scroll to top

Comment sécuriser son site WordPress en quelques minutes ?

19 Mar 2014   //   par Aurélie Vaché    //  38 Commentaires

Le système de gestion de contenu (CMS) WordPress a fêté ses 10 ans d’existence en 2013 et est utilisé sur plus de 72,4 millions de blogs et 68 millions de sites web dans le monde. 22% des nouveaux sites tournent dessus. En France, 88% des blogs français seraient sur WordPress. C’est le CMS le plus populaire au monde et le plus utilisé (59%) devant Joomla (10%), Drupal (6%) et d’autres tel que Dotclear, Blogger … (17%).
 

Les sites WordPress attirent donc plus de 663 millions de visiteurs uniques par mois. Ce nombre élevé d’installations attire également les pirates informatiques qui profitent de la moindre brèche, de la moindre faille pour entrer, modifier, ajouter des redirections et supprimer le contenu de votre site ou blog.
 

En avril dernier, plus de 90 000 sites WordPress par jour ont été attaqués et chaque jour des centaines de blogs et de sites se font pirater.
 

piratage_site_wordpress

A noter que le 06 mars 2014, le site Wordfence à détecté sur l’ensemble des sites qu’ils protègent, un pic exceptionnel d’attaques. Plus de 40 000 attaques par minute ont été observés (au lieu de 2 000/min en temps normal) !
 

wordfence_detection_attaques_sites_wordpress

Quels sont les types de piratage ?

Redirection de domaine

Les pirates peuvent modifier votre site afin d’effectuer une redirection de votre nom de domaine vers le leur. Ainsi, lorsque vous tentez d’accéder à votre site Internet, vous atterrissez, par exemple, vers un site vendant des produits pharmaceutiques.

Redirection de certaines URL de votre site

En modifiant le fichier htaccess de votre site, ils peuvent effectuer une redirection de certaines de vos url vers les leurs, ou ce fameux site de produits pharmaceutiques.

Iframe ou Javascript

Les pirates peuvent également cacher dans le code de vos pages des iframes affichant un site malveillant.
Ils peuvent également rajouter des morceaux de code en javascript qui permettra au pirate de rediriger les visiteurs de votre site vers le sien ou un site malicieux.
Exemple de code javascript :


Perte/Suppression de données

Les pirates peuvent également prendre le contrôle de votre base de données et supprimer tout ce qui s’y trouve.
Résultat : vous pouvez dire adieu à votre site si vous n’avez pas effectué de sauvegarde de votre base ou de vos articles, de vos pages, de votre thème …
Pour éviter cela, il suffit d’installer un petit plugin et de le configurer comme il se doit (cf. nos conseils ci-dessous !).
 

Que se passe-t-il lorsque son site est piraté ?

Lorsque Google détecte sur votre site du code malicieux, il le bloque illico presto. Les personnes qui tentent d’y accéder auront un message indiquant que son accès a été restreint à la suite du piratage de ce dernier.
 

Google_Safe_Browsing_alerte_Attaque

Votre site risque également de ne plus s’afficher dans les résultats des moteurs de recherche car il sera bloqué.

Si vous tardez trop à le réparer, votre hébergeur peut à tout moment fermer son accès pour cause de piratage. Bien entendu, il pourra le ré-ouvrir si vous effectuez des actions de correction et que vous le prévenez !
 

Je passe à l’action : je sécurise

Comme dit le vieil adage : « Mieux vaut prévenir que guérir ! »

J’installe des nouvelles extensions

Pour installer une extension, voici un petit rappel :

* Connectez-vous sur l’interface d’administration de WordPress de votre site, l’URL est du style : http://www.monsite.com/wp-admin
* Puis allez dans Extensions > Ajouter
* Saisissez le nom ou le début du nom du plugin puis cliquez sur Chercher parmi les extensions.
 

