13

Voici comment nettoyer wordpress piraté par les hackeurs informatique

1. Mettre tous vos fichiers hors ligne (les déplacer dans un dossier non accessible depuis le web).
2. Dans votre interface cPanel, modifiez le mot de passe de votre base de données
3. Télécharger la dernière version WordPress : https://fr.wordpress.org
4. Envoyer les fichiers de la dernière version de WordPress sur votre compte FTP
5. Créer un fichier .htaccess avec le code :

   deny from all
   allow from 1.2.3.4

   (remplacer 1.2.3.4 par votre adresse IP que vous pouvez récupérer sur http://monip.org )

6. Renommez wp-config-sample.php en wp-config.php
7. Ouvrez ce fichier avec un éditeur de texte comme Sublime text editor ou notepad++
8. Renseignez les nouvelles informations de base de donnés et le le prefixe de table que vous avez dans votre base (par défaut wp_ mas il a peut-être été autre chose).
9. Renseignez de nouveaux salt à l’emplacement prévu avec l’URL indiqué dans le fichier wp-config.php
10. Prenez la liste des plugins que vous aviez dans la sauvegarde de votre ancien site (dans le dossier wp-content/plugins et téléchargez les dernières versions sur le site de plugins de WordPress, ou des éditeurs.
11. Envoyez les versions décompressées des plugins dans le nouveau dossier plugins, assurez-vous de ne pas en oublier.
12. Envoyez dans le dossier wp-content/themes une version propre et à jour de votre thème
13. Si vous avez un thème enfant, ouvrez chaque fichier pour vérifier qu’il y a pas eu de code ajouté puis restaurez votre dossier de thème enfant.
14. Demandez à notre support de vérifier pour vous que votre dossier uploads ne contient que des fichiers qui ne sont pas exécutables (pas de PHP ou de cgi, et pas de .htaccess autorisant l’exécution d’un fichier image etc comme script).
15. Demandez à Monarobase de nettoyer votre dossier uploads et de le restaurer pour vous. Aucun autre fichier ne doit être restauré.
16. Connectez-vous  à votre interface admin de WordPress
17. Allez dans la page des plugins et vérifier que vous avez au moins un plugin anti brute force (nous vous conseillons Loginizer qu’il faut installer et activer).
18. Allez dans la page des thèmes et dans l’interface de votre thème et sauvegardez si vous avez cette option dans les paramètres de votre thème.
19. Allez dans la gestion des utilisateurs, changer tous les mots de passe des utilisateurs admin et contrôlez leurs adresses e-mail
20. Allez dans les options Réglages > Permaliens et sauvegardez
21. Vérifiez que tout le site fonctionne
22. Enlevez les lignes deny from all et allow from 1.2.3.4 de votre fichier .htaccess

15

Voici comment renforcer la sécurité de votre site WordPress

WordPress étant l’un des CMS les plus utilisés au monde, il est « tout naturellement » sujet à des attaques massives et fréquentes.
Quand ce n’est pas la plateforme elle-même, ce sont les plugins populaires qui sont touchés (souvenez-vous de Revolution Slider…).
N’attendez pas de vous réveiller un matin face à un site piraté, une page blanche ou un message de votre hébergeur vous annonçant que vous avez dépassé les ressources prévues par votre abonnement suite à une attaque DDoS : renforcez la sécurité de votre site WordPress dès aujourd’hui !
Vous pensez que cela est réservé aux « gros sites » ?
Détrompez-vous : personne n’y échappe.
Bien sûr, être protégé à 100 % est impossible. Mais avec des manipulations préventives, des actions simples et un bon système de protection, vous échapperez déjà à de nombreux problèmes.
Pour vous aider dans vos démarches, j’ai réuni différentes astuces et conseils pour mieux sécuriser WordPress.

Faites des mises à jour régulières et immédiates

C’est l’un des conseils les plus indispensables à suivre : mettez à jour WordPress et vos plugins dès que vous en recevez la notification.

