10 conseils pour se faire hacker un blog WordPress

Après trois attaques en un peu plus de 6 mois sur l’un des blogs que j’édite et que j’administre, je tenais à vous prodiguer 10 conseils pour vous faire hacker votre blog WordPress. Retour sur expérience.

  1. Laissez les informations relatives à la version de WordPress et au thème utilisé. Mieux… tâchez de le crier à tue-tête.
  2. Dites publiquement les extensions que vous utilisez pour votre blog WordPress. Plus subtil, faites un billet sur les extensions que Vous recommendez.
  3. Utilisez le plugin Exec-Php là où la raison vous conseillerait d’utiliser les templates ou modèles de page !
  4. En laissant actif le compte admin, vous vous rendrez compte de l’efficacité des techniques d’attaque en force brute.
  5. Considérez que le plugin User Locker, c’est pour les autres.
  6. Parce que vous êtes généreux, donnez à tout le monde le droit à s’enregistrer en contributeur, auteur ou éditeur afin qu’il puisse télécharger des scripts pour les exécuter.
  7. Autorisez l’exécution de scripts PHP dans le répertoire des uploads.
  8. Dites sur votre blog que vous partez en vacances et que vous interrompez l’édition de votre blog.
  9. Ayez de solides ennemis mécontents du référencement que vous leur infligez.
  10. Choisissez enfin OVH comme hébergeur de vos blogs WordPress dont les techniciens ne savent pas faire la distinction entre des attaques de type déni de service et un script Php long à s’exécuter !

Je voudrais remercier tout particulièrement ces gens qui contribuent par leur bêtise la plus crasse, chaque jour, à nous rendre pugnace et encore meilleur. A la fois, de tels abrutis (commanditaires et commandités), on s’en passerait bien volontiers.

Ajout au 3/9/2010

Je reprends à mon compte les conseils publiés par David sur son blog. David travaille sur SPIP.

Sécurité  / Wordpress