Depuis les attentats survenus au siège de Charlie Hebdo, une cyberguerre a été lancé entre les Anonymous et Anonghost. Le piratage de site web est depuis devenu notre quotidien, comment se prémunir du hack de son propre site ?
Avant un piratage, il faut penser à faire des sauvegardes
On ne le dira jamais assez, mais cette banalité est et sera toujours d’actualité. si vous êtes le propriétaire d’un site web, il faut régulièrement faire des sauvegardes de celui-ci. Base de données, fichiers PHP/HMTL, images, … absolument tout doit être sauvegardé. Pour être certain de ne pas avoir d’autre soucis, je vous conseille même de faire une copie sur votre machine ainsi que dans un cloud ou un autre FTP. Ce serait dommage que le disque de votre PC lâche juste après le piratage vous faisant ainsi perdre toutes vos données y compris les copies !
Pour la fréquence des sauvegardes je vous conseille de les faire en fonction du taux de fréquentation de votre site. Il est inutile de faire une copie chaque heure si vous avez peu de fréquentation, de même que faire une copie à la semaine sera insuffisante sur un blog ou un site publiant des dizaines d’articles par jour.
Cette cyberguerre touche aujourd’hui les grands média de l’information (Le parisien, … ), après avoir touché il y a quelques jours les grandes institutions (hôpital, université, mairies, …). Oxalide serait même HS actuellement. Pour réussir leurs exploits, les cybercriminels utilisent bien souvent des failles alors penser à mettre votre site à jour !
Un site à jour = un risque de piratage en moins
La plupart des sites internet, c’est le cas de Nalaweb par exemple, utilisent des plateformes de type WordPress. il existe des alternatives avec Drupal ou Joomla. Si celles-ci sont des solutions toute prêtes et simples d’emploi. Les gardes à jours reste le boulot du webmaster qui l’exploite. Il en va de même pour les différents « plugins » que vous utilisez. Il faut les mettre à jour. Je dirais même que pour vous limiter au maximum les risques de piratage, il faut surveiller la fréquence de mise à jour de ces plugins. Parce qu’il y a fort à parier qu’un plugin qui n’a pas été mis à jour depuis des mois soit susceptible de proposer une faille béante aux pirates, même si c’est la dernière version qui est installée. Un plugin fréquemment mis à jour par son développeur et tout de même plus rassurant et aura moins tendance à être exploiter par les hackers. Dans le cas, où les mises à jours sont trop peu nombreuses à votre goûts, essayez de trouver des alternatives à ce plugin… et si tout cela n’a pas suffit à éviter le piratage, ne cédez surtout pas à la panique !
Agir dans la panique c’est des risques de faire pire que mieux
Tout d’abord réunissez vos esprits! Ne vous précipitez pas pour faire un truc qui serait contraire au bon rétablissement de votre site. Commencez par analyser les dégâts que vous avez subit. Bien souvent, le piratage n’a pour but que de « deface » votre page principale. pour les débutants, « Deface » c’est l’action de remplacer ou modifier la page sur laquelle arrive les internautes quand ils se rendent sur votre site. Si c’est le cas, vous avez de la chance, le piratage n’est pas bien méchant, il suffit de remettre la page d’origine depuis une de vos sauvegardes. Ensuite, il vous appartient de trouver la manière dont le pirate y est arrivé. Les failles peuvent être diverses et variées (plugins pas à jour, failles XSS, injection SQL, …) Chaque sites étant différents, je ne peux pas exposer toutes les failles possibles, elles sont bien trop nombreuses.
Si vous avez moins de chance et que le hacker est allé plus loin en vidant votre base de donnée ou en modifiant vos fichiers, cette fois c’est l’ensemble des fichiers ou de votre base de données qu’il faudra restaurer. Là encore, il faut trouver la faille qui a permis le piratage et la combler rapidement pour pas que cela ne se reproduise. Attention, restaurer une sauvegarde et trouver la faille ne suffit pas toujours, si le hack s’est fait en 2 temps (infection par un malware ou un backdoor) puis piratage ensuite, combler la faille sera inutile puisque le pirate aura laisser une porte dérobée afin de revenir sur votre site quand bon lui semble même avec une faille bouchée. Il faudra donc vérifier que vos sauvegardes récentes ne contiennent pas de fichiers ou de répertoires inhabituels/inconnus. Si tout est bon, il faut maintenant sécuriser votre site pour ne plus avoir à subir de piratage ou en tout cas rendre la tâche plus difficile pour le hacker.
