Mon blog, Leaving Work Behind, a été piraté en avril. C’est quelque chose que vous lisez assez souvent mais auquel vous ne vous attendez jamais vraiment tu jusqu’à ce qu’il soit trop tard. Pour être honnête, je ne me considérais pas comme un candidat de choix – j’ai écrit assez souvent sur la sécurité de WordPress pour avoir mis en place de nombreuses mesures préventives. Cependant, ces mesures n’étaient manifestement pas assez complètes.
Me faire pirater est quelque chose que je ne veux plus revivre. Il y a tellement de raisons pour lesquelles les temps d’arrêt d’un site Web sont mauvais pour votre blog/entreprise : bien qu’une perte de trafic et de revenus potentiels soient les deux plus évidentes, je ne peux pas sous-estimer le temps que j’ai perdu pour restaurer le site et la quantité de stress qu’il subit. m’a causé.
Dans cet article, je veux révéler ce qui est arrivé à mon site et vous faire savoir ce que j’ai fait pour augmenter la sécurité de mon site depuis.
Se faire pirater : mon histoire
Je me suis réveillé le jeudi 18 avril pour constater que mon site était en panne depuis quelques heures. J’ai immédiatement contacté mon hébergeur, Westhost, qui m’a informé que leur pare-feu ModSecurity avait détecté une activité inhabituelle sur mon site et l’avait immédiatement fermé par mesure de précaution. Lors de l’exécution d’une restauration initiale sur le site, j’ai immédiatement pu voir qu’il avait été piraté. Bien que les changements aient été relativement subtils, il était assez clair que certains types sans scrupules avaient fouillé.
Il s’avère qu’un grand nombre de sites WordPress ont également été piratés, et Westhost avait du pain sur la planche. Heureusement, ils effectuent des sauvegardes quotidiennes du site et l’après-midi suivant, j’étais de nouveau en ligne avec une version de mon site aussi proche que possible de l’actualité.
Voici l’effet du piratage sur mon trafic :
Pour mettre le graphique ci-dessus en perspective, le trafic de cette semaine était en baisse d’environ 30 % par rapport à la semaine précédente. Cela signifiait théoriquement une baisse de 30 % des revenus.
Il est juste de dire que je tenais à m’assurer (au mieux de mes capacités) qu’un tel piratage ne pourrait pas être répété. J’ai agi immédiatement.
Mes étapes immédiates
La première chose que j’ai faite a été de vérifier que j’avais suivi les étapes décrites dans mon récent article sur la sécurisation de votre site Web WordPress.
C’étaient les fondamentaux absolus : mettre à jour mes thèmes et plugins, s’assurer que j’avais une sauvegarde récente, s’assurer que mon profil par défaut ne s’appelait pas « admin », changer mon mot de passe et vérifier les plugins de sécurité sur mon site. Avec ces éléments en place, il était temps de passer à autre chose.
Je ne me fais pas d’illusions sur le fait que mon site est désormais 100% sécurisé – après tout, il n’y a pas de site 100% sécurisé. Cela dit, je sais qu’il est beaucoup plus sécurisé qu’avant et je continuerai à rechercher les mesures de sécurité du site maintenant et à l’avenir. Pour l’instant, c’est ce que j’ai fait.
1. J’ai installé VaultPress
Pour ceux d’entre vous qui ne savent pas, VaultPress est une solution de sauvegarde et de sécurité totalement automatisée pour WordPress. Il appartient à Automatique, les « propriétaires » de facto de WordPress.
Ayant utilisé VaultPress depuis quelques jours maintenant, je ne peux pas croire que j’étais si bon marché pour ne pas avoir choisi le service à l’avance. Leur forfait de base commence à 15 $ par mois – je paierai cela pour la tranquillité d’esprit n’importe quel jour de la semaine.
En fait, j’ai choisi d’aller avec leur forfait Premium (40 $ par mois) qui comprend :
- Sauvegarde en temps réel
- Restauration de site automatisée en un clic
- Archives, statistiques et journal d’activité
- Reprise après sinistre prioritaire
- Accompagnement prioritaire « Conciergerie »
- Analyse de sécurité quotidienne
- Notifications de sécurité
- Correcteurs en un clic pour les menaces de sécurité
- Aide à la migration de sites
Fondamentalement, ils vous ont couvert.
Bien que VaultPress ne puisse garantir la sécurité de votre site contre les pirates, il pouvez garantir que votre site peut être restauré avec une relative facilité. Il y a juste quelque chose de très apaisant à voir des instantanés horaires de vos sites stockés sur les serveurs de VaultPress :
Bien qu’il existe de nombreuses solutions de sauvegarde gratuites, je pense que rien ne vaut la tranquillité d’esprit relative que me procure VaultPress. Ils ont 90 instantanés de mon site disponibles pour la restauration en ce moment, dont le plus récent n’a que vingt minutes. Je sais que mon site est en sécurité entre leurs mains.