1. Limit Login Attempts :
 
limit-login-atempts

Le premier réflexe à avoir est de bloquer l’accès à son interface d’administration. Par défaut, WordPress permet d’essayer sans aucune limite, des combinaisons de login et de mot de passe pour se connecter à son interface d’administration.

L’extension « Limit Login Attempts » permet de limiter le nombre de tentatives de connexion.

A noter que jusqu’à très récemment, il y avait un conflit entre l’extension « Captcha » et celle-ci. Depuis le 12/02 c’est de l’histoire ancienne.
 

2. Wordfence Security :
 
wordfence_security

C’est une extension gratuite et complète qui permet, entre autre, d’effectuer des scans sur son site et de voir s’il contient des fichiers vérolés. Dès son installation, activez-le et effectuez un scan. Si votre version de WordPress est française, il va vous détecter 3 fichiers (readme.html, wp-config-sample.html et wp-includes/version.php) qui ne sont en fait pas vérolés mais considérés comme tels en raison de la langue. Pour éviter de les voir à chaque scan, il suffit de lui dire de ne plus afficher ces « erreurs » en cliquant sur « Always ignore this file ». Si l’extension vous détecte plus d’erreurs alors vous savez que vous avez des fichiers corrompus à corriger ou à supprimer.
L’extension permet également de voir le trafic en temps réel des personnes qui sont sur votre site, de bloquer des adresses IP …
 

Personnellement ce que j’aime dans cette extension, c’est de recevoir les e-mails d’alertes de Wordfence, notamment lorsqu’une personne se connecte à l’interface d’administration de mes sites ou encore lorsqu’un pirate a tenté de s’y introduire :
 

email_alert_plugin_wordfence

Mise à jour du 06/11/2014 :
A noter que depuis la version 5.2.9 de Wordfence, la gestion et sécurisation de plusieurs sites sous WordPress devient plus facile.
Il est maintenant possible d’exporter la configuration et de l’importer sur un autre site ou sur plusieurs autres sites.
 
Voici ce que dit Wordfence à ce sujet :

« Just hit the export button at the bottom of your Wordfence options page and we give you a long piece of text which is a token.
Paste that text into the import field on a site where you want to import your settings.
Hit « Import ».
Viola! Your settings have been imported. You can import those settings on as many sites as you’d like.

This will make administering multiple WordPress sites using Wordfence much easier for developers and hosting providers. We’ve also included an API call if you’re a developer that lets you import the settings. »

En 2 petites extensions, vous êtes un tant soit peu plus protégé. Maintenant, passons aux choses sérieuses !
 

Je sauvegarde

Si vous n’avez pas accès au serveur FTP de votre site, ou que vous ne voulez pas vous embêter avec ça, vous pouvez effectuer une sauvegarde en quelques clics avec le plugin BackWPup Free qui permet de planifier des sauvegardes automatiques de votre site.

Il vous permet d’effectuer des sauvegardes complètes ou bien de spécifier uniquement ce que vous souhaitez sauvegarder. Vous pouvez même demander à ce que la sauvegarde soit envoyée sur votre serveur FTP ou sur un de vos comptes sur le Cloud (Dropbox, Google Drive, etc.).

Bien sûr, il existe d’autres plugins permettant de sauvegarder son site. L’article du site Magazine du WebDesign en présente quelques uns.
 

J’ai accès au serveur FTP, je passe au niveau 2 de la sécurisation de mon site

htaccess

Pour y accéder, n’oubliez pas de demander d’afficher les fichiers cachés lorsque vous vous connectez à votre serveur FTP grâce à un logiciel tel que FileZilla, ou à un plugin pour votre navigateur tel que FireFTP. Le cas échéant, vous ne le verrez pas …

Afficher les fichiers cachés sur votre serveur FTP

Premier réflexe, pensez à sauvegarder la version précédente de ce fichier, elle vous sera utile si vous faite une erreur de code et que votre site affiche une jolie erreur 500.

