WordPress : Notification si quelqu’un se connecte sur l’admin

Alerte connexion admin Wordpress

Alerte connexion admin WordPress

Alerte de connexion à l’administration de WordPressPour augmenter la sécurité de son site internet WordPress, nous avons choisi d’être averti en cas de logging d’un administrateur sur le backoffice de WordPress.

Recevoir une notification si un administrateur se connecte sur votre site WordPress vous permettra de réagir rapidement en cas d’attaque !

Alerte de connexion sur l’admin WordPress

Le plugin WordPress que nous utilisons s’appelle tout simplement “Email notification on admin login“. Il fonctionne à merveille, voir la capture d’écran en haut de l’article.

Vous n’avez qu’à l’installer et il fait tout tout seul !

Configurer le plugin d’alerte de connexion à l’administration de WordPress

Le plugin très simple comporte deux fichiers situés dans :

/wp-content/plugins/email-notification-on-admin-login/

Changer le destinataire de l’adresse e-mail de notification de connexion

Ligne 13 du fichier config.php, la ligne suivante permet d’utiliser l’e-mail du responsable du site :

 define("ADMIN_EMAIL", "$admin_email");

Vous pouvez remplacer “$admin_email” par une autre adresse e-mail.

Personnaliser la notification de connexion à l’administration de WordPress

Dans le fichier index.php, vous trouverez sous format texte le message du plugin de notification de connexion WP.

$message = <<<MESSAGE
 An admin logged in your WordPress website {$website_name} on {$get_time_of_login}
 with the IP: {$get_ip}
MESSAGE;

Vous pouvez aménager cela comme vous voulez, tant que vous gardez les variables.

WordPress : Désactiver WP REST API (faille de sécurité)

Désactiver WP REST API
Désactiver WordPress REST API
WP-JSON, l’API REST pour WordPress

Désactiver WordPress REST API

Désactiver WordPress REST API est la chose à faire pour éviter les problèmes de sécurité à venir sur WordPress > 4.6. En effet les dernières failles WordPress concernent cette API ouverte.

WordPress a choisi de mettre en ligne sa WP REST API et son protocole XML RPC depuis la version 3.5. Ils servent à des applications de communiquer avec votre site internet WordPress, le célèbre plugin JetPack s’en sert.

Certaines thèmes (récents) s’en servent aussi. Alors une fois l’API REST de WordPress désactivée, pensez à vérifiez que votre site est bien fonctionnel !

Pourquoi autoriser la WP REST API est dangereux ?

Dans les architecture logiciel actuelles (c’est la mode), les développeurs codent avec un côté front (ce que l’utilisateur voit) et un côté back (ce avec quoi l’utilisateur interagi (base de données, articles…)). Une API REST sert justement à cette architecture, on propose au front une interface pour communiquer avec le back.

Jus-qu’il y a quelques années on utilisait tout sur le même projet pour les projets web, cette nouvelle approche apporte une grande flexibilité, mais un peu moins de sécurité…

Désactiver WP REST API sur son site internet WordPress

Un simple plugin pour désactiver l’API WordPress

Si vous ne souhaitez désactiver que l’API REST de WordPress, cette option est toute trouvée pour vous.

Désactiver WP REST API WordPress
Désactiver la REST API de WordPress pour les utilisateurs non enregistrés

https://fr.wordpress.org/plugins/disable-json-api/

Attention, car ce plugin ne désactive que le REST API WP pour les utilisateurs anonymes, si un bot s’est inscrit sur votre site internet les failles seront toujours exploitables.

SecuPress, désactiver l’API REST de WordPress

SecuPress est un très bon plugin de sécurité dont nous avions parlés dans notre article “Les meilleurs plugins gratuits de WordPress en 2017“.

Dans SecuPress > Modules > Données sensibles, cochez les deux cases :

  • Désactiver toutes les fonctionnalités de XMP-RPC
  • Désactiver les fonctionnalités de l’API REST
Désactiver WP REST API et XML RPC
Désactiver l’API REST de WordPress ainsi qu’XML-RPC

https://fr.wordpress.org/plugins/secupress/

 

Comment récupérer un site internet WordPress piraté

Récupérer un site internet Wordpress piraté
Récupérer un site internet WordPress piraté
Tutoriel pour récupérer un site internet WordPress hacké

Récupérer un site internet WordPress piraté est tout à fait possible mais pas toujours facile. Si votre site internet WordPress a été piraté, de deux choses l’une :

  1. Vous n’avez sans doute pas sécurisé WordPress ;
  2. Vous pourrez sans doute le récupérer, avec plus ou moins d’effort.

Sautons l’étape 1 (il est déjà trop tard), et voyons directement comment récupérer un site internet WordPress piraté.

Nous avons déjà récupéré plusieurs sites internet WordPress piratés avec ce guide 100% fonctionnel. Mis à jour régulièrement, notre équipe continue de l’utiliser.