Bien entendu, WordPress sera toujours l’une des cibles d’opérations de piratage. Mais dans la mesure où, à chaque fois que des failles de sécurité sont détectées, cela entraîne des mises à jour de WordPress, vous n’avez pas d’excuse pour ne pas (immédiatement) les implémenter.
Une partie de ces mises à jour peut être automatisée, mais ne négligez aucun message lorsque vous vous connectez à votre tableau de bord.
Ces mises à jour sont importantes, car elles vont bien plus loin que l’ajout de nouvelles fonctionnalités : la plupart d’entre elles résolvent des bugs et des failles de sécurité.
Sur ce point d’ailleurs, si vous voyez que des thèmes ou plugins ne fonctionnent pas avec la version la plus récente de WordPress, ne les installez pas ou changez-les très rapidement. Ils sont a priori peu protégés face aux attaques qui peuvent survenir…

Protégez votre page de connexion (wp-login.php)

Cette page est l’une des cibles les plus courantes des hackers, qui cherchent à forcer l’accès à votre tableau de bord par le biais d’une attaque par force brute. Plus concrètement, il s’agit de tester automatiquement toutes les combinaisons de mots possibles, d’où l’intérêt de bien choisir ses mots de passe.
Pour réduire les risques que cela arrive, vous pouvez bloquer l’accès à wp-login.php ou limiter le nombre de tentatives de connexion.
Si quelqu’un s’acharne à essayer d’entrer dans votre tableau de bord, n’aimeriez-vous pas pouvoir l’empêcher d’agir après plusieurs connexions ratées ?
Le plugin WordPress « Login Lockdown » le permet. Vous pouvez le télécharger ici, ou considérer une alternative comme WordFence, qui comprend beaucoup d’autres fonctionnalités de sécurité.

N’utilisez pas « admin » comme nom d’utilisateur

WordPress l’a longtemps attribué par défaut, ce qui en fait une cible très courante pour les hackers.
Aujourd’hui, lors d’une nouvelle installation, il est désormais possible de configurer immédiatement un autre nom d’utilisateur.
Néanmoins, si vous êtes depuis quelques temps sur le Web, vous avez installé WordPress avant cette option. C’est le moment de trouver un nouveau nom et de supprimer « admin » !
A noter qu’il n’y a pas de risques de perte de contenu, WordPress vous demandant à quel utilisateur attribuer le contenu publié jusque-là par « admin ».

Choisissez des mots de passe complexes

Oui, c’est vrai : si vous travaillez beaucoup en ligne, vous passez une partie de votre temps à réinitialiser des mots de passe oubliés ou à multiplier les déclinaisons autour d’une même base.
Vous le savez probablement déjà :

• Vos mots de passe doivent être complexes et intégrer des majuscules, des minuscules, des chiffres et autres caractères spéciaux (du type « COmplEXes%101 »)
• Ils doivent être variés : n’utilisez pas plusieurs fois le même mot de passe pour différents services
• Ils doivent être changés régulièrement
• Vous devez éviter votre date de naissance ou des mots du dictionnaire…

Mais le faites-vous vraiment ?
N’optez pas pour la facilité. Si vous n’utilisez pas un mot de passe long et complexe, vous compromettez sérieusement la sécurité de votre installation WordPress.
Pour vous aider à générer un mot de passe de qualité, vous pouvez utiliser le site www.strongpasswordgenerator.com.
Enfin, si vous avez des employés ou collaborateurs qui accèdent à votre tableau de bord, soyez intransigeant sur la qualité de leurs mots de passe.

Protégez votre fichier .htaccess

Vous pouvez modifier votre fichier .htaccess depuis votre client FTP (Filezilla par exemple), ou avec le plugin WordPress SEO By Yoast.
Afin de renforcer la sécurité de ce fichier WordPress (en empêchant son accès extérieur), vous pouvez ajouter les lignes de code suivantes :

<Files .htaccess>
order allow,deny
deny from all
</Files>

C’est depuis ce même fichier (et sur la même base) que vous pouvez en fait protéger n’importe quel dossier de votre installation, à l’exemple de wp-config (qui contient vos données de connexion):

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Sécurisez wp-includes

Toujours dans votre fichier .htaccess, ajoutez ces quelques lignes extraites du Codex WordPress :

# Block the include-only files.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ - [F,L]
RewriteRule !^wp-includes/ - [S=3]
RewriteRule ^wp-includes/[^/]+.php$ - [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php - [F,L]
RewriteRule ^wp-includes/theme-compat/ - [F,L]
</IfModule>
# BEGIN WordPress

Masquez votre version de WordPress

Même si cette manipulation n’empêche pas les attaques, vous augmentez la sécurité de votre installation WordPress, en empêchant de pouvoir très facilement identifier la version WordPress utilisée.
Pour cela, ouvrez votre fichier functions.php et ajoutez-y une fonction :

function masquer_version() {
return '';
}
add_filter('the_generator', 'masquer_version');

Elle vous permettra de masquer la version de votre WordPress à différents endroits de votre site, et pas seulement au niveau du header.

