Suite aux dernières attaques massives visant les sites WordPress ou l’on a vu pas moins de 90000 sites attaqués courant avril 2013, il est impensable aujourd’hui de laisser son WP sans un minimum de protection…
Je ne vais pas parler dans ce billet des précautions d’usage primordiales telles que renommer l’admin, protéger ses dossiers, etc, pour cette partie je vous conseille la lecture de l’article 11 conseils de sécurité pour WordPress.
Parmi certaines solutions et divers plugins “sécurité”, j’avais opté pour Login Ninja permettant de durcir/contrôler le login de mon WordPress et de bannir automatiquement les IP insistantes;)
C’est une bonne solution mais hélas, les robots et programmes sont de plus en plus nombreux et grands consommateurs de bande passante.
Cette solution ne me convenait donc plus alors j’ai cherché et trouvé un plugin qui propose un angle différend… Au lieu de verrouiller, il camoufle/cache le fait que l’on utilise un WordPress et cela fait une grande différence!
HideMyWP le plugin
Hide My WP contrôle l’accès aux fichiers PHP, il protège votre site de 95% des injections SQL et des attaques XSS. Les pirates, spammeurs et les robots ne peuvent pas reconnaître votre WordPress et de fait, vous ignorent!
Aucun changement de fichiers ou de dossiers, tous restent dans leur emplacement par défaut! Il s’agit simplement d’en contrôler l’accès, ce qui garantit une compatibilité maximale du plugin.
Personne ne doit savoir que vous utilisez WordPress
Le principe est très simple, si vous ne savez pas que j’utilise un site WordPress alors vous n’essayerez pas de pirater un WordPress!
HideMyWP cache vos fichiers sensibles:
- monsite.com/wp-login.php
- monsite.com/wp-admin/
Changer le répertoire de thèmes WordPress:
- /wp-content/themes/twentytwelve/style.css
- /template/twentytwelve/style.css
Changer le répertoire des plugins et hasher le nom des plugins
- /modules/0f6a208e/shortcodes.css (au lieu de: / wp-content/plugins/zilla-shortcodes/shortcodes.css)
- /modules/0f6a208e/shortcodes.php – 404 Not found! (en refuser l’accès)
Changer l’url téléchargement, le dossier wp-includes, l’url AJAX, etc…
- monsite.com / mesfichiers/ landscape.jpg (au lieu de: … / wp-content/uploads/landscape.jpg)
- monsite.com / mylibs / js / jquery / jquery.js (au lieu de: … / wp-includes/js/jquery/jquery.js)
- monsite.com / ajax.php (au lieu de: … / wp-admin/admin-ajax.php)
Déterminer si le site est un WordPress:
- Essayer la détection via http://whatwpthemeisthat.com/
Et encore un peu plus…
- Remplacer n’importe quel mot dans votre fichier HTML de sortie
- Vous avertit lorsque quelqu’un est redirigé sur votre site WordPress ( avec les détails de visiteurs,IP utilisateur, référent et même pseudo!)
- Compresser le html en sortie et supprimer les commentaires dans le code source
- Retirer les META infos WordPress et le flux RSS
- Changer l’adresse par défaut d’envoi email WordPress
- Page 404 personnalisée ou du thème
- Retirer les classes menu inutiles
- Nettoyer les classes body
- etc…
La Foire aux Questions… Légitimes…
Est-ce que ça change physiquement mes dossiers et fichiers WordPress ?
Non, tout reste à son emplacement par défaut, HideMyWP vient simplement en contrôler l’accès. Ceci garantit une compatibilité maximale.
Je cache à la fois wp-login et wp-admin, mais je peux encore les voir. Pourquoi ?
Parce que vous êtes un administrateur connecté! Déconnectez-vous et réessayez. N’oubliez pas d’enregistrer la nouvelle adresse de connexion quelque part.
Je ne peux pas me connecter, que dois-je faire maintenant ?
Lorsque vous masquez wp-login.php vous devez ajouter votre mot-clé Admin pour vous connecter. Adresse: ?. par exemple votresite.com/wp-login.php hide_my_wp = 1234 (1234 est la clé par défaut) Si vous avez d’autres problèmes il suffit d’utiliser votre FTP ou un gestionnaire de fichiers et de renommer le dossier plugin en autre chose (en wp-content/plugins), il désactivera alors le plugin.
Est-ce que cela fonctionne avec Nginx ?
Depuis la version 1.5 Hide My WP soutient Nginx. Vous devez avoir un accès en écriture au fichier de configuration Nginx. S’il vous plaît noter l’utilisation multi-site sur Nginx est pas encore officiellement supporté, mais si vous pouvez convertir règles htaccess pour Nginx vous pouvez le faire fonctionner.