Morceaux de code à rajouter en haut de votre fichier .htaccess (celui qui est à la racine de votre site) :

* Pour bloquer les requêtes trace, delete, debug et track envoyé à votre site :

# block bad request
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|DELETE|TRACK|DEBUG) [NC]
RewriteRule ^(.*)$ - [F,L]

* Pour bloquer l’accès aux fichiers que les pirates adorent modifier/véroler :

# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+\.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]

* Pour cacher vos répertoires aux utilisateurs (ne pas lister ce que contient vos répertoires permet de ne pas donner toutes les billes aux pirates) :

# directory browsing
Options All -Indexes

* Pour protéger les fichiers de configuration de WordPress:

# 403 protect
<FilesMatch "^(wp-config\.php|php\.ini|php5\.ini|readme\.html|bb-config\.php)">
Order Allow,Deny
Deny from all
</FilesMatch>

* Pour protéger le fichier .htaccess pour ne pas qu’un pirate puisse modifier ce fichier en effectuant par exemple une redirection de votre site vers le sien ou vers votre revendeur préféré de viagra :

# Secure .htaccess
<Files .htaccess>
Order Allow,Deny
Deny from all
</Files>

Sécurisation du répertoire wp-content/uploads/ grâce à un fichier .htaccess :

Je vous invite à créer un fichier .htaccess dans le répertoire uploads (qui ne doit jamais contenir de fichier PHP) :

<Files *.php>
Deny from all
</Files>

Cette règle permet d’interdire l’exécution de fichier PHP, ce qui vous protégera des pirates qui tenteraient d’insérer une backdoor sur votre site.

functions.php

Dans l’interface d’administration de WordPress, vous pouvez modifier ce fichier en allant sur Apparence > Editeur et en cliquant sur Theme Functions.
 
Juste après le début du fichier « <?php », vous pourrez ajouter quelques lignes qui vont dire à WordPress de ne plus rendre accessible à n’importe qui, par exemple, la version que vous utilisez :

// masquer le numero de version de wordpress
remove_action('wp_head', 'wp_generator');
//desactiver windows live writer
remove_action('wp_head', 'wlwmanifest_link');
remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0 );
remove_action('wp_head', 'wp_dlmp_l10n_style' );
remove_action('wp_head', 'rsd_link');

Sans l’ajout de ces quelques lignes, les pirates peuvent connaître en moins d’une minute la version de votre installation. Il suffit d’aller sur votre site, de faire un clic droit et de cliquer sur « Afficher le code source ».
Si aucun plugin cachant la version de WordPress ou que les lignes de code ci-dessus n’ont pas été ajoutées dans les fonctions de votre thème, alors un pirate pourra y lire ceci :
 

Version de WordPress dans le code source

wp-config.php

Wordpress, par défaut, permet d’éditer le thème ou les plugins directement depuis l’interface d’administration, en allant dans Apparence > Editeur. Cette fonctionnalité est utile, je vous l’accorde, mais potentiellement à risque.
 
Si un pirate à réussi à récupérer les identifiants d’un login administrateur sur votre site, il peut en quelques minutes ajouter ou supprimer du code sur votre site. Il n’aura même pas besoin d’avoir accès au serveur FTP.
 
Si vous ne pensez pas avoir besoin de modifier le thème et/ou les plugins directement depuis l’éditeur de WordPress, je vous conseille vivement de désactiver cette option en ajoutant une ligne dans le fichier wp-config.php :

define('DISALLOW_FILE_EDIT', true);

 

Mon site s’est déjà fait pirater, que dois-je faire ?

Avant tout, respirez, cela arrive de se faire pirater. Maintenant le plus important va être de retrousser ses manches et de suivre un petit tutoriel vous permettant de corriger les fichiers endommagés.
 

N’oubliez pas de sauvegarder votre site actuel. Si vous avez accès au serveur FTP, connectez-vous, et copiez l’ensemble des fichiers et répertoires que vous voyez, dans un répertoire sur votre PC. Si vous avez accès à l’interface d’administration de votre site, installez WPBackUP et effectuez une sauvegarde.
 