Empêchez les internautes d’accéder à votre répertoire de fichiers

Lorsque vous ajoutez /wp-content/uploads (ou autre) à l’URL d’un site WordPress non protégé, voici ce à quoi vous pouvez avoir accès :

Pour éviter que des personnes ne parcourent vos dossiers de la même manière, ajoutez ces lignes à votre fichier .htaccess :

# Disable directory browsing
Options All -Indexes

Utilisez les bonnes permissions pour vos dossiers et fichiers pour mieux sécuriser WordPress

Il est important de bien configurer vos « files permissions », que vous avez peut-être déjà croisées : 755, 644, 600…
Ces nombres déterminent les droits liés aux différentes composantes de votre site : écrire, lire, exécuter… et surtout, qui peut le faire.
Pour sécuriser WordPress au maximum, vous devez en éviter certaines et leur en préférer d’autres.
Par exemple, un répertoire de fichiers avec une permission de 777 risque de permettre à des tiers de modifier votre site ou d’y injecter leurs propres fichiers.
D’après WordPress, vous devriez par exemple privilégier les permissions suivantes :

• 755 pour un dossier
• 644 pour un fichier
• 400 pour wp-config.php

Vous pouvez changer les permissions depuis votre client FTP (Clic droit > File Permissions) ou dans votre manager de fichiers, selon votre type d’hébergement.

Limitez le hotlinking de vos images

Vous ne vous en êtes peut-être jamais aperçu, mais de nombreux sites se font non seulement voler leurs images, mais aussi une partie de leur bande passante.
Cette pratique a un nom : le hotlinking. Concrètement, un site diffuse votre contenu tout en continuant à l’héberger chez vous et généralement sans vous créditer.
Pour limiter les dégâts, vous pouvez ajouter ces lignes à .htaccess :

# Empêche le hotlinking image. Remplacez les URLs avec les vôtres
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votresite.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www.)?votreautresite.com [NC]
RewriteRule .(jpg|jpeg|png|gif)$ http://i.imgur.com/MlQAH71.jpg [NC,R,L]

La dernière ligne renvoie l’image que vous voulez faire afficher en cas de tentative de hotlinking. Que pensez-vous de celle-ci ?

Protégez le fichier .htaccess lui-même

Pour cela, ajoutez-lui les lignes suivantes. Ce code apporte une protection plus forte que le code présenté plus haut, car il empêche l’accès à tout fichier contenant “HTA”, “hta” ou n’importe quelle combinaison de casse de ceux-ci (l’autre code protégeant uniquement l’accès à la combinaison “htaccess”) :

# protège htaccess
<Files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Changez le préfixe de votre base de données WordPress

Votre base de données est indispensable à votre site WordPress. Le problème est que c’est l’une des cibles favorites des hackers, qui tentent notamment d’y effectuer des injections SQL.
Prévenir une attaque dans son intégralité est difficile. Mais vous pouvez leur compliquer la tâche en modifiant le préfixe par défaut (wp_).
N’hésitez pas à visionner cette vidéo pour bien comprendre la marche à suivre :

Si vous êtes déjà à l’aise avec les manipulations qui touchent à votre base de données, rendez-vous directement dans PhpMyAdmin !

Scannez régulièrement votre site ou investissez dans une solution complète de nettoyage

Si certaines attaques se voient immédiatement, d’autres sont plus insidieuses. Heureusement, des solutions existent pour surveiller votre site, afin de détecter d’éventuelles intrusions ou anomalies.
La plupart ne se contentent pas de scanner votre site, mais aussi de le sauvegarder régulièrement (voire quotidiennement) et de nettoyer votre installation WordPress en cas de souci.

• CodeGuard

CodeGuard est une bonne solution pour sauvegarder automatiquement votre site WordPress et le restaurer en quelques clics si un problème survient (pas nécessairement suite à une attaque, d’ailleurs).
En cas d’anomalie, vous êtes immédiatement alerté.

Site Internet – A partir de 3 $ / mois, selon l’offre choisie et la durée d’engagement

• Sucuri

Sucuri est l’un des leaders dans le domaine de la sécurité WordPress. En plus de son scan gratuit (que vous pouvez tester à cette adresse), il permet de surveiller et nettoyer votre installation.

Site Internet – A partir de 199 $ / an

• Theme Authenticity Checker (TAC)

Theme Authenticity Checker scanne votre installation pour voir si votre thème abrite des lignes de code malicieux qui ne devraient pas être là. Il n’est pas là pour résoudre le problème, mais vous révèle l’emplacement exact de l’anomalie. Et si WordPress incluait un jour cette fonction ?

