ATTENTION : Vous risquez de vous faire PIRATER votre blog wordpress si vous ne faites pas CECI
Saviez-vous que 90.000 blogs wordpress ont été piratés en avril 2013 ?
C’était une attaque sans précédent dans l’histoire de wordpress. Et ce genre d’attaque se reproduira un jour ou l’autre.
Voici une petite vidéo qui vous donne trois astuces pour sécuriser votre blog wordpress.
Risquez-vous de vous faire pirater ?
Elle a été réalisée par Tom du blog U Just Do It.
La voici :
Qu’en pensez-vous ?
69 Comments to “ATTENTION : Vous risquez de vous faire PIRATER votre blog wordpress si vous ne faites pas CECI”
Post comment
Commentaires récents
- Êtes-vous crédible aux yeux de vos prospects? dans
- Droit de rétraction et remboursement: ce que vous devez savoir si vous vendez des formations dans
- 2 idées ingénieuses pour gagner de l’argent avec vos photos de voyage dans
- La loi de Fitts, ou comment augmenter le taux de cliques sur vos boutons d’achat ou d’inscription dans
- Et si nous nous aidions à améliorer notre positionnement Google ? Nouvelle entraide entre blogueurs dans
Tiens ! Je ne le savais pas. Merci à toi pour ce partage
Au plaisir,
Hugo.
Bonjour Cédric,
Merci beaucoup pour ce partage tout à fait d’actualité. Que dire de plus, sinon qu’il tombe
à point nommé, on ne sais jamais. Ne pas attirer les jaloux et les importuns est une mesure
de sagesse et d’expérience.
excellent tuto facile à utiliser mais encore fallait-il y penser. Le site de Tom est super!
Merci Hélène :-). Je reviens vers toi concernant ta question demain.
Bonjour,
Justement mon blog est devenu inaccessible parde qu’il vient d’être victime d’une attaque.
Je ne peux plus m’y connecter depuis vendredi dernier.
Après consultation il semblerait qu’il a été infecté par un MALWARE dans le fichier java script.
Le problème c’est su,il va falloir faire le nettoyage ou utiliser une sauvegarde en la rechargeant.
Justement quand on ne maîtrise pas l’approche technique , ça ressemble à une falaise ou mur à franchir outils approprié !!!!!!
Cordialement
Salut Mo,
As-tu accès à nouveau à ton tableau de bord ?
Sinon, je te propose cette « manip »:
1. Localises le fichier « wp-login.php » dans votre répertoire « public_html » en utilisant soit l’un des gestionnaires de fichier dans ton cPanel ou un client FTP.
2. Renommes le fichier, comme par exemple « wp-login2.php ».
3. Ouvres le fichier nouvellement renommé avec ton éditeur favori, « Notepad ++ » par exemple (encore une fois, tu peux utiliser soit l’un des gestionnaires de fichiers pour éditer le fichier ou effectuer les modifications via FTP).
– Trouver la ligne « 677 ou 680 » de « wp-login.php » et renommes-le pour « wp-login2.php » afin de refléter le changement que tu as fait à l’étape 2.
– La ligne ressemble à ça: <form name="loginform" id="loginform" action=" » method= »post »>, mais ne modifies que cette partie: ‘wp-login.php’, ce qui donne: ‘wp-login2.php’
4. Cliques sur « Fichier » puis sur « Enregistrer » afin que le changement soit pris en compte.
5. Connectes-toi à ton tableau de bord WordPress via le nouveau URL: http://www.tondomaine.com/wp-login2.php
Ça devrait fonctionner… en tout cas pour l’accès mais pour la désinfection, il faudra mettre la main à la poche. :)
Je propose également un outil (plus que ça) sur mon site pour cela…
@+,
Bonjour JOAKIM
Merci pour les tuyaux,
J’ai réussi avant de lire votre commentaire à résoudre le problème de connexion.
