WordPress : Notification si quelqu’un se connecte sur l’admin

Alerte de connexion � l’administration de WordPressPour augmenter la s�curit� de son site internet WordPress, nous avons choisi d’�tre averti en cas de logging d’un administrateur sur le backoffice de WordPress.

Recevoir une notification si un administrateur se connecte sur votre site WordPress vous permettra de r�agir rapidement en cas d’attaque !

Alerte de connexion sur l’admin WordPress

Le plugin WordPress que nous utilisons s’appelle tout simplement “Email notification on admin login“. Il fonctionne � merveille, voir la capture d’�cran en haut de l’article.

Vous n’avez qu’� l’installer et il fait tout tout seul !

Configurer le plugin d’alerte de connexion � l’administration de WordPress

Le plugin tr�s simple comporte deux fichiers situ�s dans :

/wp-content/plugins/email-notification-on-admin-login/

Changer le destinataire de l’adresse e-mail de notification de connexion

Ligne 13 du fichier config.php, la ligne suivante permet d’utiliser l’e-mail du responsable du site :

 define("ADMIN_EMAIL", "$admin_email");

Vous pouvez remplacer “$admin_email” par une autre adresse e-mail.

Personnaliser la notification de connexion � l’administration de WordPress

Dans le fichier index.php, vous trouverez sous format texte le message du plugin de notification de connexion WP.

$message = <<<MESSAGE
 An admin logged in your WordPress website {$website_name} on {$get_time_of_login}
 with the IP: {$get_ip}
MESSAGE;

Vous pouvez am�nager cela comme vous voulez, tant que vous gardez les variables.

29 mai 2017

WordPress : D�sactiver WP REST API (faille de s�curit�)

D�sactiver WordPress REST API

D�sactiver WordPress REST API est la chose � faire pour �viter les probl�mes de s�curit� � venir sur WordPress > 4.6. En effet les derni�res failles WordPress concernent cette API ouverte.

WordPress a choisi de mettre en ligne sa WP REST API et son protocole XML RPC depuis la version 3.5.�Ils servent � des applications de communiquer avec votre site internet WordPress, le c�l�bre plugin JetPack s’en sert.

Certaines th�mes (r�cents) s’en servent aussi. Alors une fois l’API REST de WordPress d�sactiv�e, pensez � v�rifiez que votre site est bien fonctionnel !

Pourquoi autoriser la WP REST API est dangereux ?

Dans les architecture logiciel actuelles (c’est la mode), les d�veloppeurs codent avec un c�t� front (ce que l’utilisateur voit) et un c�t� back (ce avec quoi l’utilisateur interagi (base de donn�es, articles…)). Une API REST sert justement � cette architecture, on propose au front une interface pour communiquer avec le back.

Jus-qu�il y a quelques ann�es on utilisait tout sur le m�me projet pour les projets web, cette nouvelle approche apporte une grande flexibilit�, mais un peu moins de s�curit�…

D�sactiver WP REST API sur son site internet WordPress

Un simple plugin pour d�sactiver l’API WordPress

Si vous ne souhaitez d�sactiver que l’API REST de WordPress, cette option�est toute trouv�e pour vous.

D�sactiver WP REST API WordPress — D�sactiver la REST API de WordPress pour les utilisateurs non enregistr�s

https://fr.wordpress.org/plugins/disable-json-api/

Attention, car ce plugin ne d�sactive que le REST API WP pour les utilisateurs anonymes, si un bot s’est inscrit sur votre site internet les failles seront toujours exploitables.

SecuPress, d�sactiver l’API REST de WordPress

SecuPress est un tr�s bon plugin de s�curit� dont nous avions parl�s dans notre article “Les meilleurs plugins gratuits de WordPress en 2017“.

Dans SecuPress > Modules > Donn�es sensibles, cochez les deux cases :

D�sactiver toutes les fonctionnalit�s de XMP-RPC
D�sactiver les fonctionnalit�s de l’API REST

D�sactiver WP REST API et XML RPC — D�sactiver l’API REST de WordPress ainsi qu’XML-RPC

https://fr.wordpress.org/plugins/secupress/

26 mai 201731 juillet 2017

Comment r�cup�rer un site internet WordPress pirat�

R�cup�rer un site internet WordPress pirat� est tout � fait possible mais pas toujours facile. Si votre site internet WordPress a �t� pirat�, de deux choses l’une :

Vous n’avez sans doute pas s�curis� WordPress ;
Vous pourrez sans doute le r�cup�rer, avec plus ou moins d’effort.