Page du plugin
Vous pouvez aussi regarder du côté de VaultPress, l’un des experts en sécurité WordPress.
Enfin, le plugin Block Bad Queries vous aidera à lutter contre les requêtes mal intentionnées lancées contre votre site.

Utilisez une connexion SFTP (plutôt que FTP)

Lorsque vous vous connectez à votre serveur, privilégiez le protocole SFTP (Secure File Transfer Protocol), qui est la même chose que FTP, mais en plus sécurisé.
Si vous avez un doute, demandez à votre hébergeur de vous renseigner.

Empêchez des utilisateurs fictifs de spammer votre site de membres

Si vous avez installé BBPress ou BuddyPress, vous ne connaissez que trop bien le problème des inscriptions « spam » d’utilisateurs aux pseudos douteux.
Il n’existe pas de solution miracle, mais vous pouvez vous tourner vers les plugins WangGuard ou Stop Spammers Spam Prevention.
 

Sauvegardez régulièrement votre site

Bien sûr, ce point ne renforcera pas la sécurité de votre site WordPress en tant que telle, mais au-delà d’éviter des pertes de données, vous pourrez rapidement réagir en réinstallant un site propre après un piratage.
Parmi les solutions robustes à votre disposition, vous pouvez utiliser UpdraftPlus, VaultPress, BackUpBuddy ou encore WordPress Backup to Dropbox.

Pour finir…

Avec cette première liste de techniques, vous devriez déjà pouvoir considérablement renforcer la sécurité de votre installation WordPress.
Vous avez des questions, remarques, solutions ou autres astuces à partager pour mieux sécuriser WordPress ? Laissez un commentaire dès maintenant !
Crédit photo : David Goehring

15

COMMENT SÉCURISER SON SITE WORDPRESS EN QUELQUES CLICS ?

Le CMS (Système de Gestion de Contenu) WordPress a été lancé en 2003, plus de 20% des sites utilisent ce logiciel. En France, plus de 80% des blogs français seraient sur WordPress, il s’agit du CMS le plus populaire au monde.
Cette popularité attire malheureusement les pirates informatiques qui profitent de la moindre faille pour avoir une totale emprise sur votre blog. En mars dernier, en raison d’une faille sur le plug-in Yoast WordPress SEO plus d’un million de sites WordPress étaient exposés à des attaques par injection SQL. Voici donc quelques étapes pour vous aider à sécuriser votre site WordPress contre les différentes attaques.

Les types de piratage possibles sur votre site WordPress

La redirection de votre nom de domaine

Il peut arriver que lorsque vous souhaitez accéder à votre site web vous atterrissez sur un autre site qui n’a rien à voir avec le vôtre. Il s’agit là d’une redirection de votre nom de domaine vers le site du pirate informatique.

La redirection des URL de votre site web

Les pirates peuvent également changer le fichier htaccess de votre site ce qui leurs permet d’effectuer une redirection de certaines de vos URL vers les leurs.

Javascript et Iframe

Il est également possible que les pirates modifient le code de vos pages en cachant au sein de celui-ci des iframes pour afficher un site malveillant. Il peuvent aussi rediriger vos visiteurs vers un site malveillant en modifiant le code en javascript.

La perte ou la suppression des données de votre site WordPress

L’un des scénarios catastrophe est la suppression de votre site web. Les pirates prennent alors le contrôle de votre base de données et suppriment tout ! Si vous n’avez pas effectué de sauvegarde de l’intégralité de votre site (base de données, articles, thème, pages etc.) impossible de récupérer votre site… Pour éviter ceci nous vous conseillons de suivre les étapes ci-dessous.
 

Comment sécuriser mon site WordPress en quelques étapes ?

Sauvegardez votre site WordPress

La première chose à faire est de sauvegarder régulièrement votre site afin de vous prémunir contre la perte de données. Suivez nos étapes pour sauvegarder votre site web depuis le panel utilisateur LWS

Mettez à jours vos extensions

Une bonne partie des sites qui se font hacker n’ont pas effectué de mises à jour régulières. Il faut savoir que chaque mise à jour WordPress que vous effectuez apporte des améliorations en termes de sécurité et il en va de même pour vos plugins.
Avec les formules d’hébergement WordPress LWS vous avez toujours accès aux dernières versions du logiciel disponible en installation en 1 clic.

Utilisez des mots de passes sécurisés

Comme vous le savez sans doute déjà il est fortement déconseillé d’utiliser un mot de passe faisant référence à votre vie privée (date d’anniversaire, prénom de vos proches, numéro de département…). Il est également important d’utiliser un mot de passe unique pour vos différents comptes.
Pour un mot de passe sécurisé celui-ci doit être constitué d’au minimum 8 caractères composé de chiffres et lettres minuscules et majuscules.