Comment sécuriser son site ?
La première chose à faire est de créer un fichier robots.txt qui se place à la racine de votre site. Celui-ci indique aux moteurs de recherche quels sont les fichiers et dossiers à référencer et surtout à NE PAS référencer. Pour savoir comment créer le votre, en fonction de vos besoins, je vous invite à suivre les conseils de google sur cette page.
Ensuite il faut mettre un fichier « htaccess », lui aussi à la racine de votre site. Ce fichier a pour but d’empêcher l’accès aux répertoires, non pas en les masquants au yeux des moteurs de recherche comme pour le robots.txt, mais carrément en bloquant l’accès direct. Les fonctions offertes par le fichier .htaccess ne s’arrete pas là. Il sera également possible par cette méthode de rediriger un internaute qui tentera d’accéder à un fichier ou un dossier en particulier, vous pourrez aussi autoriser leur accès par un mot de passe, … Je vous invite à lire l’article Wikipédia pour en apprendre plus sur le .htaccess.
Ensuite, si vous utilisez une plateforme de type wordpress ,Joomla ou drupal il existe plusieurs moyens de protéger et sécuriser votre site pour éviter le piratages de celui-ci. Je vais m’attarder un peu plus sur wordpress, car c’est le CMS que je connais le mieux.
Pour sécuriser votre site, vous pouvez utiliser Wordfence. Cette extension va régulièrement contrôler que vos fichiers n’ont pas été modifiés, elle va également lister les tentatives d’accès à votre panneau d’administration et bloquer l’adresse IP si les erreurs d’identifiants sont trop importantes. si vous le souhaitez, vous pourrez également filtrer les accès à votre site et par exemple bloquer les internautes venant d’un pays en particulier comme la Corée, la Chine ou la Russie, pays d’où viennent souvent les piratage si l’on se réfère aux adresses IP.
Vous pouvez, comme moi, utiliser le plugin 404 To Start. Si un internaute saisi une url qui n’existe pas sur nalaweb, il est automatiquement redirigé vers la page d’accueil et dans la foulée je reçois automatiquement un mail pour m’informer de tout un tas d’information à son sujet. Cela me permet de corriger les vraies erreurs 404 dues à des liens cassés ou de voir s’il s’agit d’une tentative de piratage de la part d’un bot et de bannir son IP si je le souhaite.
Il sera également nécessaire de protéger les accès à votre panneau d’administration. La première chose à faire sera bien entendu, utiliser un mot de passe qui ne soit pas trop simple à deviner. Ensuite, si vous êtes un peu parano, grâce au plugin rename wp-login vous pourrez changer l’url d’accès à votre panneau d’admin (qui est /wp-login.php par défaut) pour une url plus personnelle du type /tartenpion/ ou /jesuischarlie/ …
Sécuriser c’est bien, mais il faut aussi penser à la sauvegarde. Pour cela, il existe le célèbre BackWPup, qui facilitera grandement les sauvegardes de votre base de données sur votre machine. Vous pouvez également vérifier auprès de votre hébergeur, parfois ces derniers proposent la sauvegarde automatique et régulière des fichiers et des bases SQL. Cela ne vous dispense pas de faire des copies en local, bien au contraire, mais cela donne une relative sécurité en cas d’accès complet à votre compte !
Il existe plusieurs méthodes pour sécuriser son wordpress, aetherconcept.fr a d’ailleurs récemment expliquer comment sécuriser son site wordpress en 11 points. Tout ceci, ne vous immunisera pas à 100% d’un piratage, mais elle donnera néanmoins un peu de fil à retordre à tous les hackers en herbe qui ont trouver sur internet un petit script prêt-mâcher pour exploiter une faille vieille comme le monde et que certains webmaster négligeant n’ont pas trouver bon de corriger.
Merci pour toute ces info utiles je vous recommande d installer le plugin de sécurité Itheme security il est simple d utilisation et bien noté par les utilisateurs.
Cette extension détecte tout ce qui ne vas pas il suffit juste de cliquer afin de corriger les problèmes de sécurité …
Si vous êtes pas totalement sur de ce que vous faites ne touchez pas aux options avancés .
Bonjour
j utilise également le plugin de sécurité Itheme security car je le trouve simple d utilisation et trés intuitif …il permet entre autre de modifier l url de la page de connexion WordPress et de changer le nom de l utilisateur cela limite les risques d attaques par brute force…