Je suis allé a la ligne 415 affichée dans le message d’erreur Parse, j’ai modifie le nom du gravatar
Il semblerait que quelqu’un est entrée dans le functions.php et a laisse un gravatar au nom de pascal.
J’en ai mis un propre. Puis j’ai modifié le mot de passe.
Reste à faire le curage pour désinfecter, parce que le message que j’obtiens en cherchant visualiser les articles est :
Fatal error: Call to undefined function graphene_get_header_image() in /homez.487/mesecono/www/wp-content/themes/graphene/header.php on line 55
cordialement
Salut Mo,
C’est un message de PHP, un problème de codage au niveau du: « header.php » de ton thème. La fonction est obsolète depuis PHP 5.3.0
Généralement ce genre de message est destiné aux codages des plugins qui ne sont plus à jour avec des fonctions compatibles. Sauf bien sûr une exception… une infection par exemple…
Malheureusement si tu mets un « header.php » tout neuf de ton thème, tu perds tout ! Tout le travail sur ton site que tu as effectué est principalement codé dans ce fichier. Si tu as un « backup » de ta base de données avant ton problème, ça pourrait dépanner… tu perdrais un peu de données mais c’est tout…
Si tu sais parfaitement le contenu de ton serveur (à la racine), ça pourrait aider également. Comme ça s’il y a des fichiers en trop, tu les supprimes. Souvent ces genres d’attaques ou infections laissent toujours des traces à la racine de ton serveur sous forme de fichiers (php, html, script).
Enfin sur ton « header.php », ouvres-le et localise ce bout de code PHP:
________________________________________________________________
ID : false;
$header_img = graphene_get_header_image( $post_id );
$alt = graphene_get_header_image_alt( $header_img );
/* Check if the page uses SSL and change HTTP to HTTPS if true */
if ( is_ssl() && stripos( $header_img, ‘https’ ) === false )
{
$header_img = str_replace( ‘http’, ‘https’, $header_img );
}
?>
_________________________________________________________________
ça commence à la ligne: 53 et fini à: 63 juste après celui-ci:
Vérifies si c’est le même code que celui que tu as actuellement… si non tu le remplaces par celui-ci, c’est l’original de ton thème.
@+ et bonne chance,
C’est encore moi,
Le bout de code PHP ne s’affiche pas complet sur mon commentaire (normal). Dans ce cas récupères un « header.php » tout neuf de ton thème et localise ce bout de code. Ça commence à la ligne 53 et fini à 63, il fait 10 lignes en tout.
Bonjour Joakim
Après vérification, il s’avere donc que le code est le même.
Donc pas de bidouillage à faire.
En fait le blog est devenu visible, après un bricolage divers …mais
en tout cas avoir installé et activé le plugin WP-Security-scan et lancer
certaines de ses options.
Seul hic: l’image que j’ai dans header a grandi!
Merci pour tous ces conseils
Salut Mo,
Je viens de faire un tour sur ton site, ça l’air de bien fonctionner. :)
As-tu récupéré sur mon site le « tuto » détaillé sur les « manips » à faire pour sécuriser WordPress ? C’est vraiment impératif.
Cela arrive à tout le monde de se retrouver avec du codage indésirable sur son site. voici quelques URL de sites vérifiant ton site web et te donnant des informations sur son état, ce qui va et ce qui semble ne pas aller.
• https://www.virustotal.com/#url
• http://urlquery.net/
• http://wepawet.iseclab.org/
• http://www.urlvoid.com/
A noter que rien ne t’empêches de faire des tests pour vérifier que tout va bien avec ton site.
Pour l’image, remplace-la par une toute neuve du même thème… ou redimensionnes-la avec l’outil « Paint » de Windows.
@+,
Salut Mo,
Je viens de faire un tour sur ton site, ça l’air de bien fonctionner. :)
As-tu récupéré sur mon site le « tuto » détaillé sur les « manips » à faire pour sécuriser WordPress ? C’est vraiment impératif.