Sautons l’�tape 1 (il est d�j� trop tard), et voyons directement comment r�cup�rer un site internet WordPress pirat�.

Nous avons d�j� r�cup�r� plusieurs sites internet WordPress pirat�s avec ce guide 100% fonctionnel. Mis � jour r�guli�rement, notre �quipe�continue de l’utiliser.

Nous avons d�cid�s de le rendre public pour aider les victimes de piratage � restaurer un�site internet WordPress pirat�, cependant un minimum de connaissances est n�cessaire, contactez-nous en cas de besoin.

Proc�dez �tape par �tape car le contenu de ce guide est�assez exhaustif, (+ 1.100 mots) posez vos questions en commentaire !

Guide pour r�cup�rer un site internet WordPress pirat�

0 – Les pr�cautions � prendre

Mettez votre site internet en mode maintenance. Pour ce faire, cr�ez un fichier .Maintenance�vide � la racine de votre site internet. Cependant le mieux est de compl�tement d�sactiver votre h�bergement si votre h�bergeur vous le permet (chez Cubis cette option se trouve dans votre panel de configuration).

Si vous utilisez le m�me mot de passe sur d’autres outils / comptes, changez lesdits mots de passe, car les pirates peuvent les r�cup�rer. Avertissez �galement vos collaborateurs…

Sachez que votre mot de passe de connexion � la base de donn�es MySQL est s�rement r�cup�r� par les hackeurs… Alors changez-le.

Si vous utilisiez un mot de passe Root, votre base de donn�es enti�re est peut-�tre pirat�e… Changez donc tous les mots de passe et pensez � faire des sauvegardes.

1 – Sauvegarder votre site internet

Si ce n’est pas d�j� fait par vous ou votre h�bergeur, sauvegardez imm�diatement votre site internet (fichier & base de donn�es).

Si vous avez acc�s � l’administration de WordPress, exportez le contenu de votre site depuis l’onglet Outils�> Exporter.

(*) Renseignez-vous quand m�me aupr�s de votre h�bergeur, car ce dernier effectue s�rement des sauvegardes.

Cette sauvegarde nous permettra d’avoir un point de d�part et surtout d’�viter que la situation se d�t�riore davantage.

2 -�D�placez le site internet sur un serveur local sans internet

Cette �tape n’est pas obligatoire mais fortement recommand�e.

Une fois la sauvegarde effectu�e, vous allez devoir h�berger localement votre site internet pour pouvoir constater l’�tendu des d�g�ts.

https://agence-web.cubis-helios.com/wamp-creer-site-internet-ordinateur

En faisant cela, coupez votre acc�s � internet pour emp�cher le vol d’informations.

La plupart du temps, les hackers modifient sur WordPress

Les fichiers du th�me courant pour injecter leur code ;
Des articles / pages de votre site internet ;
Cr�ent de nouveaux fichiers (infect�s ou non).

2-1 Scanner toute votre sauvegarde WordPress � l’antivirus

Si vous disposez d’un antivirus sur votre machine, faites un clic-droit sur le dossier et votre antivirus devrait vous proposer des scanners le dossier.

Votre antivirus ne trouvera pas le hack, en revanche il pourrait trouver d’�ventuels logiciels malveillants diffus�s via votre site internet.

2-2 R�cup�rer les t�l�versements de vos m�dias

WordPress par d�faut t�l�verse tous vos m�dias dans le dossier /wp-content/uploads.

Sous Linux, cette ligne de commande permet de lister r�cursivement tous les fichiers du r�pertoires uploads, sans compter les images, par ordre de modification.

find ./wp-content/uploads -type f ! -regex '\(.*jpeg\|.*png\|.*jpg\|.*bmp\|.*gif\|.*mp4\)' -printf "%T@ %Tc %p\n" | sort -n

Regardez ensuite dans cette liste si un fichier upload� vous semble malveillant (v�rifiez le contenu des .htaccess).

Ce dossier sera � r�importer sur votre nouvelle installation de WordPress, il contient tout ce que vous avez mis � travers la rubrique “M�dias” de WordPress.

3 – Localiser le piratage sur son site internet WordPress

Je vous conseille pour commencer de cr�er une nouvelle installation de WordPress.

Vous pouvez�connecter cette nouvelle instance � votre base de donn�es actuelle. Si tout fonctionne normalement, alors on supposera que la base de donn�es est intact.

Si votre base de donn�es est corrompu, il vous faudra r�importer � la main votre une nouvelle instance de WordPress en cr�ant une nouvelle base de donn�es, ce qui est d�j� plus compliqu�.

