LASHÔN - WordPress Création Sites Internet

Navigation Menu

Sécuriser son blog WordPress et lutter contre le spam – Manuel de Combat

Sécuriser son blog WordPress et lutter contre le spam – Manuel de Combat

Posted on 1 octobre 2010 in Internet | 16 comments

Protégez-vous des hackers

Améliorer la sécurité de son site web avec quelques extensions, codes, plugins et des réflexes.

Tutoriel pour augmenter la sécurité informatique de son site web ou blog sous WordPress en général et guide pour lutter contre le spam (pourriel).

A lire d’abord ce préambule indispensable : Sécurité informatique et Lutte anti-spam.

Sommaire :

  1. Toujours effectuer les mises à jour
  2. Sécuriser son PC pour sécuriser son WordPress
  3. Encrypter cookies d’authentification
  4. Installer un Captcha
  5. Activer Askimet
  6. Plugins WordPress Antispams
  7. Blacklister liens Nofollow en liste noire
  8. Configurer un .htacces en béton
  9. Protéger dossiers, admin, wp-config, wp-login, htaccess
  10. Connexion sécurisée SSL et htpasswd
  11. Exclure requêtes externes sur commentaires
  12. Bannir pourriels en masse par IP
  13. Requête SQL afficher liste IP spammeurs
  14. Interdire domaine spammeurs
  15. Bloquer robots spams
  16. Interdire vol de contenu RSS
  17. Interdire affichage vol images
  18. Cacher votre Email aux robots (nouveau, update)
  19. Interdire indexation dossiers vulnérables
  20. Modifier le préfixe wp par défaut (nouveau, update)
  21. Autres ressources
  22. Victime ? Votre blog est infecté ? Extensions Firefox utiles (nouveau, update)
  23. Modération des commentaires

1. TENEZ VOTRE WORDPRESS A JOUR

Les mises à jour corrigent les failles de sécurité. Un message vous en avertit dans le tableau de bord. Pour mettre à jour il suffit de suivre les liens de mises à jour proposés. Les plugins et thèmes aussi doivent être updatés.

2. SÉCURISEZ VOTRE PC POUR SÉCURISER VOTRE SITE WEB OU BLOG WORDPRESS

UTILISEZ DES MOTS DE PASSE TRÈS FORTS !
Si vos gestes généraux de lutte antispam et de sécurité informatique sont corrects vous réduirez déjà drastiquement le nombre de vos spams, y compris ceux qui empestent vos blogs. J’ai déjà expliqué toute l’importance de bons mots de passe, du choix du webmail et gestes réflexes à avoir. On peut lutter autant que l’on veut sur son blog, si votre messagerie et/ou le serveur de votre adresse email ne suivent pas dans la lutte sécuritaire, vous perdez temps et énergie en vain. Donc lisez aussi mes explications précédentes. Certains d’entre-vous n’imaginent pas le lien entre mauvais gestes généraux sur un PC et courrier indésirables dans leur blogs. Ensuite, puisque les techniques des spammeurs (humains ou robots) sont multiples, il convient de combiner les solutions de combat.

Dans la catégorie mots de passe, pour ceux qui ne veulent pas toucher à une ligne de code, vous pouvez utiliser un plugin pour ajouter un niveau de protection à votre mot de passe d’administrateur : Plugin AskApache Password Protect

3. ENCRYPTEZ LES COOKIES DE VOS CLEFS D’AUTHENTIFICATION

Simple à faire. Ouvrez votre fichier wp-config.php. Vous y trouverez des lignes prévues pour ça sous le titre Clefs uniques d’authentification et salage. Ainsi que le lien pour générer ces clés (qui change avec les versions WP successives).

Clefs uniques d'authentification et salage dans votre fichier wp-config.php

wp-config.php avec des clefs uniques d'authentification (cliquez pour agrandir l'image)

Il suffit de visiter ce lien : générer des clefs

Insérez ces clés, sauvegardez, actualisez les dossiers de votre logiciel FTP, et chargez le fichier en ligne.

(A noter que l’adresse de ce lien commence par https (remarquez le ‘s’), qui traduit bien une connexion sécurisée par SSL).

4. METTRE UN CAPTCHA POUR VOS COMMENTAIRES

Une technique appréciable est d’installer un capcha pour les commentaires.

Choisissez un plugin :

suppression automatique spam avec captcha

La captcha, ça marche. 57 pourriels évités en quelques heures

5. NE FAITES PAS L’IMPASSE DU PLUGIN ASKIMET

Livré par défaut avec WordPress, activez-le. On vous demandera une clé d’activation pour ce faire, il suffit d’ouvrir un compte (et non un blog, juste un login) chez wordpress.com et de copier coller la api key livrée dans votre profil.

6. PLUGINS WORDPRESS ANTISPAM

Certaines de ces extensions sont très efficaces. Si vous êtes plus à l’aise avec le fait d’installer un plugin plutôt que configurer le fichier .htaccess comme je vais vous le proposer plus loin, voici une petite liste par efficacité décroissante :

7. BLACKLISTER LES LIENS EN NOFOLLOW

Puisque depuis 2005 Google, YAHOO et MSN ne crawlent plus les liens en nofollow, une partie des robots ne viendra plus par chez vous. Ce point est discuté mais pour ma part j’ai constaté une nette amélioration depuis.

Dans l’onglet Réglages de votre tableau de bord, allez dans Discussions. Deux grands champs vides attendent que vous les remplissiez. Dans le premier champ vide intitulé liste de modération des commentaires, ajoutez au fur et à mesure des mots clés à bloquer. Mais surtout, dans le 2e champ vide intitulé Liste noire pour les commentaires, filtrez logique en ajoutant :

[url=
[link=
rel="nofollow"

Alternative via le plugin Nofollow Free

8. CONFIGURER UN HTACCESS EN BÉTON

Les codes suivants sont à ajouter dans le fichier .htaccess. Sauvegardez TOUJOURS votre fichier .htaccess avant de le modifier. Ajoutez une seul code à la fois afin de vérifier les erreurs ou plantages éventuels. Certaines commandes ne fonctionneront pas avec votre site car les paramètres varient trop d’un hébergeur à l’autre.