Cela arrive à tout le monde de se retrouver avec du codage indésirable sur son site. voici un URL de site vérifiant ton site web et te donnant des informations sur son état, ce qui va et ce qui semble ne pas aller.
Pour l’image, remplace-la par une toute neuve du même thème… ou redimensionnes-la avec l’outil « Paint » de Windows.
@+,
C’est encore moi Mo,
Je pense avoir compris ton problème… ça pourrait effectivement venir de ton « header_image » !
Car WordPress est intraitable avec ça ! Si tu changes l’image d’origine du thème, la nouvelle doit avoir les même dimensions, pas un millième de plus… pour cela, utilise l’application « Paint » de Windows c’est le top pour redimensionner.
Je te dis ça car je viens d’analyser ton URL, et apparemment il n’y a pas de virus, ni qque chose d’autre…
@+
Bonjour Joachim
Merci pour tous ces conseils et infos très pertinentes.en effet cette m’a évité de trop galèrer
pour régler ce problème .
J’ai effectivement suivi tes conseils , en utilisant le plugin. Sécuriity.scan ainsi que les différents modif pour sécuriser le blog.
Un grand merci pour ce coup de mains
Corialement
Merci pour ce partage très intéressant.
Oui C’est vraiment efficace. Je viens d’être piratée et en cherchant sur le web j’ai trouvé cet vidéo de Tom qui m’a bien aidé et qui est vraiment efficace.
J’ai perdu des articles et mon temps à éliminer cet hacker, alors maintenant au boulot
Cordialement
Elisabeth
Courage Elisabeth et j’espère que tu arriveras tout mettre sur les rails. Ajoute le WPSecurity script => très efficace.
Tom
Merci pour cet article et le partage de cette vidéo !
Les deux premiers points étaient bon concernant le login.
Par contre nous venons d’installer le plugin Login Lock Down !
Sebastien, n’oublie pas de faire aussi les modifications sur ton .htaccess (-> important)
Tom
Wonderfull Cédric !!
Un gros merci à toi de nous avoir fait découvrir
Tom Green, ses astuces wordpress et son blog.
Et j’adorrrrrre son humour :-)
Christiane
Et un plus il rrrrrrrrroouule les « r » comme seulement les teutons savent les rrrrrrrouler (à l’exception de toi bien sur ;-) ).
Merci,
Tom
He He Christiane,
et en plus il rrrrrrrrrouuule les « r » comme seulement les teutons savent les rrrrrouler.
Merci à toi,
Tom
la video est vraiment interessante , mais si je l’avais vu il y a qlq mois j’aurai pas perdu peut etre mon blog (style de vie) qui a eté piraté et carement cassé c’est dommage mais c’est comme ça .. merci cedric
Merci à toi Cédric pour le partage et un grand merci à Tom pour la vidéo :)
Grâce à toi on passera peut être entre les mailles des « Pirates » !!!!
A bientôt,
Mathieu
Merci Mathieu,
La sécurité à 100% n’existe pas…. mais certains s’y approchent plus que d’autres.
Tom
merci Cedric et merci Tom, quel monde!! je vais essayer de faire le necessaire pour proteger mon blog. . aujourd’hui j’apprends que des amis ont ete pirates et aux US e ent amerique latine, j’ai appris d’autres piratages…….
des enquetes ony elles ete ouvertes?
Encore merci.
.
Merci :-). N’oublie pas les modifications au .htaccess (voir l’article)
Tom
Très instructif.
Content de savoir que des solutions existent.
J’ai visitéle blog. Ca en vaut la peine.
Ed Monty
Merci Edmond
Une petite précision qui a sont importance, créer un deuxième admin ne servira à rien dans la majorité des cas puisque dans la majorité des thèmes l’auteur des articles apparaît dans l’entête de chaque article.(tout le monde ne sait pas comment supprimer cette option)
Pour finaliser l’opération rendez-vous dans votre tableau de bord, cliquer sur le compte admin que vous venez de créer, aller dans l’onglet « Pseudonyme » et indiquer un nom différent de votre identifiant d’administrateur, indiquez dans l’onglet suivant « Nom à afficher publiquement » le pseudo que vous venez de créer.