Créez un nouveau compte Admin

WordPress vous propose par défaut de créer un compte intitulé « Admin » lors de l’installation. Si vous ne changez pas cet identifiant commun vous facilitez la tâche au hacker car celui-ci n’a plus qu’à trouver votre mot de passe…

Modifiez le préfixe « wp_ »

Le préfixe attribué par défaut à votre base MySQL lorsque vous installez un site WordPress est « wp_ ». Ce préfixe peut être vulnérable en cas d’injection SQL. Pour changer le préfixe vous pouvez utiliser le plugin WP Security Scan.

Bloquez les attaques de type « brute force »

Afin de bloquer les attaques « brute force » nous vous conseillons le plugin Limit Login Attempts qui permet de restreindre le nombre de tentatives d’accès à votre site web et de réserver l’accès seulement à certaines adresses IP.
Le plugin Ultimate Security Checker vous permet de faire une analyse des améliorations à effectuer en termes de sécurité sur votre site WordPress.

Protégez l’accès au wp-config.php via .htaccess

Afin d’empêcher le hacker de récupérer votre identifiant et mot de passe nous vous conseillons d’ajouter la ligne suivante à votre fichier .htaccess (situé à la racine de votre serveur FTP) :

Masquez la version de votre site WordPress

Un hacker pourra facilement identifier les failles de votre version WordPress, d’où l’intérêt de mettre à jour régulièrement votre logiciel. Pour masquer le numéro de version de votre site WordPress suivez les procédures suivantes :
Ouvrez votre fichier functions.php à partir du menu « Apparence » puis sélectionnez « Editeur »
Ajoutez ce code :

Ouvrez ensuite votre site WordPress sur un navigateur puis vérifiez le code source de la page.
Si une ligne de code ressemblant à celle-ci : 
apparaît ouvrez le fichier header.php de votre thème puis supprimez la ligne suivante :

Sauvegardez le fichier puis actualisez.
Il est également important de supprimer le fichier readme.html car celui-ci affiche le numéro de version de votre site WordPress (ce fichier se trouve à la racine de votre site).

Profitez d’un hébergement web fiable avec nos formules d’hébergement WordPress 3VISION-GROUP !

14

COMMENT PROTÉGER SON CMS WORDPRESS, JOOMLA et DRUPAL CONTRE LE PIRATAGE ?

Développer la sécurité d’un site web est semblable à une relation Yin-Yang. Plus les pirates tentent d’avoir accès, plus la sécurité se renforce. Plus la sécurité est renforcée, plus les pirates tentent d’accéder. C’est un processus continu où une entité essaie constamment de surpasser l’autre.
Où se situe votre site en terme de sécurité ? Il est difficile d’estimer quel est son niveau de sécurité, mais vous pouvez faire de votre mieux pour le sécuriser autant que possible. En raison de la nature de la plupart des CMS populaires, les pirates arrivent souvent à déjouer les systèmes de sécurité mis en place. Toutefois, les organisations qui développent les CMS tels que WordPress, Joomla et Drupal travaillent constamment à corriger ces failles.
Voici les points clés pour protéger au maximum vos sites réalisés avec ces CMS.

Supprimer l’interface de connexion en page d’accueil

De nombreuses attaques sur les sites CMS sont causées via l’interface de connexion. Par défaut, la plupart des systèmes placent cette méthode de connexion sur la page d’accueil. Bien qu’il puisse être utile pour vos utilisateurs, cet élément peut être une cible pour les pirates et les robots.
La plupart des outils CMS vous donnent la possibilité de supprimer cette connexion avec une simple case à cocher. WordPress et Joomla vous offrent la possibilité de retirer la fenêtre de connexion à partir des outils du système.
Que faire si vous avez des auteurs qui ont besoin de cette fenêtre de connexion pour votre site web ? Il est beaucoup plus sûr de leur proposer de se connecter au système via l’admin back-end que dès la première page. Des systèmes tels que WordPress sont parfaits pour faire en sorte de gérer les droits de vos utilisateurs.

Verrouiller la connexion à l’admin

Certains systèmes de gestion de contenu ont des plugins disponibles qui aident à protéger la page de connexion admin. Par exemple, vous pouvez installer un plugin qui va verrouiller la page
d’administration si quelqu’un essaie à plusieurs reprises de renseigner un mot de passe erroné à partir d’une adresse IP spécifique. Cela rend beaucoup plus difficile pour un pirate de lancer une attaque brute-force comme il ou elle doit changer en permanence son adresse IP après de multiples tentatives.
Nous vous conseillons de télécharger le plugin WordPress Login LockDown pour sécuriser les accès sur votre site.

