IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

WordPress : les blogs victimes d’une vague d’attaques


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 392
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 392
    Points : 155 013
    Points
    155 013
    Par défaut WordPress : les blogs victimes d’une vague d’attaques
    WordPress : les blogs victimes d’une vague d’attaques
    Des pirates volent des mots de passe pour contrôler les serveurs

    Si vous êtes sous WordPress, il est recommandé de ne pas utiliser le nom d’utilisateur « admin » et aussi de s'assurer que la sécurité du mot de passe soit « haute ».


    En effet, selon des analystes de CloudFlare et HostGator, une vague d’attaques importantes se déverse sur des blogs WordPress sur la toile. La plupart de ces attaques consistent en trouver le mot de passe de l’utilisateur « admin » qui est initialisé par défaut lors de la création d’un site sous WordPress. Ces attaques font usage d’un dictionnaire d’attaques.

    Les analystes de HostGator estiment que 90 000 adresses IP environ ont actuellement été piratées. CloudFlare pour sa part pense que son nombre est un peu plus haut et l’estime à 100 000. D’ailleurs, Matthew Prince, fondateur et PDG de CloudFlare, explique que la portée des attaques s’étend sur pratiquement tous les sites WordPress de son réseau.

    L’équipe CloudFlare pense que les pirates utilisent actuellement un réseau de PC ayant des puissances relativement faibles, avec pour objectif de « construire un réseau de zombies beaucoup plus costaud que des serveurs, en prévision d'une future attaque. »

    Les serveurs ayant des bandes passantes beaucoup plus grandes, ces futures attaques pourraient affecter une quantité de trafic beaucoup plus importante.

    À l’instar de CloudFlare et HostGator, de nombreux fournisseurs d’hébergement ont pris des mesures pour protéger leurs clients. En plus d’opter pour un mot de passe au niveau de protection « élevée », des plugins WordPress visant à limiter le nombre de tentatives de connexions à partir de la même adresse IP ou du même réseau sont disponibles.

    Si votre site est hébergé sur WordPress.com, vous pouvez activer l’authentification à deux facteurs pour ajouter une couche à la sécurité.

    Télécharger des plugins WordPress

    Sources : HostGator, CloudFlare

    Et vous ?

    Que pensez-vous de ces mesures de sécurité ? Quelle est, selon vous, celle qui vous semble la plus efficace ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 935
    Points
    3 935
    Par défaut
    Que pensez-vous de ces mesures de sécurité ? Quelle est, selon vous, celle qui vous semble la plus efficace ?

    Un bon mot de passe de minimum 12 caractères avec lettres/ chiffres et signes spéciaux confondus (casse minuscule ET majuscule) et le bruteforce peut se brosser ... Ca sera cassé un jour ou l'autre mais vu le temps que ça prendra ...

    Sinon l'autre alternative (ou complément), c'est de bloquer les ip qui se plantent de mot de passe 3 fois en moins de 5 minutes.
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  3. #3
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Manager / Cyber Sécurité
    Inscrit en
    mai 2004
    Messages
    9 985
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Manager / Cyber Sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 985
    Points : 27 279
    Points
    27 279
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    La plupart de ces attaques consistent en trouver le mot de passe de l’utilisateur « admin » qui est initialisé par défaut lors de la création d’un site sous WordPress. Ces attaques font usage d’un dictionnaire d’attaques.
    Sans vouloir etre mechant, si le mot de passe est trouve, c'est (presque) bien fait pour l'administrateur...

    Laisser un compte existant par defaut avec un mot de passe qui peut etre dans un dictionnaire, c'est un peu comme laisser un post-it "La clef est sous le paillasson".

