J’ai pu constater très rapidement après installation de wordpress que je subissais des attaques sur mon serveur….célébrité quand tu nous tiens!! (pas moi hein! wordpress 😉 )

 

Les attaques ciblaient le fichier xmlrpc.php qui, dans des versions plus anciennes, avait une faille de sécurité….avec les nouvelles versions (depuis la 3.9.2 d’après ce que j’ai pu trouver) le problème n’est plus.

Le souci, qui n’en est finalement pas un, est que me prendre des requêtes à longueur de journée sur ce fichier a eu tendance à légèrement m’énerver :/ (à tort sûrement? puisque apparemment ça ne craindrait plus rien?) et a surcharger mon fichier de log. De plus, ce genre de requête ne se faisait pas bannir par fail2ban, vu que ça ne générait pas d’erreur dans error.log.

 

Il y a très sûrement d’autres solution mais dans « l’urgence », j’ai fait au plus simple…(si vous qui passerez peut être lire ce billet, n’hésitez pas si meilleurs solutions vous avez)

 

J’ai donc fouiné un peu et j’ai trouvé mon bonheur…enfin…pour l’instant.

 

Tout d’abord il suffit de bloquer l’accès à xmlrpc.php via un .htaccess comme ceci:

ErrorDocument 403 "Error 403: Forbidden Access"
<Files xmlrpc.php>
order allow,deny
deny from all
</Files>

Maintenant, ce fichier n’est plus accessible et la personne désirant l’exécuter se retrouve sur une page « Error 403: Forbidden Access ».

 

Protéger sa page login:

 

Je n’ai pas été confronté à ce problème, pas encore, mais apparemment les utilisateurs de wordpress sont aussi confronté à des attaques brute force sur la page de connexion wp-login.php.

Une petite astuce simple à mettre en place est de transiter par un autre fichier php pour se logger et de bloquer l’accès à celui d’origine…celui d’origine ne peut pas être appelé directement..

La subtilité dans cette méthode est de choisir un nom peut commun pour le fichier par lequel nous allons « transiter » et de ce fait sortir des fichiers par défaut pour se connecter.

Je pense donc qu’il faut éviter d’appeler ce nouveau fichier connect / login / connexion / log / identification etc….mais plutôt choisir un nom qui n’a absolument rien à voir tel que iciestlepouvoir.php xD (par exemple…ça devrait être plus compliqué à trouver et certainement impossible pour un robot).

 

Il faut éditer de nouveau notre fichier .htaccess et y placer à la suite:

<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_COOKIE} !^.*cookie\-mona\-securisation=4532698754.*$ [NC]
RewriteRule wp-login.php - [F]
</IfModule>

 

Puis créer notre nouveau fichier

vim iciestlepouvoir.php
 

Dans lequel nous allons mettre:

<?php
setcookie("cookie-mona-securisation", 4532698754);
header('Location: wp-login.php');
?>

On enregistre et c’est plié! nous n’avons plus l’accès à wp-login.php qui nous retourne une erreur 403. Pour ce connecter à notre site il faut maintenant passer par le nouveau fichier:

http://monsite.com/iciestlepouvoir.php

 

Il y a aussi une autre méthode qui consiste à installer un plugin à wordpress pour limiter le nombre d’essai pour se connecter mais je ne l’ai pas testé (en faisant un recherche rapide dans les extensions je n’ai pas eu le résultats trouvé sur d’autre site…je ne me suis pas attardé surtout qu’a priori ce plugin n’est plus maintenu)

 

Pouet!