Si vous avez l’extension Wordfence Sécurity, vous pouvez effectuer un scan afin d’obtenir la liste des fichiers piratés. Pour chaque erreur trouvée par le plugin, je ne peux vous conseiller que de regarder avant quel est l’état de ce fichier et si il ne s’agit pas des fichiers « readme.html », wp-config-sample.php ou bien « wp-includes/version.php », alors vous pourrez supprimer ces fichiers en appuyant sur le bouton prévu à cet effet.
 

Lorsque toute trace de piratage a été exterminée et que votre site ou blog est de nouveau en ligne, pensez à changer le login et le mot de passe de vos utilisateurs sur WordPress (et de les informer).
Nous vous donnons comme conseil d’utiliser un mot de passe qui doit faire au moins 7 caractères de long. Pour le rendre plus sûr, utilisez un mélange de majuscules, de minuscules, de chiffres et de symboles comme ! » ? $ % ^ & ).
Plus votre mot de passe sera complexe et plus de temps il faudra pour vous pirater.
 

De plus, si vous avez un utilisateur nommé admin, l’administrateur par défaut de WordPress, les pirates vont tenter d’entrer dans l’interface via cet utilisateur. Donc il est conseillé d’en créer un nouveau avec un nom d’utilisateur différent et un mot de passe compliqué, puis de supprimer « admin ». Plus on sécurise son site et moins on a de chances d’être piraté.
 

J’espère que cet article vous aura donné quelques billes concernant le piratage et comment essayer de sécuriser un minimum son site ou blog.
Même si les pirates trouvent tout le temps les failles, et surtout le moyen de les exploiter, je pense qu’il est très important de prendre quelques instants, au calme, afin de sécuriser son site.
 

Aurélie


38 Commentaires
  • C’est intéressant de passer un peu de temps sur ce thème de la sécurisation de son wordpress. Néanmoins le type d’attaques évoqué est assez loin de la réalité et la première remarque « J’installe des nouvelles extensions » est vraiment contreproductive, dans le sens où la majorité des wordpress se font pirater non pas parce qu’ils ne sont pas à jour (plus rare depuis les dernières versions qui peuvent se mettre à jour toutes seules en CRON) mais parce qu’elles utilisent des extensions programmées avec les pieds et/ou peu mises à jour (timthumb figure au palmarès des extensions préférées des hackers, mais pour une liste des vulnérabilités, voir ici: http://www.cvedetails.com/vulnerability-list/vendor_id-2337/product_id-4096/Wordpress-Wordpress.html)

  • Bonjour Rémi et merci de votre commentaire.

    Et oui la bibliothèque timthumb fait partie du haut du panier concernant les extensions/les fichiers préférés des hackers à pirater mais justement le plugin Wordfence permet de savoir si tel fichier de thème ou d’extension à été modifié, et donc si dans son thème le pirate à ajouter une petite iframe affichant son site de produit pharmaceutique préféré ^^.
    Auquel cas il faudrait corriger le fichier modifié.

    Être averti par e-mail des possibles vulnérabilités de son site grâce à une extension je ne trouve pas ça contre-productif, au contraire. Cela peut aider des utilisateurs non avertis et les plus avertis également :-).

    Avez vous d’autres remarques ?

    Merci !

  • Merci de votre réponse. Wordfence s’intéresse aux logs de la partie visible (la porte) mais s’intéresse t’il aux autres types d’accès ? Il y a par exemple des vulnérabilités plus discrètes et qui pourraient aisément passer entre les mailles du filet, comme celles propres aux templates eux-mêmes… J’en sais quelquechose : plus on en apprend sur la sécurité informatique, plus on se rend compte que l’on ne sait rien.
    La meilleure des options que vous recommandez, et que tout le monde devrait suivre en définitive, c’est la sauvegarde ! 🙂

  • Oui la sauvegarde est un élément très important qu’il ne faut surtout pas négliger et qui peut éviter de perdre tout un site ou bien qui peut permettre de revenir en arrière sur une modification que l’on aurait pas du faire :-).

    Concernant la vulnérabilité de certains thèmes ou plugins, la newsletter de Wordfence (en anglais) informe chaque semaine, entre autre, de plugins qui seraient vulnérable et de l’état de correction de ceux ci. C’est une information intéressante je trouve.

    De plus elle informe s’il y a des pics d’attaques. Voici un extrait de la newsletter reçue a ce sujet :
    « We’re seeing an increase in brute force attacks (password guessing attacks) across WordPress sites from 2000/min to peaks of 15,000 currently. The attack started just after noon yesterday March 18th Pacific Time and gradually increased to a peak of 15,000 attacks per minute today March 19th at 5am and it’s currently holding at that frequency. This looks like it will be a sustained attack and will likely last from 24 more hours to several days. Please keep a close eye on your WordPress sites for unusual activity and ensure your backups are current. Share this data with any other WordPress site owners you know. As always you can view/track the attack using our real-time graph and attack map at http://www.wordfence.com/« 

  • Sympa l’article,

    Précis clair et détaillé 🙂

    • Merci Bertrand :-).

  • ceci ne passe pas:

    # Secure .htaccess
    Order Allow,Deny
    Deny from all

    # directory browsing
    Options All -Indexes

    Merci !!

    • Bonjour benspy,

      Quand vous dites que « cela ne passe pas », c’est à dire ?

      Avez-vous essayer d’ajouter ces lignes dans un fichier .htaccess ? Ou se situe ce fichier ? Que comporte ce fichier ? Avez vous des erreurs particulières ?

      Pour ma part j’utilise ces règles sur certains serveurs et sites web donc j’ai besoin de plus d’informations afin de vous aider :-).

      Merci.

    • voici les lignes corrigées

      # Secure .htaccess

      order allow,deny
      deny from all

      # directory browsing
      Options -Indexes

      et voilà

      • Bonjour,

        il n’y a pas d’incidences entre mettre des directives avec la 1ere lettre en majuscule et sans majuscule.
        C.f la documentation du serveur web Apache : http://httpd.apache.org/docs/2.2/howto/access.html

        Concernant la directive Options, par défaut le premier paramètre est All donc la directive que j’ai stipulée et la votre sont semblable : http://httpd.apache.org/docs/2.2/fr/mod/core.html#options

        benspy avez-vous résolu votre problème ? Si ce n’est pas le cas, êtes vous sur Windows ou Linux lorsque vous éditez le fichier htaccess ? Avez quel logiciel l’éditez-vous ?

        Merci.

    • apparemment il y a 1 problème pour publier le code sur ce forum !
      je recommence en ajoutant des « guillements » au début et à la fin de chaque paragraphe

      (ne pas oublier de retirer les guillemets pour que ca marche)

      « # Secure .htaccess
      order allow,deny
      deny from all
       »

      « # directory browsing
      Options -Indexes »

      • Nous voyons bien votre précédent commentaire, avez vous eu une erreur particulière ?

        Merci.

  • Bonjour, et merci pour ces infos.

    Par contre je cherche une solution à un problème lié au piratage de mon site sur wordpress : je ne peux plus y entrer comme administrateur, le mot de passe ne fonctionne plus, et quand je demande de le renouveler, mon adresse mail de toujours n’est pas reconnue, je ne peux donc pas entrer dans l’interface wp. Que puis-je faire dans ce cas?
    Merci pour votre aide.

    Art.

    • Bonjour Arthur,

      ce n’est pas évident de répondre à cette question sans pouvoir « mettre les mains dans le camboui » et voir dans le code source et dans la base de données ce qu’il se passe mais je peux essayer de voir avec vous quel est l’état des lieux du site déjà.

      Avant tout pouvez vous me dire chez quel hébergeur se trouve votre site ?

      Ensuite, il faudrait avant tout vérifier si l’accès entre votre base de donnés et votre site n’a pas été changé. Les informations de connexion à l’interface de wordpress (entre autre) sont stockées dans une base de données. Les pirates ont pu par exemple modifier la configuration de votre site pour que votre base de données ne soit plus utilisée mais que la leur le soit à la place. Du coup cela pourrait expliquer que vos informations de connexion ne fonctionnent plus.

      Donc vous pouvez vérifier dans le fichier wp-config.php qui se trouve sur votre FTP si les informations ont été changés.
      Si elles ont été changées, il faudrait re faire pointer votre site vers sa base de données.

      Si le site est bien lié à votre base de données, il faudrait regarder dans celle ci et vérifier dans la table wp_users quels sont les utilisateurs existant.

      Merci.

    • Bonjour,
      Dans le pire des cas, vous pouvez modifier votre mot de passe directement par « phpMyAdmin » ou dans la base de donné de WordPress si vous avez encore accès à votre panneau d’administration de votre plan d’hébergement. (voici le lier comment faire sur le site de WordPress : http://codex.wordpress.org/Resetting_Your_Password)

  • Bonjour,

    Je parcours sites, tutoriels etc afin d’essayer de pallier tant bien que mal au blacklist de google sur mon blog.
    Outre les plugins sucuri etc installés, je ne vois pas ou se trouvent les failles et problèmes dénoncés par google. Mon blog wordpress n’est plus accessible depuis le 20/09.
    Quelqu’un pourrait-il m’aider?
    Merci

    • Bonjour Laurent,
      afin de savoir pourquoi Google à bloquer votre site internet, il faut tout d’abord que vous utilisiez Google Webmaster Tool (outil gratuit de Google) et le relier à votre site afin de savoir exactement ce que Google a trouver.
      Si on ne sait pas ce qu’il a trouver, on ne peut pas analyser et corriger le problème donc c’est la première étape que vous devez faire :-).

  • J’ai modifié le fichier .htaccess suivant votre procédure, je me suis retrouvé également sans pouvoir accéder à mon blog (forbidden).
    Ais-je loupé une étape?

    • Une erreur s’est glissée concernant la protection du fichier htaccess,
      il faut écrire la règle suivante comme ceci :

      <Files .htaccess>
      Order Allow,Deny
      Deny from all
      </Files>

      au lieu de :

      Order Allow,Deny
      Deny from all

      • Bonjour Aurélie,

        J’ai rectifiée cette partie du fichier .htaccess, un grand merci.
        Il me reste le plus gros travail, nettoyage du blog pour ne plus être blacklister, et là… c’est une tout autre histoire.

        • Laurent, la première étape est de relier votre site à Google Webmaster Tool qui vous indiquera ou se situe les failles, les fichiers vérolés

          Vous pouvez également installer le plugin Wordfence et effectuer une vérification. Si vous avez des fichiers vérolés, le plugin vous les indiquera.

  • Bonjour,
    Je travaille dans le domaine ai j’aimerai pointer trois point que je n’ai pas vu (ou j’ai lu trop vite!) Premièrement, il faut toujours tenir sont WordPress à jour, sinon on peut facilement être victime de « hackage » de notre site. Ceci est aussi valide pour tous les extensions installé.
    Ensuite, changé la page admin par défaut, soit avec un plugin comme « iThemeSecurity » ou en modifiant le fichier .htaccess. La majorité des attaques par Dictionnaire (Brute force basé sur une liste de mot clé) vont laisser tomber votre site s’il ne trouve pas votre page wp-login du premier coup.
    Finalement, le choix de l’hébergeur, il faut s’assurer que l’hébergeur du site offre une sécurité contre les attaques les plus courante sur WordPress (Et Joomla, Drupal, etc… ). Souvent, ceci est accomplie avec des règles du module « ModSecurity » installer en option dans Apache (Serveur web).