9. Codes pour PROTÉGER DOSSIERS, WP-CONFIG, HTACCESS, WP-LOGIN, ADMINISTRATION, TRACKBACK SPAM

Protéger le fichier WP-CONFIG :

#Protection of wp-config.php
<files wp-config.php>
  Order deny,allow
  deny from all
  </files>

Protéger le fichier WP-LOGIN

Certains suggèrent de protéger la connexion au blog (wp-login.php). Cette opération n’est possible que si vous êtes le seul administrateur ET que vous possédez une IP fixe. Ce qui est rare. Donc si vous êtes en voyage, vous n’aurez pas accès à votre blog.

<Files Wp-login.php>
Order deny, allow
Deny from All
Allow from **.***.***.**
</ Files>

En revanche vous pouvez empêcher l’accès administration pour un IP spécifique :

Protéger l’administration

# Restrict access WP-Admin login on a specific IP address
AuthUserFile / dev / null
AuthGroupFile / dev / null
AuthName “Access Control”
AuthType Basic
order deny, allow
deny from all
# Your IP address
allow from **.***.***.**

Pour ajouter des IP à bloquer, remplacez les caractères **.***.***.** par le nouvel IP, séparé par une virgule (,).

Interdire l’accès à votre htaccess

# htaccess protection
<Files ~ "^.*.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

Renommez votre fichier .htaccess

Par exemple renommez en fichieracces, puis insérez ce nouveau nom :

# rename htaccess
fichieracces ht.access

Empêcher l’internaute de voir le contenu de vos répertoires

Tous les blogs WP non sécurisés ni optimisés ont la même structure. Aussi tout utilisateur sait qu’il peut voir vos images en vrac (dossier wp-content/uploads), les plugins (dossier wp-content/plugins), les thèmes WP et tout contenu de dossier.

# Protect Directory browsing
Options All-Indexes

Si vous ne faites pas ça, au moins chargez un fichier vide index.html ou index.php dans tous les dossiers que vous ne voulez pas voir listés (thèmes, plugins, images uploads…).

Interdire les trackbacks visiblement non humains et spammeurs

# Deny Obvious Trackback Spams
RewriteCond %{REQUEST_METHOD} =POST
RewriteCond %{HTTP_USER_AGENT} ^.*(opera|mozilla|firefox|msie|safari).*$ [NC]
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9} /.+/trackback/? HTTP/ [NC]
RewriteRule .* - [F,NS,L]

10. PROTEGER VOS PAGES WP-ADMIN ET LOGINS AVEC HTPASSWD OU SSL

A) Mettez en place un fichier htpasswd

En deux étapes. Vous devez créer un fichier .htpasswd qui contient un mot de passe crypté. Puis renseignez le code généré dans le htaccess. Plus de détail et pour crypter le mot de passe, cherchez sur Google ou voir chez Infowebmaster Tutorial pour sécuriser un dossier.

B)Forcez une connexion sécurisée (SSL)

Pour l’administration. Attention, n’essayez pas ça sur un hébergeur gratuit ou votre blog va planter. Il faut également que votre hébergeur accepte le SSL (voir les options de votre plan d’hébergement). Si oui, il suffit d’insérer dans wp-config.php :

<?php define('FORCE_SSL_ADMIN', true); ?/>

Ou utilisez le plugin Admin SSL .

Ceci donnera le choix à vos membres et vous-même entre rapidité et plus grande sécurité (toujours ce https). Fonction sensible, pas vraiment utile pour des blogs généraux. Plutôt pour des utilisations spécifiques aux entreprises et aux boutiques de commerce ou une plateforme multisites.

C) VÉRIFIEZ LES PERMISSIONS CHMOD SUR VOS DOSSIERS ET FICHIERS EN FTP

Restons simple. Tous vos dossiers doivent être en 755, les fichiers en 644.

11. EXCLURE LES REQUÊTES ÉTRANGÈRES

Si la xénophobie est à proscrire pour l’être humain, en matière de requêtes Web elle est recommandée. En gros vous allez spécifier que la machine sans Referer et sans agent soit bannie pour poster un commentaire (une requête qui ne part de votre blog, ce qui est la cas des campagnes de spams.
Indiquez le nom de votre base de données et votre nom de domaine dans le code suivant :

RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*yourblog.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

Attention : Si comme moi vous avez modifié le préfixe de vos tables WP (le fameux wp_ dans votre wp-config.php), il convient de l’exprimer dans le code. Par exemple vous avez changé wp_ pour blogdejules_ . Vous devrez indiquer (3e ligne) blogdejules-comments-post. Ne confondez pas préfixe des tables WP et base de données…

#Exclure les requêtes sans référence
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .nom-du-prefixe-de-votre-table-wordpress-comments-post.php*
RewriteCond %{HTTP_REFERER} !.*votre-nom-de-domaine-ici.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]

Vous pouvez aussi bannir toute tentative de POST qui ne passe pas via votre fichier de commentaires WP-comments-post.php

#Only reach a real WP-comments-post.php
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9} /.*/wp-comments-post.php.* HTTP/ [NC]
RewriteRule .* - [F,NS,L]

12. BANNIR PAR IP

Pour ma part je trouve la manœuvre délicate étant donné que les IP changent. Si vous n’êtes pas certain de ce que vous faites, vous bloquerez des innocents, voire vos visiteurs habituels. Il suffit d’ajouter cette ligne :

Deny from 123.456.789

Mais globalement on peut utiliser une solution de liste contrôlée en bloquant par filtres une liste anti agents spammeurs vérifiée. L’intérêt est que vous pouvez agrandir cette liste vous-même avec le temps (une ou deux fois par an suffit, je ne parle pas d’ajouts réguliers).

