A propos de l'auteur

Yassine AISSAOUI

Consultant Web Marketing indépendant spécialisé dans le référencement (SEO), les liens sponsorisés Google AdWords, le community management et WordPress. J'accompagne les entreprises qui ont soif de visibilité dans Google Search et les Médias Sociaux, en France. Mon profil dans LinkedIn Yassine AÏSSAOUI.

Articles Associés

  • Très bon article sur la sécurité WordPress… certes, très technique, mais bien utile, pour le vocabulaire, pour quelqu’un comme moi. Il fallait bien brosser les différents types de piratages de WordPress.

    Personnellement, j’ai déjà subit du hosted phishing avec WordPress (usurpation Google Docs justement), et du defacing avec DotClear.

    Dans ce dernier cas, j’ai pris contact avec le hackeur qui avait laissé son adresse e-mail, et il m’a expliqué que DotClear, tout simplement, comportait beaucoup de failles de sécurité (on était ~ en 2005). Je n’utilisais aucun module, mais un DotClear pur, comme quoi un CMS, sans plugin peut très bien être vulnérable aux attaques.

    Concernant le hack WordPress, je crois qu’ils ont exploité une faille d’une vieille version de Yoast SEO : un nouveau client que je venais tout juste de migrer sur mon serveur. Le temps d’effectuer la maintenance, le pirate avait déjà accès au compte CPanel que j’avais créé à mon client, ce salaud ! 🙂

    La page de phishing était carrément hostée sur un sous-domaine que le pirate avait créé avec l’accès au CPanel ! Pas dans /wp-content/. T’imagines, il avait accès à tout (mysql, ftp, mails…) !

    Je ne te raconte pas le travaille pour nettoyer dé-blacklister le site, et changer de mots de passe à plusieurs reprises, car elle revenait cette saloperie.

    J’ai justement blogué sur le sujet cette semaine en m’adressant plutôt à un public moins « technicien » que le tient. Si tu veux le survoler (si tu as le temps), n’hésites pas à m’y laisser un commentaire pour me dire si éventuellement, un de mes conseils sécurité te choc ou te semble inadapté. Vu le travail documentaire que tu as fait sur le sujet, je suis persuadé que ça pourrait être le cas : http://www.mister-wp.com/plugin/securite/

    Ça vaut aussi si tu vois un gros point que j’aurais oublié de citer, n’hésites pas ^_^

    Je n’y parle que de WordPress.

    Le CMS est abouti et plutôt bien sécurisé, mais les fonctionnalités se multiplient vite, et étant numéro 1 des CMS, il est encore plus exposé à la moindre petite opportunité d’accès à une faille.

    Je suis agréablement surpris que plein de petits hébergeurs se mettent à protéger les fichiers wp-login.php, de base, de toutes les installations de leurs clients. Comme quoi, les attaques brute force bouffent bien des ressources. Je n’ai jamais bien compris pourquoi les pirates n’y allaient pas plus doucement pour taper sur ces fichiers. À quoi bon planter le site auquel on veut avoir accès ?

    Beaucoup de techniciens eux-mêmes n’en sont pas conscients de ces attaques brute force. J’ai déjà reçu des critiques il y a quelques années de Webmasters m’insultant presque parce que j’avais mis un captcha à l’entrée d’un formulaire de connexion à l’espace membre WordPress. Aujourd’hui, JetPack fait pareil avec Brute Protect. Hum.

    P.S. : j’adore le thème du « blogueur du dimanche ». Perso, pour mes clients, je ne choisis mes thèmes que parmi ceux qui sont développés par une « team ». +1 d’une personne.

Tous droits réservés. 2008-2016 - Ya-graphic.com - France

Newsletter exclusivement dédiée à WordPress (CMS le plus populaire au monde).

Newsletter exclusivement dédiée à WordPress (CMS le plus populaire au monde).