    • Bonjour Daniel,

      merci pour votre commentaire.

      Je conseille également de toujours bien veiller à mettre à jour, d’abord les extensions, puis ensuite la version de WordPress. Je l’ai dit dans d’autres articles sur le même sujet mais merci de rappeler cette bonne pratique :-).

      Même remarque pour la modification du chemin vers l’interface d’administration (le backoffice) et pour le choix de l’hébergeur.

      • Le site cité a été piraté. Fait sous wp, je ne peux plus accéder à la console d’admin avec mes codes, c’est d’ailleurs comme cela que je m’en suis rendu compte !!!
        Mon hébergeur oxito peut-il intervenir ou est-ce à moi de mettre les mains dans le cambouis en suivant la méthode que vs expliquez plus haut ?
        Merci par avance !!!

        • Bonjour Vand,

          Il est possible de changer le mot de passe administrateur par le biais de PhpMyAdmin (Ou n’importe quel console avec accès à la base de donnée).

          Certain hébergeur peuvent même le changer gratuitement pour vous.
          Je vous ai joint un lien indiquant comment changer le mot de passe administrateur. Ensuite, il vous faudra modifier les code d’accès à tous vos comptes.
          Voici le lien :
          http://codex.wordpress.org/fr:R%C3%A9initialisation_de_votre_mot_de_passe

        • Bonjour Vand,

          le site que vous avez cité n’est plus accessible.

          Sinon, pour répondre a vos questions, certains hébergeurs peuvent intervenir, tout dépend de l’offre que vous avez souscrit, il suffit de leur demander.

          Il faut savoir que certains pirates, au lieu de modifier les identifiants du compte admin, modifie la configuration de votre wordpress en modifiant l’accès à la base de données vers une de leur base a eux (j’ai déjà vu ce cas sur un site que j’ai « dé-piraté » puis securisé).
          Dans ce cas là changer le login et mot de passe dans sa base n’aura aucun effet car votre site wordpress sera quand meme relié à la base de donnes des pirates.

          Donc en premier lieu vous pouvez contacter votre hébergeur pour demander de changer le login et mot de passe administrateur de votre site sous wordpress, s’ils ne veulent pas alors vous pouvez accéder à votre base de donnée et modifier l’entrée en base qui va bien (c.f le lien cité plus hayt : http://codex.wordpress.org/fr:R%C3%A9initialisation_de_votre_mot_de_passe aller à la section « Grâce à phpMyAdmin »). Si ce changement ne répare pas l’accès a l’interface d’administration de votre wordpress, alors dans ce cas la il faut que vous regardiez le fichier wp-config.php et que vous vérifiez les lignes DB_NAME, DB_USER, DB_PASSWORD et DB_HOST. Vous pouvez envoyer ces 4 lignes à votre hébergeur en lui demandant si ces paramètres permettent de se connecter à votre base de donnes ou pas, si ils vous répondent que non alors vous pouvez leur demander les bons paramètres. Il suffira de modifier le fichier wp-config.php pour rétablir l’accès entre votre site et votre base de données.

          Courage.

  • Bonjour
    Depuis quelques temps tous les jours j’ai quelqu’un de Russie qui vient se connecter 6 fois par jour, j’ai donc installé Wordfence pour pouvoir le bloquer.
    J’ai avant tout fait un test en bloquant l’ip de mon téléphone, mais je remarque que j’arrive toujours a voir mon site depuis ce dernier. Du coup je viens à me poser cette question, en bloquant l’IP on bloque quoi au juste?
    Je pensais qu’on bloqué l’accès au site, mais je tiens à souligner que je suis novice dans ce domaine.