Ainsi tous vos articles seront identifiés sous votre pseudo et non votre identifiant d’administrateur
qui je vous le rappel est votre premier identifiant.
Un tuto sur mon blog faite une recherche dans la sidebar « modifier admin sous wordpress »
Amicalement
PS : Mo vous devriez arriver à restaurer votre blog en utilisant la sauvegarde de votre hébergeur (si celui-ci le fait !)
Très bon complément Franck, j’ai oublié d’en parler.
Tom
Très bon point Franck, j’avait oublié d’évoquer ceci dans la vidéo.
Merci à toi
Tom
Y a pas de quoi !
Bonjour,
Merci pour le tuto bien réalisé.
J’ai moi aussi été une des nombreuses victimes de hacking des blogs WP.
J’ai cherché une solution avant de découvrir les suggestions de Tom qui restent très utiles.
J’utilise à présent le plugin Better WP Security, celui automatise et globalise plusieurs actions :
– renommer automatiquement admin,
– backup automatique et quotidien du blog,
– avertissement de modifications de fichiers,
– blocage automatique des tentatives de connexions infructueuses,
– renommage des pages de connexion et de login,
– masquage des informations de la version de WP,
– …
Bonne continuation,
Olivier
Salut à tous,
Sympa les astuces mais c’est très loin d’une sécurité absolue de WordPress surtout à nos jours ! Malheureusement :)
En effet, c’est assez complexe mais faisable… si on « bidouille » un peu !
Je veux dire par là: avoir quelques compétences en HTML, PHP et en gestion de base de données !
Sinon, j’avais publié un article à ce sujet ici, et un autre plus détaillé ici sur les « manips » dans les codes sources de WordPress ainsi les fichiers .htaccess et wp-config.php
Amicalement,
bonsoir,
Bonsoir,
merci A JOAKIM pour le plugin WP-SECURITY-SCAN,
c’est vrai qu’il très intéressant
Et il est bon veilleur. gardien…
Par contre le site David-création n’est pas accessible avec le lien
en question
cordialement
Salut Mo,
Si tu as lu mon article sur le sujet, à la fin tu as la possibilité de récupérer un « tuto » détaillé (en pdf) sur toutes les « manips » à faire pour sécuriser WordPress.
@+,
Bonjour,
En effet mon hébergeur à créer une erreur 403 pour empêcher les attaques au moment de se logger.
J’ai été obligé de changer le fichier config php pour me connecter avec une autre url.
Merci pour ce tuto très sympa.
Noé
Bonsoir,
Merci pour ces astuces. J’avais déjà tout fait, mais je me suis déjà fait pirater.
Merci
C’est insensé de constater que tant de blogs ont été piratés durant le mois dernier uniquement ! Je n’étais pas du tout au courant. En tous cas, merci Cédric d’avoir partagé les astuces de Tom sur la sécurité en ligne. De plus son blog sera une nouvelle source d’informations utiles et pratiques.
Merci Tom,
Je cherchais justement des moyens pour protéger mon blog.
Avec plaisir Sylvie,
Mets aussi en place les modifs au niveau du .htaccess: http://www.ujustdoit.com/90000-sites-wordpress-attaques-comment-securiser-wordpress/
Bien à toi
–Tom–
C’est peut être mon coté débutant, mais je n’ai jamais pensé à protéger mes blogs…
Avec votre article et la lecture des différents commentaires je m’en vais de ce pas le faire.
Merci pour le plugin.
Salut Aurélien,
n’oublie pas les reste ici: http://www.ujustdoit.com/90000-sites-wordpress-attaques-comment-securiser-wordpress/
Merci à toi
–Tom–
Excellent tres utile, j’ai été aussi sur le site de Tom pour les explications détaillées, merci ca sert enormement,
Sportivement , Vince
Merci Vince,
Je penserais à toi si je me mets à la muscu :-)
–Tom–
Bonjour,
Merci beaucoup pour le partage.