Source : Perishable Press

13. Interdire par domaines de spammeurs

# Ultimate htaccess Blacklist 2 from Perishable Press
# Deny domain access to spammers and other scumbags
RewriteEngine on
RewriteBase /
RewriteCond  %{HTTP_USER_AGENT}  ADSARobot|ah-ha|almaden|aktuelles|Anarchie|amzn_assoc|ASPSeek|ASSORT|ATHENS|Atomz|attach|attache|autoemailspider|BackWeb|Bandit|BatchFTP|bdfetch|big.brother|BlackWidow|bmclient|Boston  Project|BravoBrian SpiderEngine MarcoPolo|Bot  mailto:craftbot@yahoo.com|Buddy|Bullseye|bumblebee|capture|CherryPicker|ChinaClaw|CICC|clipping|Collector|Copier|Crescent|Crescent  Internet  ToolPak|Custo|cyberalert|DA$|Deweb|diagem|Digger|Digimarc|DIIbot|DISCo|DISCo  Pump|DISCoFinder|Download Demon|Download  Wonder|Downloader|Drip|DSurf15a|DTS.Agent|EasyDL|eCatch|ecollector|efp@gmx.net|Email   Extractor|EirGrabber|email|EmailCollector|EmailSiphon|EmailWolf|Express  WebPictures|ExtractorPro|EyeNetIE|FavOrg|fastlwspider|Favorites  Sweeper|Fetch|FEZhead|FileHound|FlashGet  WebWasher|FlickBot|fluffy|FrontPage|GalaxyBot|Generic|Getleft|GetRight|GetSmart|GetWeb!|GetWebPage|gigabaz|Girafabot|Go!Zilla|Go!Zilla|Go-Ahead-Got-It|GornKer|gotit|Grabber|GrabNet|Grafula|Green   Research|grub-client|Harvest|hhjhj@yahoo|hloader|HMView|HomePageSearch|http  generic|HTTrack|httpdown|httrack|ia_archiver|IBM_Planetwide|Image  Stripper|Image Sucker|imagefetch|IncyWincy|Indy*Library|Indy  Library|informant|Ingelin|InterGET|Internet  Ninja|InternetLinkagent|Internet  Ninja|InternetSeer.com|Iria|Irvine|JBH*agent|JetCar|JOC|JOC Web  Spider|JustView|KWebGet|Lachesis|larbin|LeechFTP|LexiBot|lftp|libwww|likse|Link|Link*Sleuth|LINKS  ARoMATIZED|LinkWalker|LWP|lwp-trivial|Mag-Net|Magnet|Mac  Finder|Mag-Net|Mass Downloader|MCspider|Memo|Microsoft.URL|MIDown  tool|Mirror|Missigua Locator|Mister  PiX|MMMtoCrawl/UrlDispatcherLLL|^Mozilla$|Mozilla.*Indy|Mozilla.*NEWT|Mozilla*MSIECrawler|MS   FrontPage*|MSFrontPage|MSIECrawler|MSProxy|multithreaddb|nationaldirectory|Navroad|NearSite|NetAnts|NetCarta|NetMechanic|netprospector|NetResearchServer|NetSpider|Net  Vampire|NetZIP|NetZip  Downloader|NetZippy|NEWT|NICErsPRO|Ninja|NPBot|Octopus|Offline  Explorer|Offline  Navigator|OpaL|Openfind|OpenTextSiteCrawler|OrangeBot|PageGrabber|Papa  Foto|PackRat|pavuk|pcBrowser|PersonaPilot|Ping|PingALink|Pockey|Proxy|psbot|PSurf|puf|Pump|PushSite|QRVA|RealDownload|Reaper|Recorder|ReGet|replacer|RepoMonkey|Robozilla|Rover|RPT-HTTPClient|Rsync|Scooter|SearchExpress|searchhippo|searchterms.it|Second  Street  Research|Seeker|Shai|Siphon|sitecheck|sitecheck.internetseer.com|SiteSnagger|SlySearch|SmartDownload|snagger|Snake|SpaceBison|Spegla|SpiderBot|sproose|SqWorm|Stripper|Sucker|SuperBot|SuperHTTP|Surfbot|SurfWalker|Szukacz|tAkeOut|tarspider|Teleport   Pro|Templeton|TrueRobot|TV33_Mercator|UIowaCrawler|UtilMind|URLSpiderPro|URL_Spider_Pro|Vacuum|vagabondo|vayala|visibilitygap|VoidEYE|vspider|Web  Downloader|w3mir|Web Data Extractor|Web Image Collector|Web  Sucker|Wweb|WebAuto|WebBandit|web.by.mail|Webclipping|webcollage|webcollector|WebCopier|webcraft@bea|webdevil|webdownloader|Webdup|WebEMailExtrac|WebFetch|WebGo   IS|WebHook|Webinator|WebLeacher|WEBMASTERS|WebMiner|WebMirror|webmole|WebReaper|WebSauger|Website|Website  eXtractor|Website  Quester|WebSnake|Webster|WebStripper|websucker|webvac|webwalk|webweasel|WebWhacker|WebZIP|Wget|Whacker|whizbang|WhosTalking|Widow|WISEbot|WWWOFFLE|x-Tractor|^Xaldon  WebSpider|WUMPUS|Xenu|XGET|Zeus.*Webster|Zeus [NC]
RewriteRule ^.* - [F,L]

14. REQUÊTE SQL POUR OBTENIR UNE LISTE DES SPAMMEURS

Pour ajouter des IP à cette liste vous devez connaître les IP fautives. une requête SQL dans votre base de données vous les révèlera :

SELECT count( * ) AS cnt, `comment_author_IP` as cmnt_ip FROM ` ».$table_prefix. »comments` WHERE 1 GROUP BY cmnt_ip ORDER BY `cnt` DESC, `cmnt_ip` DESC « ;

Evidemment, ceci à condition que vous ne les ayez pas déjà effacés. Vous pouvez bien sûr aussi les copier-coller directement dans la liste de vos commentaires indésirables.