    • Article intéressant !
      Pour ma part j’utilise Wordfence security et j’apprécie le travail de ce plugin. Je l’installe d’office sur tous les sites que je réalise.
      Il est simple d’utilité et gratuit donc c’est cool 😉

  • Vous pourriez également ajouter au fichier .htaccess ça :

    deny from all

    Options All -Indexes

    Ce code limite l’accés à tous les dossiers !!!!

  • Merci pour cet article complet et bien écrit …
    Perso j utilise soit Wordfence soit Itheme security afin de sécuriser facilement les sites wordpress de mes clients …

  • J utilise Wordfence pour sécuriser les sites WordPress de mes clients mais je vous recommande plutôt l extension itheme security ,c est simple et intuitif …
    Ce plugin détecte les problèmes il y a juste à cliquer afin de les corriger …si vous n êtes pas sur de ce vous faite ne touchez pas aux option avancés …

  • Itheme security détecte tout ce qui ne va pas ,reste à cliquer afin de corriger les problèmes ,Itheme security permet également de renommer le compte administrateur de modifier votre fichier .htacess…..
    Une extension fiable et très bien noté …et difficile de trouver plus complet …

  • Bonjour,

    Je souhaiterais savoir si il faut changer le chemin d’accès pour les codes à intégrer dans le .htaccess, sachant que mon site est pour l’instant en test dans un sous répertoire d’un site.

    J’aimerais savoir si cela fait bugger mon site ou pas, car le jour où il migrera sur son url, je ne vais plus me souvenir que j’avais ajouté ces codes dans ce fichier et que c’est peut-être eux qui feront bugger le site.

    Merci pour votre réponse.

    • Bonjour Pissenlit,
      étant donner que votre site est en test pour le moment je peux vous conseiller, si ce n’est déjà fait, de rajouter une directive dans votre htaccess qui permet de ne pas y accéder excepté pour une adresse IP ou une liste d’adresses IP.

      Lorsque votre site sera en ligne et accessible par tout le monde, a ce moment la vous pourrez rajouter les directives de sécurité dans le fichier htaccess si vous avez peur que ces dernières fassent « buguer » votre site mais sinon je peux vous dire qu’il n’y a pas de problème pour que vous ajoutiez ces directives dès maintenant.
      Et si vous apercevez un problème, vous pouvez commenter ces lignes tout simplement pour revenir à l’état initial.

      Bonne journée.

  • Très bon article !

  • Bonjour Arthur,

    ce n’est pas évident de répondre à cette question sans pouvoir « mettre les mains dans le camboui » et voir dans le code source et dans la base de données ce qu’il se passe mais je peux essayer de voir avec vous quel est l’état des lieux du site déjà.

    Avant tout pouvez vous me dire chez quel hébergeur se trouve votre site ?

    Ensuite, il faudrait avant tout vérifier si l’accès entre votre base de donnés et votre site n’a pas été changé. Les informations de connexion à l’interface de wordpress (entre autre) sont stockées dans une base de données. Les pirates ont pu par exemple modifier la configuration de votre site pour que votre base de données ne soit plus utilisée mais que la leur le soit à la place. Du coup cela pourrait expliquer que vos informations de connexion ne fonctionnent plus.

Rétroliens
Laissez un commentaire

Pour valider votre commentaire, sortez votre calculatrice ! *
Time limit is exhausted. Please reload CAPTCHA.

* Champs obligatoire


Articles Récents


logo moderation atchik-services
GeneraTweet : un nouvel outil pour partager vos articles sur Twitter by Atchik Services
Derniers Tweets
Derniers commentaires
  • Avatar Utilisateurwww.swisstomato.ch { Bonjour, Merci pour cette longue liste d'outils } – 20 Mar, 6:10
  • Avatar UtilisateurAlbane Flamant { Très bonne liste, dans mon job de CM j'utilise beaucoup Powtoon pour mes vidéos, mais par contre plutôt Piktochart et Venngage pour mes infographies. Et... } – 05 Jan, 4:54
Facebook