10 conseils pour se faire hacker un blog WordPress
27 juillet 2010
Après trois attaques en un peu plus de 6 mois sur l’un des blogs que j’édite et que j’administre, je tenais à vous prodiguer 10 conseils pour vous faire hacker votre blog WordPress. Retour sur expérience.
- Laissez les informations relatives à la version de WordPress et au thème utilisé. Mieux… tâchez de le crier à tue-tête.
- Dites publiquement les extensions que vous utilisez pour votre blog WordPress. Plus subtil, faites un billet sur les extensions que Vous recommendez.
- Utilisez le plugin Exec-Php là où la raison vous conseillerait d’utiliser les templates ou modèles de page !
- En laissant actif le compte admin, vous vous rendrez compte de l’efficacité des techniques d’attaque en force brute.
- Considérez que le plugin User Locker, c’est pour les autres.
- Parce que vous êtes généreux, donnez à tout le monde le droit à s’enregistrer en contributeur, auteur ou éditeur afin qu’il puisse télécharger des scripts pour les exécuter.
- Autorisez l’exécution de scripts PHP dans le répertoire des uploads.
- Dites sur votre blog que vous partez en vacances et que vous interrompez l’édition de votre blog.
- Ayez de solides ennemis mécontents du référencement que vous leur infligez.
- Choisissez enfin OVH comme hébergeur de vos blogs WordPress dont les techniciens ne savent pas faire la distinction entre des attaques de type déni de service et un script Php long à s’exécuter !
Je voudrais remercier tout particulièrement ces gens qui contribuent par leur bêtise la plus crasse, chaque jour, à nous rendre pugnace et encore meilleur. A la fois, de tels abrutis (commanditaires et commandités), on s’en passerait bien volontiers.
Ajout au 3/9/2010
Je reprends à mon compte les conseils publiés par David sur son blog. David travaille sur SPIP.
- ne téléchargez pas votre moteur de blog et les extensions depuis un site officiel et clean. Préférez un site bien pourrit bourré de virus et de malwares,
- mettez bien en évidence le nom du moteur de blog que vous utilisez,
- n’oubliez surtout pas de mentionner également la version de ce moteur de blog ou de votre CMS,
- faites de même concernant votre thème, template, modèle,
- ne faites jamais de mise à jour, surtout pas les mises à jour de sécurité, on se demande bien à quoi ça sert,
- mettez plein d’extensions, faites en une liste et surtout pour les extensions aussi ne faite pas de mises à jour,
- pour le compte administrateur, utilisez un login comme admin, god… et faites en sorte de mettre des mots de passe très simples (pareil pour l’accès ftp). Si lors de l’installation on vous donne un mot de passe basique ne le changez pas.
- encore mieux, laissez toute personne s’inscrire comme administrateur avec un accès total aux fonctionnalités du blog,
- donner vos dates de vacances sur votre blog, mettez les aussi sur Facebook, faites un message sur Twitter. Vous pouvez aussi donner votre adresse physique comme cela vous allez avoir droit à la totale pendant votre absence.
- faites en sorte que les droits d’accès pour vos fichiers permettent à toute personne de lire et d’écrire où elle le souhaite (mettez tout en chmod777),
- allez sur des forums où vous avez de fortes chances de croiser des pirates et dites leurs que ce sont des gros nazes et que votre blog est super bien protégé (encore mieux lancé leur un défi),
- ne soyez pas curieux, ne vérifiez jamais si un compte a été rajouté, si des fichiers semblent avoir été modifiés, si la base de données comporte des données qui n’ont rien à y faire.