15. BLOQUER LES ROBOTS SPAMMEURS

#Bloquer robots de spams
SetEnvIfNoCase User-Agent "^EmailSiphon" bad_bot
SetEnvIfNoCase User-Agent "^EmailWolf" bad_bot
SetEnvIfNoCase User-Agent "^ExtractorPro" bad_bot
SetEnvIfNoCase User-Agent "^CherryPicker" bad_bot
SetEnvIfNoCase User-Agent "^NICErsPRO" bad_bot
SetEnvIfNoCase User-Agent "^Teleport" bad_bot
SetEnvIfNoCase User-Agent "^EmailCollector" bad_bot
SetEnvIfNoCase User-Agent "^174.129.88.35" bad_bot
Order Allow,Deny
Allow from all
Deny from env=bad_bot
SetEnvIfNoCase  ^User-Agent$  .*(craftbot|download|extract|stripper|sucker|ninja|clshttp|webspider|leacher|collector|grabber|webpictures)  HTTP_SAFE_BADBOT
SetEnvIfNoCase ^User-Agent$ .*(libwww-perl|aesop_com_spiderman) HTTP_SAFE_BADBOT
Deny from env=HTTP_SAFE_BADBOT
SetEnvIfNoCase Via evil-spam-proxy spammer=yes
SetEnvIfNoCase Referer evil-spam-domain.com spammer=yes
SetEnvIfNoCase Referer evil-spam-keyword spammer=yes
SetEnvIfNoCase Via pinappleproxy spammer=yes
SetEnvIfNoCase Referer doobu.com spammer=yes
SetEnvIfNoCase Referer poker spammer=yes
SetEnvIfNoCase Referer pharmacylegal.info spammer=yes
SetEnvIfNoCase Referer 174.129.88.35 spammer=yes
deny from env=spammer

16. INTERDIRE LE VOL DE VOS CONTENUS DE VOS FILS RSS

Source : IP Delivery to Stop RSS Content Thieves

Seo Black Hat nous explique qu’il suffit de repérer l’adresse IP du voleur. Ensuite d’indiquer le flux que vous voulez voir s’afficher à la place du vôtre. Dans son cas il a simplement eu l’excellente idée d’indiquer le flux de son voleur, ce qui lui crée une boucle problématique tout en laissant votre blog désormais tranquille.

RewriteEngine on
RewriteCond %{REMOTE_ADDR} ^69.16.226.12
RewriteRule ^(.*)$ http://newfeedurl.com/feed

(Modifiez newfeedurl.com/feed par l’adresse du sans-gêne, modifiez 69.16.226.12 par l’IP adéquate).

Pour trouver l’adresse IP à bloquer, si vous êtes en Windows regardez votre écran en bas à gauche allez dans le menu Démarrer, trouvez l’onglet Executer et collez ping nom-de-domaine-du-site.ltd. Exemple pour mon site tapez : ping lashon.fr

Ou encore utilisez un Traceroute. Ou avec l’extension Firefox ShowIP.

Mais, comme l’écrit Jeff Star de Perishable Press dans How to Deal with Content Scrapers , si ce ‘vol’ de contenu est fait sur un gros site très fréquenté, vaut mieux laisser faire puisque cela amène instantanément des centaines de backlinks, à condition que vos flux contiennent beaucoup de liens internes vers votre blog…

17. INTERDIRE L’AFFICHAGE DE VOS IMAGES AILLEURS

Un bout de code dans htaccess et vos images ne seront pas affichables via vos liens.

Le Hotlinking consiste en la très mauvaise habitude de coller l’adresse d’une image vue ailleurs pour l’afficher sur son blog, ce qui vole non seulement l’image mais aussi un peu de votre bande passante.

Voici le bout de code pour le contrôler. Choisissez une image de substitution qui s’affichera en lieu et place et uploadez-la à la racine de votre blog. N’oubliez pas d’indiquer votre nom de domaine à vous dans ces lignes:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
 RewriteCond %{HTTP_REFERER} !^http://(www.)?votre-nom-de-domain.com/.*$ [NC]
 #RewriteRule .(gif|jpg)$ - [F]
 RewriteRule .(gif|jpg)$ http://www.lang="apache[notools]">votre-nom-de-domain.com/image-substitution.jpg [R,L]

Interdire les requêtes qui ne sont pas vides ou ne proviennent pas de votre site sur les fichiers statiques

Pour aller plus loin, essayez de tout interdire en somme… Les fichiers statiques sont par exemple vos images, feuilles de style, scripts, pdf, sons, vidéos, etc. Attention, il se peut que ce code soit incompatible selon votre hébergeur et vos plugins en place. C’est une autre façon radicale d’interdire le hotlinking.

#Denies any request on static files
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{REQUEST_URI} !^/(wp-login.php|wp-admin/|wp-content/plugins/|wp-includes/).* [NC]
RewriteCond %{HTTP_REFERER} !^http://www.votredomaine.com.*$ [NC]
RewriteRule .(ico|pdf|flv|jpg|jpeg|mp3|mpg|mp4|mov|wav|wmv|png|gif|swf|css|js)$ - [F,NS,L]

Encore une fois, si vous haïssez l’idée de chipoter avec du code, utilisez un plugin : Hotlink Protection Plugin for WordPress

Une astuce courante supplémentaire est d’ajouter du texte sur cette image de substitution en indiquant le lien de votre blog. Le message sera ainsi parfaitement clair.

NOTE UTILE : avant d’uploader vos images, il convient d’en réduire le poids via smushit en ligne.

18. CACHER VOTRE EMAIL AUX ROBOTS

Voici plusieurs solutions, choisissez la vôtre:

1) Pour afficher dans vos thèmes WordPress c’est facile. Utilisez la fonction existante pour faire apparaître votre Email sans qu’il soit visible aux spams en utilisant (par exemple dans le footer.php) :

<?php bloginfo('admin_email'); ?>

2) Encryptez votre adresse mail avec le générateur de liens Cebermail. Vous entrez votre adresse, on vous donnera le lien crypté à afficher sur vos blogs. Le lecteur clique sur le lien proposé, ce qui ouvre son logiciel de messagerie pour écrire à votre adresse. Il doit aussi résoudre un captcha s’il veut voir l’adresse non cryptée.