Nous avons décidés de le rendre public pour aider les victimes de piratage à restaurer un site internet WordPress piraté, cependant un minimum de connaissances est nécessaire, contactez-nous en cas de besoin.

Procédez étape par étape car le contenu de ce guide est assez exhaustif, (+ 1.100 mots) posez vos questions en commentaire !

Guide pour récupérer un site internet WordPress piraté

Certificat SSL reconnu et « mixed content »

Erreur Mozilla Firefox certifcat SSL non reconnu
Erreur certificat SSL auto signé
HTTPS sur le blog SHZ

Un certificat SSL certifié (ou reconnu) par une autorité de confiance permet d’éviter le message d’erreur ci-dessus, que l’on peut obtenir si on auto-signe son certificat. Le « mixed content » peut aussi être vecteur de messages d’erreur sur les pages complétées d’un certificat signé.

Pourquoi un certificat doit être reconnu par une autorité de confiance ?

Le rôle du certificat est de garantir que le nom de domaine (ici securite-info.com) est bien ledit site. Si un pirate détourne le nom de domaine (par exemple en spoofant l’adresse ip du site sur votre machine), vous serez redirigé vers son site internet, et non le nôtre.

Concrètement :

L’adresse ip du site est 91.121.49.59, le DNS redirige alors securite-info.com vers cette adresse ip. Si votre ordinateur est la cible d’une attaque par spoof, il dira : securite-info.com a comme adresse ip x.x.x.x (qui se révélera être la sienne). En vous connectant sur securite-info.com, vous tomberez alors sur le site pirate.

Mais comme le site est certifié par une autorité de confiance, il ne pourrait pas se faire passer pour nous !

Il pourrait imiter le certificat, mais ceci générerait une erreur comme nous l’avons vu plus haut. C’est là le but de la certification.

Qu’est-ce que le Mixed Content ?

Le « mixed content » ou contenu mixte est le fait de contenir dans une même page, du contenu sécurisé (https) et du contenu non sécurisé (http).

J’ai volontairement importé une image non sécurisée sur une page. Si on regarde dans la barre d’adresse, le navigateur nous informe que la page n’est pas totalement sécurisée : “connexion partiellement chiffrée“.

Contenu mixte non sécurisé
Page d’informations de sécurité Mozilla Firefox

Certaines parties de la page que vous visionnez n’ont pas été chiffrées avant d’être transmises sur Internet.

Les informations envoyées sur Internet sans chiffrement peuvent être vues par d’autres personnes durant leur transit.

Pour la personne qui visite votre site, cela peut être dérangeant, surtout si vous vendez sur ce site : cela n’inspire pas confiance, quand bien même vous seriez de bonne foi et n’auriez pas fait attention au chiffrement des images.

Le mixed-content empêche d’avoir un cadenas HTTPS vert sur son site !

C’est le plus important et c’est pourquoi vous devez supprimer le contenu mixte de vos pages web. La personne qui arrive sur votre site internet doit pouvoir voir que le site internet est totalement sécurisé.

En cas de contenu mixte, le navigateur n’affiche pas d’erreur mais le https:// est grisé.

Détecter et supprimer le mixed content

Pour vous, webmaster, il est primordial de supprimer le contenu mixte de toutes vos pages. On parle ici des images, mais aussi des scripts utilisés dans vos pages.

La détection du contenu mixte est plutôt simple.

  • Clic-droit sur la page, examiner l’élément, puis rendez-vous dans la console
  • Ou CTRL+MAJ+k sous Mozilla Firefox
  • Ou CTRL+MAJ+j sous Chrome / Chromium

Rechargez la page, et des lignes rouges comme celles-ci devraient s’afficher. À vous de supprimer ou de remplacer le document en question.

Contenu mixte sécurité info
Console du navigateur avec erreur de contenu mixte

 

Supprimer le mixed-content en une ligne de code SQL

On peut automatiser tout cela très simplement via la base de données, voici la commande à taper (sous WordPress), cependant vous trouverez sans doute les commandes correspondantes à votre CMS sur Google.

Supprimer le mixed-content sous WordPress avec MySQL

UPDATE `wp_posts` SET `post_content`= REPLACE(`post_content`, 'http://www.cubis-helios.com', 'https://www.cubis-helios.com');

Remplacera tout le contenu avec “http://www.cubis-helios.com” en “https://www.cubis-helios.com”.

Je crois que mon ordinateur a un virus

« Je crois que mon pc a un virus », on entend très souvent cette phrase sortir de la bouche des clients chez les informaticiens, ou sur les forums informatiques. Le souci, c’est que l’on en voit que les symptômes, on suspecte, mais on ne sait pas, et on sait encore moins quoi faire :

  • ordinateur qui rame, fenêtre qui se « freeze » (ne peut plus être cliqué) ;
  • fermeture des programmes intempestive ;
  • pc qui met du temps à s’allumer et à s’éteindre ;
  • messages d’erreur ;

Continuer la lecture de « Je crois que mon ordinateur a un virus »