3-0 V�rifier le piratage de son site internet WordPress

A chaque nouvelle �tape, nous vous recommandons de v�rifiez votre site internet en naviguant dessus.

Si tout semble correct et qu’aucun probl�me appara�t, continuez le tutoriel sur le d�-piratage de WordPress. Pour v�rifier le contenu du site, une astuce de d�veloppeur consiste � charger l’onglet Network de Google Chrome (CTRL+ MAJ + I) �(c’est un i majuscule) ou l’onglet R�seau de Mozilla Firefox (F12) et de regarder ce qui passe par le r�seau.

Onglet R�seau Mozilla Firefox — Inspection r�seau de Mozilla Firefox, inspection des fichiers charg�s par le site internet

Pensez � inspecter le r�seau dans les prochaines �tapes…

3-1 Dans l’administration de WordPress, v�rifier le contenu suivant

Les Articles / Pages / Formulaires… : v�rifiez que tout le contenu pr�sent, vous l’avez cr�� vous-m�me ;
Les R�glages : V�rifiez que vos param�tres sont rest�s intacts.

Rep�rer le contenu malicieux dans les posts depuis la base de donn�es

Les commandes suivantes permettent de d�tecter le contenu malveillant dans vos pages / articles WordPress.

SELECT * FROM `wp_posts` WHERE `post_content` LIKE '%<iframe%';
SELECT * FROM `wp_posts` WHERE `post_content` LIKE '%<noscript%'; 
SELECT * FROM `wp_posts` WHERE `post_content` LIKE '%<script%'; 
SELECT * FROM `wp_posts` WHERE `post_content` LIKE '%display:%';
SELECT * FROM `wp_posts` WHERE `post_content` LIKE '%base64%';
SELECT * FROM `wp_posts` WHERE `post_content` LIKE '%<?php%';

Merci � WP-Formation pour leur lignes.

Ces commandes sont directement � taper dans phpMyAdmin�: sur votre base de donn�es dans le menu “SQL“.

Si vous constatez des r�ponses � ces commandes, v�rifiez scrupuleusement le contenu de ces articles.

3-2 Importer votre th�me dans le nouveau WordPress

Avant d’importer le th�me dans le nouveau WordPress, v�rifiez qu’il n’y a rien d’�trange dans les fichiers suivants (Comme du code sous la forme “d45e1de2z5dezdzedgjytjhg3re12fe…”, un lien vers un site inconnu… etc).

/.htaccess
/robots.txt (attention au ‘Disallow: /’ !)
/index.php
wp-config.php (attention � la base de donn�es ; vous pouvez comparer ce fichier avec wp-config-sample.php)find -regex ‘$.*jpeg\|.*png\|.*jpg\|.*bmp$’
/wp-content/themes/votre-theme/index.php
/wp-content/themes/votre-theme/header.php
/wp-content/themes/votre-theme/footer.php
Les fichiers Javascripts de votre th�mes

Parcourez l’arborescence de votre site internet � la recherche de fichiers qui ne devraient pas �tre l�.

Si malgr� le nouvel import votre th�me est toujours pirat�, pensez � r�cup�rer la feuille de style et d’en re-t�l�charger un nouveau (cela vous prendra moins de temps que de chercher le code malveillant).

3-3 R�installez vos plugins depuis votre nouvelle installation

Ne r�importer pas vos plugins car ils pourraient �tre corrompus, re-t�l�chargez-les, pour la plupart vous ne perdrez pas la configuration car elle sera en base de donn�es.

Conclusion sur le piratage de votre site internet WordPress

Nous savons que ce que nous expliquons est assez compliqu� et requi�re certaines comp�tences globales en administration de sites internet.

“V�rifiez que tout est correct”, “Recherchez du code �trange qui ne devrait pas �tre l�”, ces phrases sont trop flous si vous ne nagez pas un minimum dans l’univers de WordPress… et nous en sommes d�sol�s. Cependant difficile pour nous de mieux vous aider car Webmaster est un m�tier qui ne s’apprend pas en un article de blog.

Si jamais c’est trop compliqu� et si vous n’arrivez pas � en venir � nous, notre �quipe est l� pour vous aider.

1 avril 201514 juin 2017

Certificat SSL reconnu et � mixed content �

Erreur Mozilla Firefox certifcat SSL non reconnu

Erreur certificat SSL auto sign� — HTTPS sur le blog SHZ

Un certificat SSL certifi� (ou reconnu) par une autorit� de confiance permet d’�viter le message d’erreur ci-dessus, que l’on peut obtenir si on auto-signe son certificat. Le � mixed content � peut aussi �tre vecteur de messages d’erreur sur les pages compl�t�es d’un certificat sign�.