Par exemple mon Email crypté est : http://cerbermail.com/?MEj2eD3KRR

3) Générez une image de votre mail à afficher chez DomainTools. Vous pouvez régler la police, couleur et taille. On vous proposera un bout de code mais le mieux est encore de télécharger l’image générée puis de l’uploader comme n’importe quelle image :

4) Utilisez un script en php

Par exemple chez Php Sources : Adresse e-mail/mailto anti-spam (utilisant Javascript)

5) Utilisez un javascript
Collez ce script dans votre header.php entre les balises HEAD:

<script type= »text/javascript »>
function openmail(a, b)
{
 window.open('mailto:' + a + '@' + b);
 }
 </script>

Puis collez votre lien comme suit. Exemple pour info@domaine.com :

<a onclick="»openmail('info'," href="»#">Envoyer un message au Webmaster</a>

Ces solutions cachent votre adresse mail aux robots tout en permettant à votre visiteur de cliquer sur celle-ci. Ce qui ouvre son logiciel de messagerie avec un nouveau mail où votre adresse est déjà insérée.

19. PROTÉGER L’INDEXATION DES PARTIES SENSIBLES DE VOTRE BLOG

Avec un simple fichier texte… Le très utile robots.txt à la racine de votre site peut aussi servir à masquer pour l’indexation les dossiers et pages vulnérables.

# All Bots
User-agent: *
Disallow: /wp-*
Disallow: /*.php$
Disallow: /*.js$
Disallow: /*.inc$
Disallow: /*.css$
Disallow: /*.gz$
Disallow: /*.wmv$
Disallow: /*.swf$
Disallow: /*.cgi$
Disallow: /cgi-bin
Disallow: /wp-admin/
Disallow: /wp-includes/
Disallow: /wp-content/
Disallow: /author/

De même vous pouvez empêcher l’indexation par des moteurs indésirables :

# Bing Picture Search
User-agent: psbot
Disallow: /
# Dugg Mirror
User-agent: duggmirror
Disallow: /

20. Modifier le préfixe wp_ par défaut

Si vous installez un nouveau WP, faites-le tout de suite. Le préfixe wp_ définit le nom de ses tables sur la base de données. Particulièrement important si on compte héberger plusieurs blogs sur une seule base. Dans le wp-config.php, remplacer :

$table_prefix  = 'wp_';

par un préfixe personnel qui ressemble à un mot de passe :

$table_prefix  = 'blogCIEL2Uir5846_';)

Si votre blog est déjà en ligne, vous pouvez aussi modifier ce préfixe.

– Soit avec un plugin comme WordPress Table Rename Plugin.

– Soit manuellement chez votre hébergeur, dans votre console mySQL ou PhpAdmin. C’est plus simple qu’il n’y paraît. Deux méthodes :

Soit en cliquant sur chaque table, via l’onglet Opérations :  il faut le faire table par table. Affichez votre base de données. Vous voyez à gauche les 11 tables WP (plus, si vous avez installés des plugins invasifs).

Cliquez sur une table (à gauche). Une fois ouverte, cliquez sur Opérations (en haut à droite). Vous verrez alors une option Changer le nom de la table pour. Changez seulement wp et laissez bien l’underscore (_). C’est tout, vous voyez apparaître à gauche le nouveau de votre table. Recommencez l’opération pour chacune d’entre elle.

Ou par des requêtes SQL via l’onglet Requête (ou SQL selon):

RENAME TABLE 'nom-base-données'.`wp_links` TO 'nom-base-données'.`votre-prefixe_links` ;
RENAME TABLE 'nom-base-données'.`wp_options` TO 'nom-base-données'.`votre-prefixe_options` ;
RENAME TABLE 'nom-base-données'.`wp_postmeta` TO 'nom-base-données'.`votre-prefixe_postmeta` ;
RENAME TABLE 'nom-base-données'.`wp_posts` TO 'nom-base-données'.`votre-prefixe_posts` ;
RENAME TABLE 'nom-base-données'.`wp_terms` TO 'nom-base-données'.`votre-prefixe_terms` ;
RENAME TABLE 'nom-base-données'.`wp_term_relationships` TO 'nom-base-données'.`votre-prefixe_term_relationships` ;
RENAME TABLE 'nom-base-données'.`wp_term_taxonomy` TO 'nom-base-données'.`votre-prefixe_term_taxonomy` ;
RENAME TABLE 'nom-base-données'.`wp_usermeta` TO 'nom-base-données'.`votre-prefixe_usermeta` ;
RENAME TABLE 'nom-base-données'.`wp_users` TO 'nom-base-données'.`votre-prefixe_users` ;

Attention, il faut effectuer une requête à la fois ! Ensuite, une fois vos tables renommées, il faut mettre à jour d’autres options :

– Changez la valeur wp_user_roles et wp_usermeta par votre-prefixe_user_roles et votre-prefixe_usermeta

– Changez wp_capabilities, wp_user_level, and wp_autosave_draft_ids par
votre-prefixe_capabilities, votre-prefixe_user_level, votre-prefixe_autosave_draft_ids.

Et éventuellement vérifier les métas :

UPDATE votre-prefixe_options SET option_name = REPLACE(option_name, 'wp_', 'votre-prefixe_');
UPDATE votre-prefixe_usermeta SET meta_key = REPLACE(meta_key, 'wp_', 'votre-prefixe_');

21. Autres ressources ailleurs

Des blogs vous proposent également de :

22. Victime de Hackers ? Quelques outils pour voir l’action

Si vous êtes la cible d’une sérieuse attaque virale, essayez de voir ce qui se passe. Vous pourriez avoir besoin de ces Extensions (Addon) pour Firefox :

  • User Agent Switcher (voir votre page avec un autre agent web)
  • VTzilla Firefox Plugin (la puissante extension de chez VirusTotal qui analyse les sites et fichiers avant leurs téléchargements)
  • Tamper Data (pour voir et modifier HTTP/HTTPS headers)
  • ShowIP (voir le IP de la page sur laquelle on surfe)
  • HackBar (Audit de securité et test de pénétration)
  • SQL Inject Me (Pour tester les vulnérabilités d’injection SQL)
  • BitDefender QuickScan (scanne et cherche les virus sur votre ordinateur)
  • Malware Search (recherche de malwares dans une sélection de texte)
  • Chez Assiste, une boîte à outils liens, conseils, logiciels antispam, antivirus et autres

+ A venir sur ce blog : un long tutoriel pour se sortir du pétrin lorsqu’on son WordPress est piraté, infecté ou vérolé.