C’est tout bonnement hallucinant que tant de blogs aient été piratés.
Autant j’aime la facilité d’utilisation des CMS, autant quand je vois les risques en matière de piratage, cela me donne presque envie de tout faire avec mon éditeur html, cela minimise beaucoup les problèmes !
Un très grand merci pour toi et à Tom pour la vidéo. On a toujours besoin d’astuces pour protéger son blog.
Merci Sarah,
Le reste sur http://www.ujustdoit.com/90000-sites-wordpress-attaques-comment-securiser-wordpress/
Bien à toi
–Tom–
Salut à tous,
Sympa les astuces, mais ce n’est que le début d’une procédure… et c’est loin d’avoir une sécurité absolue de WordPress ! Malheureusement :)
Il existe divers tutoriels, +/- complexes, sur les moyens de sécuriser WordPress. De nombreux pirates trouvent la vulnérabilité des sites WordPress en faisant de simples recherches sur Google avec ces mots clés : « Powered by WordPress » pour identifier les sites fonctionnant sous WordPress.
Eh bien, la première chose facile à faire est de supprimer (dans vos codes sources) tous les textes indiquant que votre blog est propulsé par WordPress. Téléchargez et installer le plug-in: « bad-behavior ». Ce plug-in ne fait pas qu’empêcher les attaques pour accéder à votre site, mais il vous indique également combien de personnes tentent de se connecter illégalement.
Je pourrais écrire tout un roman sur la meilleure façon de sécuriser un site fonctionnant sous WordPress, mais je vous recommanderai que trois étapes importantes. Il suffit de les suivre et votre blog WordPress sera mieux protégé en quelques minutes !
* 1 Ne pas utiliser l’utilisateur avec le pseudo « admin » comme votre administrateur (procédez comme c’est dit plus haut)
* 2 Mise à jour de votre version WordPress (manuellement)
* 3 Télécharger et installer le plug-in: « wp-security-scan »
En suivant les trois étapes ci-dessus, votre site WordPress sera sécurisé à 90% environ et vous pourrez mieux dormir la nuit. :)
Et pour une sécurité absolue: il faudra créer des fichiers « .htaccess », modifier le fichier « wp-config.php » et bidouiller un peu plus dans les codes sources ! c’est assez complexe mais faisable.
Quelques plugins utiles à installer impérativement:
Akismet
Bad Behavior
Lockdown WP Admin
WP Security Scan
Enfin, je suis contre l’automatisation de la mise à jour d’une base de données ! Il faudrait le faire manuellement depuis votre tableau de bord chez l’hébergeur avec les outils proposés (car si un plugin peut le faire, d’autres y arriveront).
Amicalement,
C’est encore moi :),
C’est juste pour ajouter le plugin: « TimThumb Vulnerability Scanner » à la liste…
Salut Joakim,
la vidéo n’est effectivement qu’un début. les modifcations au niveau du fichier htaccess se trouvent ensuite sur mon blog comme indiqué dans la vidéo: http://www.ujustdoit.com/90000-sites-wordpress-attaques-comment-securiser-wordpress/.
Pour tous ceux qui veulent vraiment se plonger dans le sujet, je recommande vivement http://www.wpsecuritychecklist.com/ par Anders Vinther.
A mon avis le meilleur guide gratuit disponible sur le net.
–Tom–
PS: Vérifie sur ton blog si Akismet est correctement configuré. Tu as des dizaines et dizaines de commentaires de spam sur plusieurs articles.
Salut,
Il y a spam et spam… Askimet est configuré comme je le souhaite, t’inquiète.
A propos : as-tu déjà fait un « Whois » de ton nom de domaine ? La protection de la vie privée du propriétaire contre le spam et les attaques de phishing est nulle, puisqu’on parle de sécurité…
Je trouve qu’il y a trop d’infos sur toi qu’il faudrait protéger, n’est-ce pas Thomas… :) (sans rancune c’est juste 1 réponse à ton commentaire).