Que faire si je désactive le plugin. Est-ce que tout revient comme avant ?
Absolument! Il suffit de le désactiver à partir du panneau d’admin et tout reviendra comme auparavant. Si vous utilisez un plugin de cache vous pouvez avoir besoin de vider le cache. Si le plugin a été supprimé ou renommé accidentellement, allez dans Paramètres -> Permaliens et tout reviendra à la normale!
Est-ce que cela affecte la vitesse de mon site ? (en raison des nombreuses redirections)
Hide My WP n’utilise pas 30x redirections mais principalement à la place, la règle de réécriture qui est interne et n’a donc aucune incidence sur la vitesse. Un impact sur la vitesse peut se produire lorsque vous avez beaucoup trop de plugins WordPress. Toutes les options sont expliquées en détail et vous pouvez choisir entre les options rapides et/ou compatibles.
Est-ce que cela fonctionne en multi-sites et en réseau ?
Depuis la version 1.5 Hide My WP prend en charge les sous-domaines et sous-répertoires multi-sites. Il est possible pour l’administrateur du site d’utiliser le panneau de réseau et de configurer le plugin pour l’ensemble du réseau. Vous devez écrire un accès pour mettre à jour le fichier htaccess et les thèmes à renommer.
Pourquoi ma page des paramètres de plug-in est différent des screenshots officiels ?
C’est parce que vous n’activez pas la structure des permaliens WordPress ou que votre hébergeur ne supporte pas les URL de réécriture (htaccess spécifique.).
Est-ce que HideMyWP affecte mon SEO ?
Si vous ne changez le contenu principal des URLs (articles, catégories, tag) non, il n’y a aucun problème de référencement.
A noter que HideMyWordPress passe outre les paramètres par défaut de vos permaliens WP pour les articles, catégories, tags. Donc, même sans ce plugin si vous modifiez ces paramètres, cela affectera votre classement.
Bon alors comment ça marche ?
Principalement avec la réécriture d’URL et quelques redirections via votre .htaccess mais pas uniquement…
Vous pouvez bien évidement choisir le degré de confidentialité avec 3 niveaux prédéfinis: Utra-confidentiel, Medium (rapide) et Medium (compatible).
Assurez-vous d’avoir accès à votre fichier htaccess (si vous utilisez Apache) ou configurez votre serveur Web manuellement (si vous utilisez Nginx ou du multi-site).
Conclusion
Hide My WP est vendu aux alentours de 15€, ce plugin premium est une excellente solution et malheureusement il n’y a pas à ce jour d’équivalent en version gratuite ou freemium.
Attention toutefois, la mise en place de ce plugin peut être délicate pour les débutants et certaines fonctions, notamment la réécriture, peuvent parfois poser des problèmes. Aussi il est conseillé de procéder à une sauvegarde complète de votre WordPress avant son installation.
A noter également que si HideMyWordPress est suffisant pour se protéger des Bots, il ne suffira pas face à un pirate expert qui tient absolument à forcer votre site;)
Ce plugin a été testé par Julio de Boite à Web, spécialiste sécurité WordPress et contenait une faille de sécurité … L’auteur a été contacté et a corrigé cette dernière sur la version 1.8 ;)
Merci pour votre citation Fabrice.
Votre article complète avantageusement les 3 articles pré-cités ! En installant nombre de solutions de sécurité sur les sites WordPress que j’administre, je suis tout à fait effaré par le nombre d’intrusions sur le seul identifiant ‘admin’ (sans doute le plus létal pour un site WordPress), et plus effaré encore par nombre de grands noms de l’hébergement (OVH, Amen, etc.) qui continuent de l’imposer lorsqu’on utilise leurs automatismes d’installation de ce CMS.
Ce seul point pourrait rendre WordPress déjà un peu moins sensible au hacking (enfin jusqu’à ce que les pirates du web ne change de stratégie).
Bonne journée Fabrice !
Mais de rien @Fabrice ;)
Le nombre de tentatives de connexion a explosé ces derniers temps, outre les problème de sécurité que cela engendre, quid de la bande passante?
Pour ce qui est des MODs d’installation hébergeurs, c’est vrai qu’une simple modification du login ADMIN ne ferait pas de mal.
Intéressant pour améliorer la sécurité de son blog, mais est-ce que ce plugin masque le le fait que l’on utilise un WordPress à des extensions comme Wappalyzer ?