23. Réglez la modération de vos commentaires

Dans votre tableau de bord, prenez le temps de lire et configurer les mode d’accès de vos commentaires. Les options sont claires. Vous pouvez décider ce que vous voulez ou presque. Ne les autoriser qu’aux membres ou en accès libre. Modération obligatoire par un administrateur ou modération seulement pour ceux qui n’ont encore jamais posté (modération du premier). Ces paramètres ont également une incidence sur le contrôle et la réduction des spams.

Ou désactiver totalement les commentaires. Cette dernière option vous permet de décider au cas par cas pour chaque article ou page. Lorsque vous créez ou modifiez une page, cochez la petite case ‘autoriser les commentaires’, ou l’inverse…

Configurer les commentaires sur votre blog

Modérez les commentaires dans votre tableau de bord. Onglet REGLAGES puis DISCUSSION (cliquez pour agrandir l'image)

Bonne lutte !

LIRE

Protéger son ordinateur et son Blog, combattre spams et phishing

Protéger son ordinateur et son Blog, combattre spams et phishing

Posted on 29 septembre 2010 in Internet | 3 comments

De mauvais mots de passe jamais changés vous rendent vulnérables aux virus et aux fraudes.

Agissez-vous en bon père de famille avec la sécurité sur Internet ? Formule ironique, passez-moi le gag mais sécuriser votre PC, votre messagerie et vos blogs peut vous éviter de perdre de l’argent, perdre vos données ou les rendre publiques et bien des déboires à vos enfants.

Sommaire :

CRÉEZ DES MOTS DE PASSE COMPLIQUES ET CHANGEZ-LES TROIS FOIS PAR AN

Tout d’abord une règle d’or : Vous pouvez mettre en place tous les outils du Web à votre disposition, si les mots de passe de vos adresses email sont trop faibles, toutes les stratégies de sécurité ne servent à rien. Veuillez donc à les changer tous les trois mois et à bien les choisir. Ils doivent être longs d’au moins 8 caractères (12 est mieux), se composer de chiffres, lettres en minuscules et majuscules et caractères spéciaux (par exemple 45erjku9M!%A). Il convient de les modifier régulièrement. Bannissez les mots du dictionnaire y compris les noms propres. Veuillez également à ne pas utiliser le même mot de passe pour vos différents comptes et surtout ne pas choisir votre date de naissance, encore moins votre numéro de carte de crédit ou téléphone…. Vérifiez que votre mot de passe soit solide. Ne choisissez jamais des trucs faciles du clavier comme azerty ou 123456 ou les classiques iloveyou, amour, ils sont pris par 40% des internautes donc spammés.

Testeur de mot de passe (Microsoft) ou le très pédagogique Passwordmeter.

Oh je sais, j’imagine que certains sont découragés à l’idée de retenir 36 mots de passe différents, à fortiori compliqués. Alors pour ceux-là, je vous propose le service Laspass.

LASTPASS – Tous pour un, un mot de passe pour tous

Une seul interface pour gérer toutes vos connexions Internet

C’est un gestionnaire de vos informations confidentielles sous la forme d’une extension pour les navigateurs Firefox, Chrome, Safari (pour Mac), Explorer. Il est gratuit. Il vous permet de ne retenir qu’un seul mot de passe en lieu et place de tous les autres. Gain de temps, augmentation de la sécurité informatique et synchronisation avec d’autres PC et navigateurs.

Toutes les opérations de cryptage et décryptage ont lieu exclusivement sur votre ordinateur, pas sur les serveurs du logiciel. Ainsi nos données sensibles ne voyagent pas sur Internet mais seulement leur version chiffrées. Vous êtes le seul à détenir la clé chiffrée.

utilisez Laspasse pour générer des mots de passe difficiles et sécurisés.

L’extension pour Firefox : LastPass Password Manager

Logiciel à télécharger sur votre ordinateur : Laspass.com

Manuels d’utilisation et conseils : Lasspass manuels

En couplant Lasspass avec un bon choix de mots de passe vous vous protégez simplement. Commencez par changer tous vos mots de passe pour chacun de vos comptes internet (adresse email, connexion blogs, banques, paypal, ebay, organismes, réseaux…). Notez-les sur un bloc-notes papier qui demeure à votre domicile (ni sur votre PC ni au bureau). Ensuite utilisez Lasspass pour n’avoir à en retenir qu’un seul. Le tour est joué.

UTILISEZ UN BON NAVIGATEUR POUR SURFER SUR INTERNET

Pour ceux qui ne le savent pas, un navigateur est le logiciel avec lequel vous êtes en train de visionner cette page (Browser en anglais). Si vous utilisez encore Internet Explorer c’est le moment de passer à un navigateur moins lourd et plus sécurisé. Ou au moins mettez à jour votre Explorer, surtout si vous en êtes encore à la version 6 qui déforme tous les sites web !

Téléchargez gratuitement Firefox ou Chrome ou Safari (pour Mac).

NE RELAYEZ PAS VOS BLAGUES PAR EMAIL OU VOUS DEVIENDREZ SPAMMEUR A VOTRE INSU

Si vous avez l’habitude d’envoyer ou transférer à des listes d’amis vos blagues et trucs marrants glanés sur la Toile, sachez qu’elles sont la proie facile des robots spammeurs. Très vite votre adresse mail sera spammée ainsi que celles à qui vous avez envoyé votre humeur du jour puisque relayée des milliers de fois et finalement chez des inconnus.

L’autre raison est que cette mauvaise habitude finira par vous classer en spam automatiquement par les logiciels de vos amis sans même qu’ils le sachent. Il suffit d’une seule personne ayant relayée votre mail et que vous ne connaissez pas ait classé votre message en indésirable. Il suffit que ce relais atteigne les 50.000. C’est vite arrivé. Puis, êtes-vous certains que votre PC est propre et que vous ne relayez pas virus, chevaux de Troie et autres indésirables ?