Ton tuto est bien, pas de problème… par contre l’ajout de : (# BEGIN WordPress Security Checklist Addition) au .htaccess laisse à désirer… car il y a des doublons avec ce qu’il y a déjà. Si ça marche pour toi, tant mieux. Ce n’est peut-être pas le cas de tout le monde car cela dépend des hébergeurs ! Il faut juste ajouter cette ligne: Options All -Indexes avant: # END WordPress et ça fera l’affaire… ce n’est pas la peine non plus de protéger le « readme.html » car il faut le supprimer d’office de WorPress !
Amicalement,
Les trois astuces sont faites, validées et approuvées ! :)
Merci du partage, il me manquait seulement le plug-in pour ma part ;)
A bientôt !
Benjamin
Bonjour,
Sympa la vidéo, je connaissais pas le plugin de Lock !
Merci beaucoup pour partage
A bientôt !
Nicolas
Bonsoir,
J’avais déjà fait la manip de créer un nouvel admin au nom compliqué puis de supprimer « admin » (je trouve ça fou que WordPress n’impose pas d’en créer un compliqué lors de son installation).
Par contre, merci pour loging lockdown !
Et je vais aller voir ce que tu dis sur le htaccess parce que ce petit fichier à la racine de mon blog m’a toujours interrogé ;-)
Jérémie
Merci pour l’info, mais cela aurait été plus pratique d’avoir ces infos par écrit, de façon à pouvoir les enregistrer plus facilement ;-)
Salut Michel,
C’est pour moi que tu dis ça ? :) Fais un tour ici à la fin de l’article, j’offre un « tuto » détaillé sur les « manip » à faire.
@+,
Salut Michel,
le tuto complet incluant les modifs au niveau .htaccess se trouve ici: http://www.ujustdoit.com/90000-sites-wordpress-attaques-comment-securiser-wordpress/
Bien à toi
–Tom–
voir son blog partir en fumé après tous les efforts consentis pour le faire connaitre est vraiment énervant.
Donc, je vais diffuser cette vidéo autour de ceux que je connais qui ont un blog sous wordpress.
Merci Samuel,
N’oublie pas aussi les modifs sur htaccess: http://www.ujustdoit.com/90000-sites-wordpress-attaques-comment-securiser-wordpress/
–Tom–
Génial,
Je débute dans le monde du blog et franchement merci de donner des astuces comme cela car on pense que cela va être facile, mais la technique derrière un blog est primordiale.
Je vais tout de suite mettre à profit mes nouvelles connaissances.
J’avais jamais imaginé qu’un blog puisse être piraté. Mes accès bancaires, mes mots de passe d’email, mais je ne sais pas pourquoi, je ne me suis jamais figuré que mon blog pouvait être piraté aussi.
Par contre, je suis pas sur wordpress… Hésite pas à trouver un truc sur blogspot.
90 000 blogs WordPress piratés rien qu’en avril 2013, le chiffre fait peur..On s’occupe toujours de réfléchir à la communication et à la création de contenu de son blog mais on pense rarement à la sécurité de son blog..
Merci Alice!
–Tom–
Merci Lucie
–Tom–
Très instructifs cet article, personnellement je m’y attendais un peux vu la facilité de crée son propre blog .je suis détenteur d’un site web et il est bien sécurisé :) jusqu’à maintenant « je touche du bois »
merci pour ces instruction que je vais faire passer
Salut Tom, trés belle video, explication nette, de simples idées astucieuses mais qui marchent à la perfection. et au passage, bravo pour ton site que j’y compte bien visiter de temps en temps .
Bravo et merci pour la tuto
Merci pour cette découverte.
Je ne connaissais ni Tom ni son site. Je suis très agréablement surpris et en plus il a de l’humour.
Vis-tu d’internet Tom ? Ou as-tu une autre activité ?
Tes vidéos sont très pro. Bravo.
Sam