Attaque mondiale de blogs WordPress – A lire d’urgence !
Non, vous ne rêvez pas ! Les blogs WordPress sont en ce moment même en train de se faire attaquer par un robot utilisant plusieurs ordinateurs.
- Que faire face à cette situation ?
- Comment il procède ?
- Comment se protéger ?
Je vous explique tout !
Depuis quelques jours, une attaque sur WordPress a été lancée par un botnet se servant de plusieurs milliers de PC à travers le monde pour hacker les blogs WordPress. C’est une attaque sans précédent de force majeure.
La faille WordPress utilisée par le robot..
Cette attaque touche uniquement les CMS WordPress installés sur des serveurs d’hébergement. Si vous avez créé votre blog WordPress en passant par WordPress.com vous êtes tranquille.
Quand on installe un blog WordPress, le compte utilisateur par défaut est « Admin ». En sachant votre compte utilisateur, il ne reste plus qu’à chercher le mot de passe pour vous hacker le blog.
Le robot utilise donc des milliers de PC à travers le monde pour trouver les mots de passe des comptes des WordPress restés en « Admin« .
Vous risquez d’avoir une baisse de trafic, car dans la majorité des cas, votre hébergeur devrait bloquer toutes les adresses IP essayant de se connecter à votre blog et surement une bonne partie de votre trafic. En tout cas, la mesure a été prise chez 1&1.
Alors Greg, que faire pour protéger mon blog WordPress ?
1/ En tout premier vous devez changer votre compte Admin par un identifiant personnalisé.
Si le robot passe sur votre blog et qu’il trouve que votre nom d’utilisateur est « Admin », il « balancera » des milliers de connexions via des IP différentes pour trouver votre mot de passe.
Toute la procédure est expliquée dans l’étape 3 de Protégez votre blog WordPress en 3 étapes 4/4.
2/ En second, vous devez sauvegarder tout votre blog, autant la base de données que vos fichiers et dossier WordPress. En cas d’attaque vous pourrez tout récupérer et tout réinstaller facilement.
Pour sauvegarder votre base de données automatiquement et régulièrement rendez-vous sur : WordPress database backup le plugin que vous devez avoir
Pour sauvegarder automatiquement vos fichiers et dossiers WordPress sur Dropbox, je vous conseille l’article de Franck : Sauvegarder son blog WordPress automatiquement.
3/ Vous devez limiter le nombre de connexions d’adresse IP à votre blog WordPress. Pour cela, téléchargez le plugin : Login LockDown
Suivez l’étape 1 de : Protégez votre blog WordPress en 3 étapes 2/4.
4/ Mettez à jour votre blog WordPress. Le robot aura plus de facilité à exploiter les failles des blogs WordPress tournants encore en version ancienne.
Je vous explique la procédure dans l’étape 1 de l’article Protégez votre blog WordPress en 3 étapes 1/4
5/ Changez votre mot de passe par un mot de passe complexe d’au moins 16 caractères et changez-le régulièrement.
Plus votre mot de passe est long et plus il faudra du temps pour le trouver puisque le nombre de combinaisons augmente exponentiellement.
Je vous conseille de lire cet article en entier : Vos mots de passe, une clé pour garder vos secrets bien au chaud
En faisant ces 5 étapes, vous mettre à l’abri votre blog WordPress de cette attaque mondiale.
Pour aller plus loin et avoir un blog WordPress en béton
J’avais pris le temps de faire (il y a presque 2 mois et demi) un dossier sur la sécurité de WordPress. L’objectif est de protéger au maximum votre blog. Donc je vous conseille de suivre toutes les étapes des articles :
- Protégez votre blog WordPress en 3 étapes 1/4
- Protégez votre blog WordPress en 3 étapes 2/4
- Protégez votre blog WordPress en 3 étapes 3/4
- Protégez votre blog WordPress en 3 étapes 4/4
Conclusion
Je le dis et je le redis, sur Internet nous ne sommes jamais assez prudents. Et d’ailleurs, ce que je vous conseille de faire plus haut, peut malheureusement ne pas suffire. Mais quoi qu’il en soit, votre blog sera bien protégé, c’est certain.
En espérant que votre blog échappera à cette attaque mondiale. Inutile de vous dire de faire circuler cet article pour éviter des dégâts aux blogueurs WordPress francophone.
Et vous, avez-vous étés victime de cette attaque ?
Vrai ? Si c’est pas un hoax, ça va faire [très] mal !
Oui, c’est vrai, j’ai pas mal d’amis qui ont eu et ont des problèmes pour se connecter sur WordPress. Il faut prendre des précautions :)
Merci pour l’information Grégory, je vais prendre mes précautions, on se sait jamais !
A bientôt,
Mathieu
« Merci pour cet article. Une piqûre de rappel est toujours utile concernant la sécurisation d’une installation WordPress.
Vous évoquez l’obligation de changer l’identifiant par défaut « admin » et de le remplacer par un autre. Dans la droite ligne de cette modification, il existe un plugin intitulé « Better WP Security » qui permet de compliquer très sérieusement la tâche des pirates et de contrer très efficacement les attaques brute force. En installant ce plugin, il est possible de changer l’url classique de connexion à l’espace d’administration de WordPress (le fameux wp-admin/index.php) et de faire d’une pierre deux coups en activant la protection anti brute force comme le fait Limit Login Attempts, mais de façon plus perfectionnée. De plus, ce plugin dresse un inventaire complet des failles pouvant compromettre une installation WordPress (notamment concernant « admin » ou la version de WordPress utilisée, etc.) et, ainsi, permettre de corriger le tir. Ce plugin nécessite une certaine prise en main, mais une fois paramétré correctement, il vous ôte une belle épine du pied. »
Salut Sylvie !
OK, effectivement ton plugin est pas mal. Je me le garde de côté on ne sait jamais :)
A+ !
Greg
Merci pour cet article depuis deux jours le site worpress d in client est attaqué ….
je reçois avec une régularité déconcertante des alertes envoyé par l extension Wordfence …
IP: 188.48.17.249 [unlock]
Reason: Used an invalid username ‘admin’ to try to sign in.
No attempts have been made to sign-in or use the forgot password form since this IP was locked out.
Qui a une solution pour bloquer ces robots .? ras le bol …
Bonjour
Ton tuto comment protéger votre site worpress est très complet …superbe tuto !
Pour les débutants afin de leur éviter de mettre les main dans le « cambouis » je leur recommande l extension Itheme security ….L on retrouve tout ce qui figure dans ton tuto ,il y a juste à cliquer pour corriger les erreurs et les failles ….si vous avez une extension WordPress pose problème connectez vous sur votre serveur via le FTP fichier Wp content puis plugins …et renommer celui ci ..Itheme security devient Itheme security1 astuce utile en cas de plantage …….