2. J’ai géré mes profils
Un pirate informatique peut potentiellement accéder à votre site à partir de l’un des profils d’administrateur de votre backend WordPress – pas seulement celui-ci tu utilisation. Lorsque j’ai chargé mes profils, j’ai pu voir que j’avais trois autres profils – un profil d’affiche d’invité et deux autres profils pour des personnes (de confiance) à qui j’avais donné accès à mon site.
J’ai commencé par fermer ces deux profils et changer le rôle du profil d’affiche invité en Auteur. C’est quelque chose que je vous conseillerais de faire – ne créez qu’autant de profils d’administrateur que cela est absolument nécessaire. De plus, vous devez bien sûr vous assurer que chaque compte est un mot de passe suffisamment aléatoire et unique et que lesdits mots de passe sont régulièrement modifiés.
Il y a des moments où vous devrez autoriser des personnes (comme votre concepteur de sites Web) à accéder à votre site. Dans de telles situations, je vous conseille de créer un profil pour eux avec un nouveau mot de passe, puis de supprimer ce profil dès que sa nécessité prend fin.
Pensez toujours aux points d’entrée de votre site et s’ils sont strictement nécessaires.
3. J’ai changé mes mots de passe
Vous pensez peut-être que c’était une décision évidente, mais je ne parle pas en fait de mes mots de passe WordPress. Bien que je fait les changer, j’étais aussi sûr de changer tous les mots de passe des comptes particulièrement sensibles, c’est-à-dire :
- Gmail
- Mon compte d’hébergement
- Associés Amazon
- Etc
Si vous vous demandez pourquoi j’ai pris cette décision, considérez simplement l’histoire de Mat Honan, dont toute la vie numérique a été détruite par des pirates qui ont initialement piraté son compte Amazon. Si vous vous sentez blasé à propos de la sécurité en ligne, l’article ci-dessus est à lire absolument.
Considérez cette chaîne simple : un pirate informatique accède à votre compte de messagerie à partir duquel vous avez récemment envoyé un e-mail à votre concepteur de sites Web avec les informations de connexion pour votre site WordPress. C’est tout ce dont ils ont besoin pour accéder à votre site et faire ce qu’ils veulent. Le piratage peut être aussi élémentaire.
4. J’ai mis à niveau vers SFTP
Voici quelque chose que vous ne savez peut-être pas : toutes les données que vous transférez via FTP (y compris votre nom d’utilisateur et votre mot de passe) sont entièrement non cryptées. Par conséquent, toute personne capable d’intercepter avec succès les transferts FTP pourra récupérer vos informations de connexion et accéder à votre compte.
Non seulement cela leur permet d’ajouter et de supprimer des fichiers comme bon leur semble, mais ils peuvent également accéder à votre base de données WordPress via phpMyAdmin et finalement se connecter à votre site.
En termes simples, peu importe la sécurité de l’accès direct à votre site WordPress si les pirates peuvent y accéder via FTP. A ce titre, je vous recommande fortement de désactiver l’accès FTP à votre site et de transférer les fichiers à l’aide du protocole SFTP alternatif, qui Est-ce que chiffrer les données. Tout bon hébergeur devrait pouvoir vous aider.
En parlant de fournisseurs d’hébergement…
5. Considérez la pertinence de votre solution d’hébergement
Je suis content d’être avec Westhost. C’est leur pare-feu ModSecurity qui a détecté le piratage en premier lieu et a fermé mon site avant que de graves dommages ne puissent être causés. Ils effectuent également des sauvegardes quotidiennes automatiques (qui ont été utilisées pour restaurer le site) et disposent d’un support client performant pour démarrer.
Pouvez-vous en dire autant de votre hébergeur ? Il y a tellement d’excellentes options que vous seriez fou de rester avec un fournisseur dont vous n’êtes pas satisfait. Vous pourriez envisager de passer à l’une des solutions d’hébergement gérées (comme WPEngine) comme Themelocal l’a fait récemment.
Quel que soit votre choix, assurez-vous de vous renseigner sur les mesures de sécurité qu’ils prennent. Considérez les mesures que j’ai prises ci-dessus et assurez-vous qu’elles sont compatibles avec votre solution d’hébergement.
La morale de l’histoire est la suivante : ne faites aucun compromis sur la sécurité. En fin de compte, garder votre site sécurisé est plus important que n’importe quoi autre. Il ne sert à rien d’avoir un excellent contenu ou un nouveau design épatant si personne ne peut le voir parce que votre site a été déchiré en lambeaux par des pirates informatiques impitoyables.
Les types infâmes qui n’ont rien de mieux à faire avec leur vie que de pirater les sites des gens ne vont pas disparaître de sitôt. Plus tôt vous acceptez cela et prenez des mesures raisonnables pour protéger votre site contre les attaques, mieux c’est pour la sécurité à long terme de vos actifs en ligne.
J’aimerais savoir ce que vous pensez des mesures que j’ai prises. Y a-t-il des recommandations supplémentaires que vous feriez? Faites le nous savoir dans la section « Commentaires!