Ne pas utiliser « admin » par défaut

Le nom d’utilisateur par défaut « admin » est l’un des plus courants. Lorsque vous installez un nouveau système, nous vous conseillons fortement de créer un nouvel ID unique pour le contrôle administratif.
Certains propriétaires de site vont jusqu’à supprimer le nom « admin » par défaut après la création d’un nouveau nom d’utilisateur afin d’éliminer les risques d’attaque.

Cacher le dossier WP-Includes

Savez-vous que le dossier « / wp-includes » est accessible au public dans de nombreux cas d’installations WordPress ? Cela montre l’ensemble des plugins de votre version WordPress. Il peut également montrer les failles que les pirates peuvent utiliser pour attaquer votre site. Le moyen facile de masquer ces informations est d’ajouter un fichier « index.html » vide dans votre dossier « / wp-includes ». Cela permet aux navigateurs de charger l’index automatiquement tout en cachant les fichiers et dossiers qui se trouvent dans ce répertoire. Pour ce faire il suffit de créer une nouvelle page dans le Bloc-notes, l’enregistrer comme « index.html » et la transférer dans le dossier « / wp-includes ».

Plugins, thèmes et autres add-ons

Plugins, modules et thèmes font tous partie des caractéristiques du CMS. Ce sont des outils qui vont vous permettre de personnaliser votre site au maximum. Les thèmes sont utilisés pour modifier l’apparence générale de votre site. Cependant, ces différents éléments peuvent également inclure un codage malveillant qui peut être une porte d’entrée aux pirates.
Bien que les organisations qui régissent ces divers systèmes de gestion font de leur mieux pour éliminer ces modules non sécurisés, il peut arriver que vous tombiez sur un module corrompu. Il est toujours préférable de rechercher le développeur et un maximum d’informations sur le module avant de l’installer.

Se protéger contre les commentaires spams

Les systèmes donnant la possibilité de laisser des commentaires sur votre site sont souvent la cible de hackers ou robots. Nous vous conseillons donc d’utiliser un plugin spécifique pour renforcer la sécurité de ce système. Par exemple, les plugins tels que Livefyre ou Disqus sur WordPress ajoutent une protection supplémentaire contre le spam, car ceux qui laissent des commentaires doivent se créer un compte. Les formes les plus avancées de captcha peuvent être également utiles contre les robots.

Analyser régulièrement ses fichiers systèmes

C’est toujours une bonne idée d’exécuter des analyses de routine des fichiers systèmes dans une application CMS. Bien que votre fournisseur d’hébergement peut avoir son propre logiciel de sécurité, vous pouvez la renforcer en utilisant votre propre système. Cela pourrait aider à éliminer les menaces laissées par les logiciels malveillants, ce qui réduit le risque d’être piraté. Certains systèmes de gestion de contenu ont des plugins disponibles qui gardent votre site Web à l’abri de telles attaques.

Garder son site à jour

Sauf si vous utilisez un CMS qui date et n’assure plus des mises à jour régulières, vous devez toujours garder votre système à jour. Avec WordPress et Joomla vous pouvez effectuer vos mises à jour automatiquement en 1 clic depuis l’interface d’administration. Ces mises à jour sont vitales pour la sécurité du site et contribuent à prévenir les piratages. Les développeurs de ces CMS vont apporter des corrections et des réparations au niveau du code pour éliminer les failles découvertes.
A lire : Comment sécuriser son site WordPress en quelques clics ?
Même les petits sites qui n’ont que 20 visiteurs par mois peuvent être ciblés par les pirates et utilisés à des fins malveillantes. Ne pensez pas que votre site n’est pas assez important pour être protégé. Il pourrait être utilisé pour envoyer du spam, voler des informations personnelles et bien plus encore.
Vous devez donc prendre toutes les mesures possibles pour vous assurer que votre site dispose d’une protection optimale.

15

Comment mettre des emojis dans le nom de votre réseau wifi (SSID) ? LIVEBOX OU ROUTEUR

J’étais en train de jouer avec des emojis quand je me suis dit que ce serait cool d’en avoir dans le nom de mon réseau Wifi. J’ai une Livebox, donc je me suis tout simplement connecté à l’admin web de celle-ci et je suis allé dans les options Wifi pour changer le nom du SSID.
Naïvement, j’ai copié un émoji (un petit volcan) à partir de cette liste et je l’ai collé dans le champ prévu à cet effet et j’ai cliqué sur le bouton « Enregistrer ».
Et là, paf message d’erreur me disant que le SSID est invalide.