Pourquoi un certificat doit �tre reconnu par une autorit� de confiance ?

Le r�le du certificat est de garantir que le nom de domaine (ici securite-info.com) est bien ledit site. Si un pirate d�tourne le nom de domaine (par exemple en spoofant l’adresse ip du site sur votre machine), vous serez redirig� vers son site internet, et non le n�tre.

Concr�tement :

L’adresse ip du site est 91.121.49.59, le DNS redirige alors securite-info.com vers cette adresse ip. Si votre ordinateur est la cible d’une attaque par spoof, il dira : securite-info.com a comme adresse ip x.x.x.x (qui se r�v�lera �tre la sienne). En vous connectant sur securite-info.com, vous tomberez alors sur le site pirate.

Mais comme le site est certifi� par une autorit� de confiance, il ne pourrait pas se faire passer pour nous !

Il pourrait imiter le certificat, mais ceci g�n�rerait une erreur comme nous l’avons vu plus haut. C’est l� le but de la certification.

Qu’est-ce que le Mixed Content ?

Le � mixed content � ou contenu mixte est le fait de contenir dans une m�me page, du contenu s�curis� (https) et du contenu non s�curis� (http).

J’ai volontairement import� une image non s�curis�e sur une page. Si on regarde dans la barre d’adresse, le navigateur nous informe que la page n’est pas totalement s�curis�e : “connexion partiellement chiffr�e“.

Contenu mixte non s�curis� — Page d’informations de s�curit� Mozilla Firefox

Certaines parties de la page que vous visionnez n’ont pas �t� chiffr�es avant d’�tre transmises sur Internet.

Les informations envoy�es sur Internet sans chiffrement peuvent �tre vues par d’autres personnes durant leur transit.

Pour la personne qui visite votre site, cela peut �tre d�rangeant, surtout si vous vendez sur ce site : cela n’inspire pas confiance, quand bien m�me vous seriez de bonne foi et n’auriez pas fait attention au chiffrement des images.

Le mixed-content emp�che d’avoir un cadenas HTTPS vert sur son site !

C’est le plus important et c’est pourquoi vous devez supprimer le contenu mixte de vos pages web. La personne qui arrive sur votre site internet doit pouvoir voir que le site internet est totalement s�curis�.

En cas de contenu mixte, le navigateur n’affiche pas d’erreur mais le https:// est gris�.

D�tecter et supprimer le mixed content

Pour vous, webmaster, il est primordial de supprimer le contenu mixte de toutes vos pages. On parle ici des images, mais aussi des scripts utilis�s dans vos pages.

La d�tection du contenu mixte est plut�t simple.

Clic-droit sur la page, examiner l’�l�ment, puis rendez-vous dans la console
Ou CTRL+MAJ+k sous Mozilla Firefox
Ou CTRL+MAJ+j sous Chrome / Chromium

Rechargez la page, et des lignes rouges comme celles-ci devraient s’afficher. � vous de supprimer ou de remplacer le document en question.

Contenu mixte s�curit� info — Console du navigateur avec erreur de contenu mixte

Supprimer le mixed-content en une ligne de code SQL

On peut automatiser tout cela tr�s simplement via la base de donn�es, voici la commande � taper (sous WordPress), cependant vous trouverez sans doute les commandes correspondantes � votre CMS sur Google.

Supprimer le mixed-content sous WordPress avec MySQL

UPDATE `wp_posts` SET `post_content`= REPLACE(`post_content`, 'http://www.cubis-helios.com', 'https://www.cubis-helios.com');

Remplacera tout le contenu avec “http://www.cubis-helios.com” en “https://www.cubis-helios.com”.

20 février 2015

Je crois que mon ordinateur a un virus

� Je crois que mon pc a un virus �, on entend tr�s souvent cette phrase sortir de la bouche des clients chez les informaticiens, ou sur les forums informatiques. Le souci, c’est que l’on en voit que les sympt�mes, on suspecte, mais on ne sait pas, et on sait encore moins quoi faire :

ordinateur qui rame, fen�tre qui se � freeze � (ne peut plus �tre cliqu�) ;
fermeture des programmes intempestive ;
pc qui met du temps � s’allumer et � s’�teindre ;
messages d’erreur ;
…

Continuer la lecture de « Je crois que mon ordinateur a un virus »