Si vous possédez une adresse mail avec un nom de domaine personnel vous pouvez vérifier si vous êtes en blacklist quelque part

Testeur de blacklists : MxToolbox

Demandez à vos nouveau amis s’ils sont d’accord de recevoir des tonnes de blagues par jour, des appel à signature, relais d’infos, vidéos gags… Pour ce genre d’envoi il y a maintenant les réseaux (Facebook). Au moins vous laissez le choix à vos amis et leur assurez le respect de leurs données et de leur précieux temps. Car gérer une boîte email noyée par des infos non personnelles puis spammée est particulièrement fastidieux et emm… Vous risquez d’irriter vos correspondants et les rendez vulnérables au spam. Certains vous le diront, d’autres ne diront rien et bloqueront vos messages.

Si vous pensez qu’un de vos contacts vous snobe car il ne vous répond pas, vérifiez avec lui que votre important courrier n’est pas passé à la trappe de son filtre anti-spam. Certains logiciels de messagerie sont paranoïaques.

Pour le choix d’un service Email, prenez toujours une adresse non liée à votre serveur (la boîte qui assure votre connexion à internet). Oubliez les adresses du type hotmail, free, wanadoo. Elles gèrent très mal le spam. Et si vous déménagez ou changez de fournisseur internet vous devrez changer d’adresse. Préférez une adresse comme Gmail (le meilleur) ou lisez le dossier chez Tom’s Guide Quel est le meilleur Webmail?. Avec Gmail vous pouvez récupérer vos autres adresses sans devoir rien changer (à voir dans les paramètres de transfert).

N’AFFICHEZ PAS VOTRE EMAIL SUR UN SITE WEB OU FORUM SANS LE PROTÉGER

Les robots du Web en raffolent, ils collectent ces mails automatiquement. C’est aussi comme ça que vous êtes noyés par des messages genre augmentez votre pénis, argent facile, sexe machin, porn pics dans votre boîte personnelle.

Si vous n’avez pas de sites web, truquez simplement votre adresse : lashon arobas lashon point fr.

Si vous avez un WordPress, utilisez le code natif pour l’afficher dans le footer ou une fonction qui protège le mailto (voir article suivant).

Pour les autres sites web, réalisez une image qui indique votre mail ou utilisez un script qui filtre le mailto (recherche google).

UTILISEZ UN BON ANTIVIRUS

Traduction : Oubliez Norton Antivirus. A moins qu’il ne soit livré par défaut avec votre PC ET que vous possédiez la version 2010-2011. Désinstallez-le ou mettez-le à jour. Ou choisissez un meilleur antivirus payant ou gratuit. Avast a ma préférence. Mais d’autres sont également plébiscités.Voir liste chez Infos du Net. Pour les besoins des particuliers, on sait depuis plusieurs années que les antivirus gratuits sont souvent plus performants que les payants… sauf besoins spécifiques aux entreprises.

ATTENTION AU PHISHING – NE CLIQUEZ JAMAIS SUR UN LIEN INSTITUTIONNEL OU BANCAIRE

Soyez attentif, les banques et les institutions ne demandent jamais de données par email. Si vous recevez une information qui vous suggère de vérifier un problème, surtout ne cliquez pas.

Vous pouvez vérifier l’arnaque en passant la souris sur le lien proposé (sans cliquer, regardez le lien qui s’affiche en bas dans votre navigateur ou logiciel de messagerie, vous verrez l’adresse url qui ne correspond absolument pas au vrai lien mais qui lui ressemble malicieusement).

Si vous avez un compte Paypal et une banque, soyez vigilants car de nombreux spams pirates copient l’apparence de paypal, les sites bancaires, les impôts, les mutuelles… en vous avertissant soit que vous n’avez pas encore confirmé votre banque, soit que votre carte de crédit est piratée ou périmée, soit qu’un virus est sur votre compte, soit vous disent que vous avez un un crédit d’impôt. Je me répète : ne cliquez jamais sur un lien qui exige n’importe quelle donnée de vous à partir d’un email.

FILTREZ LES PHISHINGS LES PLUS CONNUS

Si vous utilisez une adresse mail d’un service autre que celle livrée par défaut avec votre connexion (recommandé!), via Internet vous pouvez filtrer votre messagerie. Créez des filtres dans les paramètres ou options.

Par exemple vous pouvez entrer les adresses recensées de la liste de Secuser.com. Vous pouvez également le faire chaque fois que vous recevez un spam de type phishing dangereux.

Voici comment se présente le début de la liste :

phishing

Liste des grands classiques des emails de phishing chez Secuser.com. Cliquer sur l'image pour aller sur le site.

En cas de doute vous pouvez également vérifier l’entête des messages suspects avec un analyseur d’entête email.

Outil en ligne MxBox Email Header Analyser

PAYER EN LIGNE – UNIQUEMENT SI VOUS VOYEZ HTTPS

En allant sur le lien de paiement vérifiez toujours que l’adresse URL que vous voyez en haut dans le navigateur commence bien par https (le ‘s’ final traduit une connexion sécurisée).

Avant de payer, déconnectez-vous de tous les services réseaux précédemment utilisés (facebook, myspace, twitter etc).

PAIEMENT PAR PAYPAL – OUI MAIS VÉRIFIEZ !

Très sécurisé et fiable mais comme tous les services de paiement en ligne, les sites sont souvent imités. Vérifiez dans l’adresse de votre navigateur que le début de l’adresse est bien https://www.paypal.com. Sinon vous serez dirigés sur un site de phishing ou pirate. Valable pour tous les sites de paiement en ligne (votre banque, les sites de la Sécu etc). Comparez les adresses d’origine).

Vérifiez dans votre navigateur l'adresse où vous êtes avant de cliquer ou payer. Pour le paiement en ligne, il DOIT y avoir httpS et non juste http

RÉSEAUX INTERNET – PARAMÉTREZ VOS PROFILS !

Vous utilisez Facebook ou un autre service de réseaux ? C’est sympa mais avez-vous passé un peu de temps pour configurer les paramètres de votre compte? Et l’avez-vous fait chaque fois qu’une nouvelle version dudit réseau s’est pointée ? Dans la négative toutes vos données sont publiques et vulnérables.