Merde, la Livebox n’aime pas les emojis. Pas cool.
Mais vous me connaissez, je ne suis pas du genre à baisser les bras. J’ai donc commencé à regarder les javascripts de la page de la Livebox, en tentant de contourner quelques IF mais malheureusement, je ne suis pas arrivé à mes fins avec cette méthode.
Alors plutôt que de perdre du temps, je suis passé en mode bourrin. J’ai installé Fiddler sous Windows (sous Mac, je n’arrive pas à l’installer… bien qu’installée, la commande « mono » ne veut pas apparaitre… Pas creusé encore.) et j’ai commencé à analyser le trafic de la page. Pour ceux qui ne connaitraient pas, Fiddler est un proxy pour debugger du web. Donc voir les requêtes qui passent et les modifier.
Pour repérer la requête POST à modifier, j’ai changé le SSID (avec un nom tout simple qui fonctionne), et j’ai localisé la ligne correspondante dans Fiddler. La capture est un peu petite, donc je vous mets la ligne :

POST /sysbus/NeMo/Intf/wl0:setWLANConfig HTTP/1.1

Vous verrez le contenu de la requête POST en cliquant sur l’onglet RAW. Si c’est bon pour vous, pour l’éditer, faites un clic droit sur la ligne correspondante et cliquez sur »Unlock for Editing »

Et voilà, maintenant vous avez la main sur le contenu et vous pouvez le modifier. Vous verrez que, peut-être, le nom du SSID est présent 2 fois. C’est parce que vous avez 2 réseaux… Le premier c’est celui en 5 Ghz et le second c’est celui en 2,4 Ghz. Sur certains appareils plus anciens qui utilisent uniquement du 2,4 Ghz, il est possible de rencontrer des soucis de connexion, vous pouvez donc mettre des emojis uniquement dans le premier SSID et mettre un nom normal au second SSID comme ceci :

Ensuite, une fois que vous avez modifié le nom des SSID, y’a plus qu’à appuyer sur le bouton REPLAY de Fiddler pour rejouer le POST modifié.

Et voilà !!! Comme vous pouvez le voir dans mon interface Livebox, le nom est bien changé avec de jolis petits volcans.

Et tadaaaaaa !

Alors, elle n’est pas belle la vie ?
Bon, c’est totalement bourrin, mais ça fonctionne et ça devrait aussi passer sur d’autres types de box comme les Bbox de Bouygues, Freebox ou les Box SFR si elles ne supportent pas les emojis (je n’ai pas testé).

13

Voici comment héberger gratuitement et de manière pro son site internet

AfrofreeHosting, c’est l’entreprise qui fournit ce service professionnel gratuitement. Si vous avez une idée que vous désirez matérialiser sur Internet, plus de crainte. Afrofree Hosting vous offre un hébergeur made in France pour soutenir votre projet.
Avec AfrofreeHosting, vous pourrez facilement gérer votre plateforme via Ispconfig. Le support technique vous est inclus. Et si vous passez  LA COMMANDE, la livraison et la mise en place se fait en 24 heures au maximum.
L’équipe AfrofreeHosting se charge de la mise à jour quotidiennement. Vous pouvez prendre contact aussi avec nos téléconseillers pour plus d’infos.
Email [email protected]

13

Comment autoriser les sources inconnues sur Android ?

L’installation d’applications hors Google Play Store (sur Internet, sur un store alternatif, sur Samsung Apps, etc.) nécessite de modifier les paramètres du téléphone, de façon à autoriser l’installation d’applications en provenance de sources dites « inconnues ».
Déroulez la barre de notifications, sélectionnez Paramètres → onglet Général → Sécurité puis cochez Sources inconnues.

• Vérifier les applications : Google inspecte le fichier .apk que vous vous apprêtez à installer. Il s’agit d’un service qui scanne l’application, peu importe d’où elle provient : trouvée sur Internet, sur un market alternatif, donnée par un ami, etc. Si menace il y a, vous serez averti par un message explicite et ne pourrez installer l’application. Nous vous invitons donc à garder cette option cochée !
• Mod. niveau de sécurité : sélectionnez le niveau concerné par la politique de sécurité.

L’un des risques à installer une application trouvée sur Internet est qu’elle soit modifiée, afin de récupérer des informations confidentielles (identifiants/mots de passe, contacts, SMS) ou à envoyer des SMS à des services surtaxés.

