Sécuriser son blog, sauvegarder ses contenus et éviter les attaques : 9 conseils

wordpress-securite Quelque soit votre solution de blog et votre type d’hébergement, à partir du moment où ce n’est pas une plateforme de blog clés en main comme Overblog peut le proposer, vous avez la responsabilité de vos contenus et de leur sauvegarde. Internet est un monde particulier où dans la majorité des cas tout se passe bien ! Mais parfois un internaute mal attentionné peut croiser votre blog et avoir en tête de le pirater, d’en modifier ou d’en effacer le contenu, etc. Il est donc important de s’en prémunir et voici 9 conseils à suivre pour mettre toutes les chances de son côté;

Ne négligez pas les risques !

Comme je le disais, dans la plupart des cas vous ne serez jamais confronté à de tels problèmes et je vous le souhaite… Malheureusement ce côté improbable ne motive pas forcément pour prendre le temps d’étudier le problème. Croyez moi il le faut pourtant ! Je suis bien placé pour en parler suite au piratage de Monetiweb début juin. La totalité des fichiers du blog ont été supprimés en une nuit : les fichiers WordPress, les images, les plugins, etc. Plus rien. Quand on est pris par le temps et qu’on souhaite avant tout apporter à ces utilisateurs du contenu original, travailler son référencement, développer la communauté du blog, on peut facilement oublier ou du moins reporter les enjeux de sécurité d’un blog. Ca a été mon cas, je le reconnais. Le problème n’était pas que je n’en avais pas conscience ou que je ne savais pas comment faire. Le vrai problème est que je n’ai pas pris le temps de faire en sorte que cela n’arrive pas ou que si cela arrive, les dégâts restent limités. Le résultat fut sans appel : Monetiweb a perdu 85% de ces images (je travaille encore à les recréer mais cela prendra beaucoup de temps) ! Tout ça donc pour vous dire qu’il est primordiale de ne pas négliger ces aspects : cela n’arrive pas qu’aux autres !

Sauvegardez votre bien le plus précieux : vos contenus

La première des choses à faire est de sauvegarder régulièrement ses contenus : les articles, les commentaires, les messages d’un éventuel forum, les pages partenaires, etc…C’est la richesse de votre blog, ce qui crée du trafic, une communauté et le principal élément à mettre en avant lors d’une stratégie de monétisation. Tous ces contenus sont présents dans la base de données du blog. Plusieurs solutions existent pour sauvegarder la base de données : de la plus manuelle (faire un export régulier de la base de données du blog via PHPMyAdmin) à la plus automatique (utiliser un plugin WordPress vous envoyant par mail automatiquement cette sauvegarde de la base de données comme WordPress Database Backup). Certains hébergeurs assurent des back up total de vos espaces et inclut donc la base de données dedans mais cette solution est loin d’être la plus facile à utiliser en cas de soucis.

Sauvegardez les fichiers de votre blog

Comme je vous le disais, voilà un conseil que j’aurais dû appliquer pour éviter de perdre toutes les images de Monetiweb. En effet rien n’est prévu par défaut dans WordPress pour sauvegarder vos fichiers. Si votre hébergeur ne vous propose pas de sauvegarde automatique, c’est donc à vous de vous en occuper. Pour l’anecdote, Google ne garde pas en cache les images (contrairement aux textes), il est donc impossible de récupérer des images une fois qu’elles ont été supprimées. Pour sauvegarder ces fichiers, vous pouvez demander à votre hébergeur de mettre en place des solutions de sauvegarde (moyennant finance en général) sinon vous pouvez utiliser simplement un client FTP pour récupérer l’ensemble de vos fichiers. Si vous êtes sur un serveur virtuel privé ou sur un serveur dédié, vous pouvez facilement programmer des sauvegardes automatiques CRON qui se chargeront de faire une archive ZIP contenant tous vos fichiers. Charge à vous d’aller récupérer régulièrement ces archives ou d’automatiser leur envoi sur un autre FTP. Enfin, sachez qu’il existe même un plugin WordPress permettant de faire des sauvegardes de fichiers en même temps que la base de données : BackUpWordPress.

Mettez à jour votre solution de blog

Les solutions de blogs continuent d’évoluer au fil du temps. Les mises à jour majeures sont essentiellement l’occasion d’apporter de nouvelles fonctionnalités mais les mises à jour mineures sont souvent provoquées par la découverte d’une faille de sécurité dans la version actuelle. Il est donc très important de porter une grande attention à ces mises à jour car dès qu’une faille de sécurité est identifiée, de nombreux pirates vont chercher à trouver quel blog est encore sous la version touchée afin d’utiliser la faille de sécurité pour sévir. Surveillez donc les mises à jour de votre plateforme de blog et prenez le temps de faire les mises à jour rapidement en cas de faille de sécurité corrigée. Le conseil qui en découle est de masquer la version de votre blog à vos visiteurs. Pour cela veillez à ne pas l’afficher dans votre footer par exemple ni dans les balise <head> du blog en supprimant « bloginfo(‘version’) » pour WordPress par exemple ou en utilisant le plugin Replace WP-Version. C’est contraire aux demandes de WordPress mais supprime des risques potentiels… à vous de choisir.

Mettez à jour votre serveur dédié

Dans le cas où vous hébergez votre blog sur une solution de type mutualisée (c’est-à-dire que vous ne disposez chez votre hébergeur que d’une fraction d’un serveur), vous n’avez pas à vous soucier des mises à jour de la machine, c’est votre hébergeur qui en est responsable. En revanche si vous êtes sur un serveur dédié, c’est à vous de veiller à ce que la machine dispose des dernières mises à jour de sécurité sur l’ensemble de ces services. En fonction de la distribution de votre machine, renseignez-vous sur les commandes à exécuter pour lancer les mises à jour et n’oubliez pas de la faire régulièrement (vous pouvez les automatiser via un script avec un peu de pratique)

Sécurisez vos accès à l’admin grâce à du SSL

Par défaut sur WordPress, vous accédez à l’interface d’administration en HTTP ce qui signifie que si quelqu’un de mal attentionné est présent sur votre réseau ou sur le wifi du café dans lequel vous bloguez, il peut être en mesure d’écouter ce que vous faites et de récupérer votre mot de passe par exemple. Pour remédier à cela, vous pouvez installer le plugin Force SSL qui va vous connecter en HTTPS (avec le petit cadenas affiché dans votre navigateur) et ainsi sécuriser vos échanges. Cela nécessite en revanche de disposer déjà d’un certificat SSL parfois fourni avec votre hébergement.

Empêchez l’accès à certains dossiers

Dans l’arborescence des fichiers de votre blog, il existe un ensemble de dossiers dont le contenu ne doit pas être accessible depuis Internet (le dossier contenant vos plugins par exemple). Dans tous ces dossiers il est donc important de placer simplement un fichier « index.html » vide (créez un nouveau document avec le bloc note, laissez son contenu vide et enregistrez le sous le nom « index.html »). Cela permettra d’afficher une page blanche plutôt que le contenu du dossier. Si vous êtes sous WordPress, les dossiers sont /wp-content/ et tous ses sous-dossiers.

Ne conservez pas le compte Admin

Par défaut à l’installation d’un blog, un utilisateur Admin est souvent créé par défaut avec un mot de passe (plutôt court) donné automatiquement. Ce compte peut représenter un risque car un pirate pourrait essayer de trouver le mot de passe par brute-force par exemple (essais successifs de tous les mots de passe possibles). Créez-vous donc un compte avec les privilèges d’administrateur et supprimez le compte Admin. Vous pouvez également ajouter un niveau supplémentaire d‘authentification en installant le plugin AskApache Password Protect qui va ajouter une demande de mot de passe supplémentaire.

Auditez la sécurité de votre blog

L’un des derniers conseils que je peux vous donner est de faire un audit en sécurité de votre blog via des services web externes comme WP Scanner pour WordPress ou via un plugin comme WP Security Scan. Ces solutions vont analyser la structure de votre blog, identifier d’éventuelles failles de sécurité sur votre base de données, sur les droits des fichiers ou sur vos password et vous indiquer les méthodes à mettre en œuvre pour résoudre les problèmes.

Avez-vous d’autres conseils à nous donner ?

15 Commentaires (ajouter le vôtre)
  1. C’est quand je lis ce genre d’article que je me rappelle pourquoi je reste sur Blogger… Je me souviens de l’époque où j’étais sur Joomla et que c’était le stress des failles de sécurité. Content de plus avoir à me soucier de ça ;)

  2. rezrz

    « éviter de perdre toutes les images » => un truc m’échappe… tu n’as pas une copie en local ?

    « Google ne garde pas en cache les images (contrairement aux textes), il est donc impossible de récupérer des images une fois qu’elles ont été supprimées » => il n’y pas que Google dans la vie :-) Archive conserve pas mal de trucs mais pour des sites installés depuis quelques temps (ce qui ne semble pas le cas ici). Les comptes partagés des agrégateurs en ligne sont aussi des véritables machines à conserver le contenu. Peut-être que certains de tes lecteurs ont pris la peine d’archiver dans leur agrégateur chaque billet (fais une annonce). Tu devrais aussi penser à ajouter ton blog dans ton agrégateur et enregistrer chaque billet.

  3. @Monetiweb >> Si vous avez votre blog sur votre serveur avec d’autres sites Internet ou blogs que vous avez également créés (hébergeur avec multidomaines) alors il est importante de créer un utilisateur MySQL pour chaque site avec un different « username » et « mot de passe ». La raison est simple, si quelqu’un arrive à hacker votre blog et avoir accès à votre base de donnée, alors il ne pourra pas avoir accès aux autres bases de donnée (cela serait dommage).

    @ Rezrz >> Il a raison, pourquoi ne pas faire un backup des images et de la base en local… J’utilise le robots.txt pour forcer Google-image robot d’indexer les images sur Google Image, cela marche assez bien et disons que 60% de mes images sont indexés (en thumbnail, généralement). Sinon, le index=archive/noarchives indique seulement à Google s’il vaut offrir un cache de la page sur Google Search.

  4. Loesha

    Merci pour cet article intéressant :)

    Pour apporter ma pierre à l’édifice, pensez aussi à sécuriser votre blog contre les petites applis de crackers (type Gigaload, qui permet de recharger des centaines de fois vos images).
    On trouve facilement des .htaccess à mettre à la racine du site pour se prémunir contre les utilisation malveillantes de ces logiciels (à l’époque sur mon blog, ma bande passante du mois consommée en une nuit à cause d’un petit cracker… ça fait mal en début de mois avec de petits hébergements)

  5. C’est assez compliqué de faire des sauvegardes de base de donnée WordPress car il faut s’y connaître en mysql.
    Je m’y connais, il fallait une fois que je change d’hébergeur alors à ce moment là la galère.
    Les fichiers simples à déplacer passe encore, mais quand il s’agit de base de données, çà devient très vite difficile.
    Alors question sécurité, wordpress paraît tenir la route mais par contre la manipulation de la base de données reste délicate.
    Une fausse petite manoeuvre dans le processus et vous perdez tous vos articles. Aïe.

  6. Je viens de faire un backup (au cas où ^^’).

  7. [...] Sécuriser son blog, sauvegarder ses contenus et éviter les attaques : 9 conseils (tags: wordpress sécurité) [...]

  8. [...] sécurité est un sujet de plus en plus sensible sur les blogs. Suite à l’expérience de Monetiweb, nous proposons aux utilisateurs de WordPress de découvrir un plugin permettant de scanner la [...]

  9. [...] -Sécuriser son blog, sauvegarder ses contenus et éviter les attaques : 9 conseils à voir absolument! [...]

  10. [...] Sécuriser son blog, sauvegarder ses contenus et éviter les attaques : 9 conseils. Via Monetiweb [...]

  11. I agreed with you

  12. Je souhaitais te poser cette interrogation (même si j’ai un sévère doute sur la réponse) : tu parles de wordpress en version installée (c’est-à-dire logiciel) et non embarquée (c’est-à-dire à partir de la plateforme wordpress). Vrai ? Faux ? Dans l’affirmative, envisagerais-tu d’effectuer un travail s&érieux et objectif sur la version embarquée, telle que je l’utilise sur mon blog ? Merci pour ton feed back… potentiel

    Dipoun pour INTELLECT TERRITORIAL (Réussir les concours de la fonction publique – plus de 500 000 visiteurs cumulés !)

  13. Bel article. Très bien expliqué.

    Merci pour ces conseils.

  14. 2P7B3u lkogrpblkobc

© 2006-2014 Frédéric Cozic  
Propulsé par Wordpress sous licence Creative Commons