Il suffit de trouver l’onglet options de profil ou paramètres de compte du réseau que vous utilisez pour vous protéger. Ensuite, si vous surfez, déconnectez-vous. Autrement vous indiquez à Big Brother ce que vous faites, quand, comment, où. Sans parler des failles de sécurité qui peuvent s’introduire à votre insu dans votre PC. Même chose pour les boutons ‘like’ ou ‘j’aime’…

METTEZ A JOUR TOUS VOS LOGICIELS ET VOTRE PC et NETTOYEZ RÉGULIÈREMENT

Autre règle d’or s’il en est. Des failles de sécurité apparaissent constamment, aussi tous les logiciels que vous utilisez ont besoin d’être régulièrement protégés, donc mis à jour (updates). Pareil pour votre système d’exploitation. Si vous êtes en mode logiciels piratés, prenez leur version Open Source.

Ensuite, nettoyez votre PC souvent. Ces conseils favorisent la sécurité mais aussi permettent de redonner un peu de vie (rapidité) à votre PC. A cela s’ajoute le besoin de dé-fragmenter régulièrement. Ces quelques logiciels gratuits bétonnent votre ordinateur (à mettre à jour aussi souvent qu’ils vous le proposent) :

Nettoyeurs (à utiliser conjointement ou à tour de rôle) :

Revo UninstallerCcleanerGlary Utilities

Défragmentation : Defraggler

AntiSpyware : SpyBot – Search & Destroy : Très efficace si vous n’oubliez pas de mettre à jour manuellement toutes les semaines la liste des vaccins (icône Tea Timer en bas à droite de votre écran), ensuite ouvrir le logiciel et vacciner)

Je ne parle pas des pare-feux, non. Celui de Windows suffit si vous évitez tous les gestes déplacés et utilisez un bon anti-virus. Mais si vous y tenez, il en existe de bons gratuits.

Par ailleurs, si vous voulez à la fois lutter contre le temps perdu à paramétrer ceci et cela sur votre ordinateur, si vous voulez un monde plus altruiste, si vous désirez travailler sur une machine plus sécurisée, faites un geste radical : passez en Linux !

Windows est lent, payant, mal sécurisé et oblige son utilisateur à réaliser une tonne d’opérations journalières pour nettoyer et sécuriser son PC. Vous n’aurez pas ce problème sous Linux, qui est devenu accessible aux ‘nuls en informatique’. Par ailleurs si vous hésitez vous pouvez installer Linux à côté de Windows. Plus d’info chez Think Linux FR : Choisir son OS.

VOTRE CONNEXION INTERNET (FAÏ), VOTRE WIFI et VOTRE CLEF WEP SONT-ILS SÉCURISÉS ?

Ne faites pas l'impasse de configurer votre routeur (box). Si votre connexion à internet n'est pas sécurisée, autant distribuer votre courrier personnel dans la rue.

Si vous souhaitez empêcher l’accès à votre réseau WiFi, ne faites pas confiance aux clés WEP, la seule mesure de protection efficace de votre réseau étant l’incompatibilité matérielle du PC du pirate avec les outils de piratage !

Nous autres, pauvres humains à la mémoire limitée, aimons bien utiliser des codes faciles à mémoriser : date de naissance, noms propres, prénoms aimés, phrases rigolotes. Du coup, les hackers ont pensé à compiler des listes de ces mots de passe courants. Il est facile de télécharger ces dictionnaires plus ou moins complets, disponibles dans plusieurs langues, comprenant uniquement des noms, ou aussi des chiffres ou encore des combinaisons connues de l33t sp43k comme Passw0rd. Si jamais votre mot de passe se trouve dans ces dictionnaires, votre réseau n’est qu’à quelques minutes de se faire cracker. – source : Tom’s Hardware

Résumé pratique :

  • Votre réseau Wifi n’est pas protégé par votre clé WEP.
  • Si vous n’utilisez pas votre Wifi, désactivez-le dans les paramètres de votre ‘box’ (le boitier de connexion à Internet est aussi un routeur, c’est la boîte reçue par votre Faï).
  • Choisissez WPA/WPA2 PSK ou EAP plutôt que WEP. Et là aussi, utilisez un mot de passe très fort comme déjà dit plus haut.
  • Les box de votre Faï sont peu sécurisées voire pas du tout ! Autrement dit c’est votre connexion à Internet qui est une faille béante. Pensez à configurer votre box pour changer votre IP, login et mot de passe.

Lire ce dossier consacré à Wifi ici.

Pour configurer votre connexion Internet et le Wifi, vous avez besoin de votre IP. Ou du manuel qui vous a été livré. Copiez-collez votre IP dans l’adresse de votre navigateur (genre http://192.120.0.1) et vous y êtes. Si vous ne la connaissez pas, allez dans le Panneau de configuration de votre PC. Puis dans Connexion réseau. Double-cliquez sur Connexion au réseau local. Puis sur Support. Votre adresse IP s’affiche dans Passerelle par défaut.

AGIR CONTRE LES POURRIELS ET SPAMMEURS

« Pour bien filtrer les spams et faire passer les bons mails, il faut savoir quels sont les spams qui parviennent à déjouer les filtres« . Signal Spam

Si votre ras-le-bol ne trouve pas d’exutoire, vous pouvez tout de même faire quelque chose avec Signal Spam. C’est nouveau, français, unique au monde. Ils en appellent à une action citoyenne pour éviter de propager virus et spams à la hauteur de la planète en dénonçant tous vos spams sur www.signal-spam.fr .

Il suffit de s’inscrire puis télécharger le logiciel pour sa messagerie.

Enfin, je termine sur une note d’humour pédagogique :

ENVOYEZ FACILEMENT UN MAIL A BARACK OBAMA DE LA PART DE NICOLAS SARKOZY (ou à qui vous voulez)

C’est un article très amusant mais sérieux de Turblog : Le mail, comment ca marche ? (« vous pouvez envoyer des mails à peu près à n’importe qui sous n’importe quelle identité« )

Dans l’article suivant, voyons les techniques particulières de sécurité pour WordPress.

LIRE