12

LOI CNIL: Comment vraiment respecter la loi AVEC COOKIE? INFORMATION 3Vision-group

Vous n’êtes pas sans savoir que la loi impose maintenant à tous ceux qui font le Net, d’informer les internautes de la présence de cookies sur leur site ou leur application. Et c’est pour cela, que vous voyez maintenant partout, des barres d’information toutes moches, destinées à recueillir le consentement des internautes.
En tant qu’éditeur de site, votre rôle est donc d’informer les internautes de la raison d’être de vos cookies, d’obtenir leur consentement et de leur fournir un moyen de les refuser. Ça, c’est ce qu’explique la CNIL sur son site.
Et une fois ce consentement obtenu, vous l’avez pour une durée de 13 mois maximum. Après cela, il faudra le re-demander à l’internaute.
Les cookies qui nécessitent le consentement de l’internaute sont :

• Les cookies liés aux opérations publicitaires
• Les cookies des réseaux sociaux générés par les boutons de partage de réseaux sociaux
• Les cookies de mesure d’audience (enfin, pas tous. Piwik en est exempté par exemple)

Les cookies qui ne nécessitent pas le consentement de l’internaute sont :

• Les cookies de « panier d’achats » pour les sites marchands
• Les cookies  » identifiants de session « , pour la durée d’une session, ou les cookies persistants limités à quelques heures dans certains cas
• Les cookies d’authentification
• Les cookies de session créés par un lecteur multimédia
• Les cookies de session d’équilibrage de charge (« load balancing »)
• Certains cookies de mesure d’audience exemptés comme Piwik ou certaines solutions Xiti (AT Internet)
• Les cookies persistants de personnalisation de l’interface utilisateur.

La seule chose à retenir, c’est que tant que l’internaute n’a pas donné son consentement, vous n’avez pas le droit de lui déposer un cookie ou de lire un cookie existant (hormis ceux autorisés par la réglementation).
Ça part d’un bon sentiment, seulement, voilà… Ça a été pensé à l’arrache et c’est le bordel à appliquer.
Personne n’y comprend rien et techniquement, pas grand monde ne sait clairement comment bloquer un cookie avant qu’il n’arrive chez l’internaute. Que ce soit la CNIL, ou les initiatives privées comme celle de Google, ça reste très vague techniquement. La plupart des « webmasters » ne savent pas trop comment faire et ne comprennent pas forcément l’intégralité du périmètre de cette loi.
Beaucoup d’articles techniques sur le sujet sont à côté de la plaque et les internautes sensibilisés par TF1 sur la thématique, ne se rendent pas forcement compte des difficultés techniques qu’il y a à respecter cette loi sur les Cookies. J’en ai encore eu un beau spécimen la semaine dernière qui répétait bêtement sans vraiment tout comprendre que « les trackers c’est mal« , et peu importe les arguments qu’on peut avancer en tant qu’éditeur de site, on passe forcement pour un gros enfoiré de la World Company qui veut sucer les données personnelles des visiteurs de son site.
Bref, tout ça pour dire que ce n’est pas simple et c’est pourquoi la plupart des sites se contentent d’un message d’information simple, avec des boutons Oui / Non. Mais ce message ne bloque en aucun cas les cookies en amont.
Ce que je vous propose donc, aujourd’hui, vu qu’aucun organisme officiel n’est foutu de faire son boulot correctement pour nous expliquer clairement le truc, c’est de vous détailler comment VRAIMENT bloquer les cookies sur un site WordPress (mais ça peut aussi le faire sur n’importe quel site / CMS) pour être VRAIMENT raccord avec la loi.
 
Il utilise jQuery.cookie pour récupérer la valeur du cookie cc_cookie_accepted ou cc_cookie_declined afin de déterminer si oui ou non l’internaute a accepté les cookies.
Votre mission, ça va être de filtrer tous les scripts (internes ou externes) sur vos pages qui créent ou consultent des cookies, grâce au code suivant :

if($.cookieCuttr.accepted) {
// Et ici c'est votre code qui créé des cookies.
}

Notez que si vous utilisez le plugin WordPress Cookie Notice, vous pourrez aussi faire cette vérification de cookies avec le code suivant :

if ( function_exists('cn_cookies_accepted') && cn_cookies_accepted() ) {

// Et ici c'est votre code qui créé des cookies.

}

Dès que CookieCuttr est en place, vous devriez voir un message comme ceci avec un beau bouton Oui / Non :
Bien entendue les sites de nos clients et de les nôtres respectent cette charte .

 

CONFIEZ VOS PROJETS WEB À 3VISION-GROUP