@Yeurch, en mode compatibilité (medium) non, Wappalyser (que je conseille à tous;) détecte bien un CMS WordPress mais le but est d’éviter les attaques brutes et massives. Dans tous les cas en regardant le code source manuellement, vous trouverez des indications indiquant que le site est un WP…
J’ai toujours peur d’utiliser ce type de plugins qui risquent de ne plus être mis à jour dans quelques mois voire quelques semaines, si les ventes ne sont pas énormes et que l’auteur est passé à autre chose… Néanmoins, le fait qu’il soit compatible multisite me donne envie d’essayer. Sauf erreur, vu que c’est une extension via Code canyon, il faut payer une licence par site c’est bien ça ? Donc en multisite ça chiffre vite…
Sinon, je suis surpris que la simple présence de plugins extrêmement répandus type Akismet ne soient pas aussi utilisés par les hackers qui ciblent du WordPress. J’imagine qu’ils s’y mettront si ce type de protection venait à se populariser…
Mmm le jour où WordPress n’impose plus un admin avec “admin” comme ID, la sécurité aura vraiment été renforcé.
Personne ne sait pourquoi, en 2013, c’est encore le cas ?
Le plugin contient une faille, l’auteur a été contacté et est très réactif. Il corrige dès que possible. Vous pouvez tout de même l’installer le temps d’un essai, mais attendez la mise à jour pour le garder en production.
@Gilles W.
WordPress impose “Admin” comme ID ?
A quel moment ? Lors de l’installation on peut changer ce login il me semble non ?
Et ca fait un moment je pense.
salut
alors il a une faille ou pas?
sinon plutôt extraordinaire ce plugin !
merci
Bonjour @Marc, faille corrigée sur la toute dernière version la 1.8 !
@Paris seuls les MODs hébergeurs imposent l’Admin comme ID à l’installation. Lors d’une installation WP standard, WordPress nous oblige à choisir un login!
Il a l’air intéressant ce plugin, merci pour l’infos !
Sa doit permettre d’éviter les sk, maintenant il y aura toujours moyen de savoir que sa tourne sous WP mais ça permettra de sortir de la masse ;)
Avez-vous déjà testé Better WP Security ? HideMyWP est-il plus efficace ou plus complet?
Bonjour @Eric, Better WP Security est une excellente solution, HideMyWP est… différent, son principal intérêt réside dans le fait de masquer aux bots l’utilisation d’un WordPress, tant sur le thème, les plugins, les pages WP, etc….
Aussi je ne dirais pas plus complet ou plus efficace mais différent dans l’approche! Ensuite seule la prochaine attaque massive nous le dira;)
Pour tout ceux qui ne maitrise pas l’anglais ,a proscrire.!
Je suis toujours a me demander pourquoi mon site plante avec ce plugin.
L’anglais que je ne maitrises pas ,il devient impossible d’avoir une correspondance avec l’auteur .
Même avec les outils de traduction que nous offre le web qui et approximatif.
Hello
Saurais-tu me dire si ce plugin est compatible avec le plugin à installer pour une gestion avec manage-WP et ne bloquera t-il pas au niveau du tableau de bord de manage-WP?
Est-ce qu’il ne pose pas problème dans l’utilisation d’un annuaire pour donner accès à des auteurs ?
PS: je tenais à te dire que je te suis sur Twitter et que je découvre au fil de tes tweets des nouveautés ici qui sont très intéressantes comme WP-roller, le tuto sur wysija-newsletter etc…très bon site et bon boulot que tu fais là.
Bonjour @Vince,
Non je n’ai pas testé avec Manage WP mais une question au Dév et le tour est joué…
Avec un annuaire et plusieurs auteurs c’est en revanche tout à fait compatible!
Merci pour tes encouragements ;)
Merci à toi.
Vu pour l’annuaire et je vais voir avec le support de Manage WP pour la compatibilité.
Malheureusement et vous avez dû le constater puisque vous utilisez Wp-Rocket et plus Wp-Hide : impossible de faire cohabiter les deux. C’est la réponse de Wp-Rocket et j’attends celle de Wp-Hide.
C’est donc hyper embêtant et ça pose la question de l’utilité d’un plugin qui ne peut pas tourner avec un système de cache….
https://wpformation.com/blogueurs-wordpress/
Boit a Web déconseille le plugin Better WP Security sur le site d’ici
Merci pour cet article Fabrice,j utilise l extension Wp better security pour protéger les sites Worpress de mes clients il permet de masquer la page “login”,de renommer le wp-admin,et de protéger efficacement contre les attaques (black list des ip responsable d attaques)