiers locaux (LFI) et Tentatives de Traversée de répertoires. Vous pourrez également voir les tentatives de force brute. Divers exemples et tutoriels sont disponibles pour vous guider tout au long du processus d’analyse et d’analyse de vos journaux bruts.

Si vous êtes plus à l’aise avec vos journaux, vous pourrez voir des choses comme, lorsque les éditeurs de thèmes et de plugins sont utilisés, lorsque quelqu’un met à jour vos widgets et lorsque des publications et des pages sont ajoutées. Tous les éléments clés lors du travail médico-légal sur votre serveur Web. Voici quelques plugins de sécurité WordPress qui vous aident également, comme l’outil d’audit Sucuri ou le plugin de piste d’audit.

Il existe deux solutions open-source clés que vous voudrez sur votre serveur Web du point de vue de la sécurité, il s’agit d’une approche à couches de la sécurité.

OSSEC peut fonctionner sur n’importe quelle distribution NIX et fonctionnera également sous Windows. Lorsqu’il est configuré correctement, il est très puissant. L’idée est de corréler et d’agréger tous les journaux. Vous devez vous assurer de le configurer pour capturer tous les access_logs et error_logs et si vous avez plusieurs sites Web sur le compte du serveur pour cela. Vous voudrez également vous assurer de filtrer le bruit. Par défaut, vous verrez beaucoup de bruit et vous voudrez le configurer pour qu’il soit vraiment efficace.

Top

Surveillance #Surveillance

Parfois, la prévention ne suffit pas et vous pouvez toujours être piraté. C’est pourquoi la détection/ surveillance des intrusions est très importante. Cela vous permettra de réagir plus rapidement, de savoir ce qui s’est passé et de récupérer votre site.

Top

Surveiller vos journaux # Surveiller vos journaux

Si vous êtes sur un serveur privé dédié ou virtuel, dans lequel vous avez le luxe d’un accès root, vous avez la possibilité de configurer facilement les choses pour que vous puissiez voir ce qui se passe. OSSEC facilite facilement cela et voici un petit article qui pourrait vous aider OSSEC pour la sécurité du site Web – Partie I.

Top

Surveiller vos fichiers pour les modifications # Surveiller vos fichiers pour les modifications

Lorsqu’une attaque se produit, elle laisse toujours des traces. Soit sur les journaux, soit sur le système de fichiers (nouveaux fichiers, fichiers modifiés, etc.). Si vous utilisez OSSEC par exemple, il surveillera vos fichiers et vous alertera lorsqu’ils changeront.

Objectifs #Objectifs

Les objectifs du suivi du système de fichiers incluent:

  • Surveiller les fichiers modifiés et ajoutés
  • Enregistrer les modifications et les ajouts
  • Possibilité de revenir sur les modifications granulaires
  • Alertes automatisées

Top

Approches générales #Approches générales

Les administrateurs peuvent surveiller le système de fichiers via des technologies générales telles que:

  • Utilitaires système
  • Contrôle de révision
  • Surveillance au niveau du système d’exploitation/du noyau
    • /li>

    Top

    Outils spécifiques #Outils spécifiques

    Les options de surveillance du système de fichiers incluent:

    • diff – créez une copie de test propre de votre site et comparez-la à la production
    • Git – gestion du code source
    • service de surveillance des fichiers au niveau du noyau inotify et incron–OS qui peut exécuter des commandes sur les événements du système de fichiers
    • Watcher – bibliothèque inotify Python
    • OSSEC – Système de détection d’intrusion Open Source basé sur l’hôte qui effectue l’analyse des journaux, la vérification de l’intégrité des fichiers, la surveillance des stratégies, la détection des rootkits, les alertes en temps réel et la réponse active.

    Haut

    Considérations # Considérations

    Lors de la configuration d’une stratégie de surveillance basée sur des fichiers, il existe de nombreuses considérations, notamment les suivantes.

    Exécutez le script /service de surveillance en tant que root

    Cela rendrait difficile pour les attaquants de désactiver ou de modifier votre solution de surveillance du système de fichiers.

    Désactivez la surveillance pendant la maintenance /les mises à niveau planifiées

    Cela éviterait les notifications inutiles lorsque vous effectuez une maintenance régulière sur le site.

    Surveiller uniquement les types de fichiers exécutables

    Il peut être raisonnablement sûr de surveiller uniquement les types de fichiers exécutables, tels que.fichiers php, etc.. Le filtrage des fichiers non exécutables peut réduire les entrées de journal et les alertes inutiles.

    Utilisez des autorisations strictes du système de fichiers

    Lisez à propos de la sécurisation des autorisations et de la propriété des fichiers. En général, évitez d’autoriser les autorisations d’exécution et d’écriture dans la mesure du possible.

    Top

    Surveillance externe de votre serveur Web # Surveillance externe de votre serveur Web

    Si l’attaquant tente de dégrader votre site ou d’ajouter des logiciels malveillants, vous pouvez également détecter ces modifications à l’aide d’une solution de surveillance de l’intégrité basée sur le Web. Cela se présente sous de nombreuses formes aujourd’hui, utilisez votre moteur de recherche préféré et recherchez la détection et la correction des logiciels malveillants Web et vous obtiendrez probablement une longue liste de fournisseurs de services.

    Top

    Ressources # Ressources

    • Comment améliorer la sécurité WordPress (Infographie)
    • Plugins de sécurité
    • La sécurité WordPress Traverse le BS
    • e-Book: Verrouillage de WordPress
    • wpsecure.net a quelques guides sur la façon de verrouiller WordPress.
    • Un Guide pour les débutants pour Durcir WordPress
    • Brad Williams: Verrouillez-le (Vidéo)
    • 21 Façons de sécuriser Votre site WordPress
    • Documents officiels sur la façon de protéger les répertoires par mot de passe avec un.fichier htaccess
    • Tutoriel simple sur la façon de protéger par mot de passe la zone d’administration WordPress et de corriger l’erreur 404

    Haut

    Voir aussi #Voir aussi

    • FAQ sur la sécurité
    • FAQ – Mon site a été piraté
    • Attaques par force brute
    • Livre blanc sur la sécurité WordPress

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.