    Pour ceux qui se demandent, un dictionnaire (bien fait) ne comporte pas que des mots de passe "courants", mais aussi les remplacements basiques de type s par $, e par 3, o par 0, ...
    Ainsi, pa$$w0rd est aujourd'hui dans tous les bons dictionnaires. Les meilleurs ont ainsi des remplacements automatiques.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

  4. #4
    Nouveau Candidat au Club
    Homme Profil pro
    Développeur informatique
    Inscrit en
    avril 2013
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2013
    Messages : 7
    Points : 0
    Points
    0
    Par défaut
    Des pirates volent des mots de passe pour contrôler des serveurs
    Incroyable! ça c'est de l'info totale!

  5. #5
    Responsable
    Office & Excel


    Homme Profil pro
    Formateur et développeur chez EXCELLEZ.net
    Inscrit en
    novembre 2003
    Messages
    18 274
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : Belgique

    Informations professionnelles :
    Activité : Formateur et développeur chez EXCELLEZ.net
    Secteur : Enseignement

    Informations forums :
    Inscription : novembre 2003
    Messages : 18 274
    Points : 52 942
    Points
    52 942
    Billets dans le blog
    122
    Par défaut
    Citation Envoyé par Zweet Voir le message
    Un bon mot de passe de minimum 12 caractères avec lettres/ chiffres et signes spéciaux confondus (casse minuscule ET majuscule) et le bruteforce peut se brosser ... Ca sera cassé un jour ou l'autre mais vu le temps que ça prendra ...

    Sinon l'autre alternative (ou complément), c'est de bloquer les ip qui se plantent de mot de passe 3 fois en moins de 5 minutes.
    Une sécurité supplémentaire consiste à modifier régulièrement son mot de passe, ce qui est probablement rarement effectué.
    "Plus les hommes seront éclairés, plus ils seront libres" (Voltaire)
    ---------------
    Mes billets de blog sur DVP
    Mes remarques et critiques sont purement techniques. Ne les prenez jamais pour des attaques personnelles...
    Pensez à utiliser les tableaux structurés. Ils vous simplifieront la vie, tant en Excel qu'en VBA ==> mon tuto
    Le VBA ne palliera jamais une mauvaise conception de classeur ou un manque de connaissances des outils natifs d'Excel...
    Ce ne sont pas des bonnes pratiques parce que ce sont les miennes, ce sont les miennes parce que ce sont des bonnes pratiques
    VBA pour Excel? Pensez D'ABORD en EXCEL avant de penser en VBA...
    ---------------

  6. #6
    Membre expert

    Développeur NTIC
    Inscrit en
    janvier 2011
    Messages
    1 670
    Détails du profil
    Informations personnelles :
    Âge : 31

    Informations professionnelles :
    Activité : Développeur NTIC
    Secteur : Biens de consommation

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 670
    Points : 3 935
    Points
    3 935
    Par défaut
    Citation Envoyé par Pierre Fauconnier Voir le message
    Une sécurité supplémentaire consiste à modifier régulièrement son mot de passe, ce qui est probablement rarement effectué.
    Bien évidemment
    L'homme est un fou pour l'homme. Toi qui viens de me mettre un aie au moins le courage d'expliquer pourquoi tu n'es pas d'accord.

  7. #7
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : octobre 2012
    Messages : 630
    Points : 1 172
    Points
    1 172
    Par défaut
    Personnellement, j'ai un mdp 26 caracteres. Avec un mdp comme celui là (car spéciaux + alpha) on décroit fortement les risque de casses.
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

Discussions similaires

  1. Migration des Blogs Wordpress vers les Blogs Forum
    Par f-leb dans le forum Blogs du Club
    Réponses: 8
    Dernier message: 06/11/2014, 19h05
  2. GitHub victime d’une grande campagne d’attaques par force brute
    Par Cedric Chevalier dans le forum Sécurité
    Réponses: 44
    Dernier message: 05/12/2013, 11h25
  3. [En PROD] Les Blog's de la rédaction
    Par Marc Lussac dans le forum Evolutions du club
    Réponses: 15
    Dernier message: 09/12/2004, 10h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo