En la actualidad, WordPress supone un 34.35% en el TOP 1 millón de sitios web que usan un CMS, más de un 65% en el mercado de CMS y más de un 41,9% de los sitios web del mundo, y la cifra sigue creciendo, de los sitios webs que hay activos en el mundo, casi 12 veces más que el siguiente CMS (Shopify) que tiene un 5.6% del mercado. Esto, que en ciertos aspectos es una buena noticia, implica que debamos preocuparnos en hacer nuestro WordPress seguro.
Deux facteurs sont réunis : être le CMS le plus utilisé, de loin, sur le marché et être une plateforme open source, et gratuite, avec de nombreux développeurs dans le monde entier qui collaborent au projet, programmant des thèmes, des plugins... Cela signifie que nous avons beaucoup d'informations à son sujet, mais attention, ces mêmes informations sont également disponibles pour les amis de l'extérieur 🙁.
De plus, sa facilité d'installation fait que n'importe qui peut mettre en place un site WordPress en moins de 15 minutes, presque de la même manière que l'on installe une application sous Windows, en appuyant simplement sur le bouton suivant... Et c'est là que les problèmes surviennent.
Permettez-moi de remonter à la fin du siècle dernier, comme le grand-père oignon :).
En aquellos momentos trabajaba en Microsoft y se lanzó la versión 6.5 de SQL Server, la primera realmente potente que tenía la compañía de Redmond y que fue un éxito de ventas. Gracias a su sencilla instalación, cualquiera podía tener un servidor de BBDD, pues bien, todavía recuerdo de esa época la multitud de servidores Web en producción que veías configurados con los valores por defecto del administrador del servidor (administrador = sa y password en blanco).
Cela provient de deux des principales failles de sécurité qui sont souvent commises lors de l'installation d'un WordPress : la définition du mot de passe et la définition de l'utilisateur administrateur.
Mots de passe Strongs ou mots de passe forts.
Environ 8 % des attaques réussies sur un site WordPress sont dues à des mots de passe faibles.
Más de una vez en un cliente me he encontrado con password del tipo “nombredelaweb2010+” o similares, cuando no passwords del tipo 12345678 o la fecha de nacimiento o el nombre del último héroe de la serie de moda… o incluso la propia palabra «password». Si queréis reíros un rato, o tiraros de los pelos al descubrir que usáis alguna de ellas, en TeamsID tenéis un ranking de las passwords menos seguras, y más usadas, del año 2017.
Pour éviter cela, c'est-à-dire que votre mot de passe ne soit pas très sûr, je vous propose deux solutions :
La más sencilla, generar una contraseña segura desde el propio WordPress que ya lleva un generador de strong passwords cuando lo instalas o cuando creas un usuario desde la consola de administración, pero si no lo tienes a mano, puedes usar una Web como Clave Segura.
L'autre solution consiste à connaître le degré de sécurité de notre mot de passe, c'est-à-dire le temps qu'il faudrait à un ordinateur pour le décrypter.
Para eso podemos acudir a how secure is my password, introducir nuestra contraseña e inmediatamente nos dirá cuánto tardaría un único ordenador en descifrar dicha password. La que yo uso para mi portátil la le costaría a un único ordenador seis años, mientras que la que puse en la administración de mi blog tardaría ¡1 TRILLÓN DE AÑOS!.
Pero que no cunda el optimismo total, normalmente los ataques se realizan desde cientos, o miles, de ordenadores a la vez, con lo que ese tiempo se reduciría. Por ello, como ocurre en las empresas, es recomendable cambiar la contraseña del administrador con cierta regularidad. Y si no queremos tener nuestras contraseña apuntadas en un txt podemos acudir a Lastpass o 1password o BitWarden u otra aplicación que nos permitirá guardar todas las passwords de forma segura.
Qu'ils ne savent pas qui est votre administrateur, ou qu'ils ont du mal à le faire.
La deuxième erreur de sécurité la plus courante concerne le nom de l'utilisateur administrateur de notre WordPress.
En ignorant qu'il ne s'appelle pas admin ou l'une de ses variables, ce serait mettre un énorme panneau sur notre site web avec le CTA "Hack me", il existe des méthodes dans lesquelles, si nous ne faisons rien et laissons tout par défaut, un attaquant un peu malin peut connaître le nom de notre utilisateur sans avoir besoin de beaucoup de science.
Bastaría con escribir «nombrededominio.com/?author=1», o cualquier número hasta que coincida para que, en el caso de tener configurados los enlaces permanentes en nuestro WordPress, este devuelva la página del autor, algo del tipo «nombrededominio.com/minombredeusuario». De esta forma, estamos dando al atacante la mitad del trabajo hecho, ya no tiene que averiguar el usuario y se puede centrar en descubrir cuál es la contraseña.
Podemos evitarlo de dos formas: Cambiando el nombre del usuario que publica los post para que no sea el mismo que el que hace login o impidiendo que se puedan enumerar los usuarios. Bien de forma manual, bien mediante plugins.
Soy muy poco amigo del uso indiscriminado de plugins y prefiero, si es sencillo, usar métodos “manuales” para según que cosas, pero si no eres de los míos, las opciones en forma de plugins para estas defensas se llaman Edit Author Slug,o Stop User Enumeration.
Si vous préférez le faire sans plugins, bienvenue dans ma tribu, la chose est simple mais il faut avoir une petite idée, au moins sonore, de la DB de WordPress et du fichier wp-config.php.
Puedes cambiar el nombre de usuario, o el nickname, desde la BBDD de tu WordPress. Para ello deberás acceder a la misma desde phpMyAdmin y una vez ahí ir a la tabla wp_users (del prefijo de la tabla hablaremos después).
Ahí verás los usuarios y bastará con seleccionar el campo que deseas modificar, bien el user_login bien el user_nicename y cambiarlo para que no coincidan. Por cierto, el campo password que está entre medias y en el que veréis un churro, es la contraseña pero está codificada, algún día os explicare como funciona eso.
Para no permitir que se muestren los usuarios de tu WordPress según su identificador basta con unas pocas líneas de código PHP en fuctions.php o tu plugin de funciones personalizadas.
<?php
//Stop User Enumeration
if ( ! is_admin() && isset($_SERVER['REQUEST_URI'])){
if (preg_match('/(wp-comments-post)/', $_SERVER['REQUEST_URI']) === 0 && !empty($_REQUEST['author']) ) {
wp_die('forbidden');
}
}Y si lo que deseas es eliminar las Author Pages, el código a insertar en functions.php o tu plugin de funciones personalizadas es el siguiente.
<?php
/* Remove Author pages
Description: Provoca un error 404 cuando se solicita una author page y modifica los enlaces del
autor en los posts para redirigirlos a la home de la web */
function cmdh_remove_author_pages_ page {
if ( is_author() ) {
global $wp_query;
$wp_query->set_404();
status_header( 404 );
}
}
function cmdh_remove-author_pages_link( $content ) {
return get_option( 'none' );
}
add_action( 'template_redirect , 'cmdh_remove_author_pages_ page' );
add_filter( 'author_link' , 'cmdh_remove-author_pages_link' );Ne partez pas encore.
Nous avons déjà sécurisé notre utilisateur, ou nos utilisateurs, notre administrateur et nos mots de passe :
- Securizar y proteger el acceso al panel de administración (wp-admin) y a la configuración de nuestro WordPress (wp-config.php).
- Changez le préfixe de la base de données.
- Programmez un système de sauvegarde.
- Desactivar el editor de archivos de nuestro WordPress.
- Attribuez les permissions appropriées aux dossiers et aux fichiers de notre serveur Web.
- Ajouter les en-têtes de sécurité HTTP à notre serveur.
- Définissez des clés et des sauts de sécurité pour renforcer les cookies.
- Hacer que tu WordPress no parezca un WordPress, y no de pistas..
…y por supuesto, como ya dije en otro primer post dedicado a WordPress, mantener tanto el CMS, como los themes y los plugins actualizados.
Nous parlerons de tout cela dans un prochain article.
Je vous invite à laisser vos impressions et/ou vos doutes dans le formulaire de contact et à me suggérer de nouveaux sujets que vous souhaiteriez voir abordés dans ces tutoriels. Je serai heureux de vous répondre par courriel et d'écrire dans ce blog.
