Piratage régulier de votre site, comment vous protéger ?

De nombreuses entreprises possèdent un site dans une vieille version de CMS comme Joomla 1, Joomla 1.5, WordPress 3, Drupal 6…
Lorsque vous subissez votre premier piratage, vous restaurez votre sauvegarde, mais la même chose se reproduit chaque semaine, voir chaque jour.

Les CMS open source sont des CMS qui évoluent. Dès qu’une faille est trouvée, elle est rapidement corrigée. Mais compte tenu que de nombreuses personnes ne font pas évoluer leurs sites, des failles de sécurité perdurent. Ce sont ces failles bien connus des pirates qui mettent en péril votre site. En effet, des robots parcourent le web à la recherche de sites sous telle version afin d’exploiter la faille et de soit créer un contenu qui redirige les internautes vers le site malfaisant, soit simplement de modifier votre contenu.

La solution que tout le monde vous recommanderait serait de faire évoluer votre site vers la nouvelle version, mais vous n’avez peut-être ni les moyens, ni les compétences, ni le temps nécessaire pour y parvenir. Voila donc une solution qui vous permettra de sécuriser tout cela rapidement en attendant de trouver mieux. Cette solution a le principal problème (ou avantage) de rendre vote site non modifiable par vous même ou par un tiers.

Au tout début, restaurez votre dernière sauvegarde afin de remettre votre site dans un état correct.
Ensuite, lancez cette commande SQL via phpMyadmin sur votre base de données afin de créer un utilisateur qui aura un accès en lecture seul uniquement.

CREATE USER 'rootlecture'@'%' IDENTIFIED BY  '***';

GRANT SELECT ON * . * 
TO  'rootlecture'@'%'
IDENTIFIED BY  '***'
WITH MAX_QUERIES_PER_HOUR 0 
MAX_CONNECTIONS_PER_HOUR 0 
MAX_UPDATES_PER_HOUR 0 
MAX_USER_CONNECTIONS 0 ;

GRANT ALL PRIVILEGES ON  `NOM_DE_LA_BASE_DE_DONNEES` . * TO  'rootlecture'@'%';

Modifiez maintenant le fichier de configuration de votre site. Celui-ci se nomme généralement:
wp-config.php pour WordPress
configuration.php pour Joomla
sites/default/settings.php pour Drupal

Retrouvez la ligne de l’utilisateur root, et remplacez le mot « root » par « rootlecture ».

Dernier point, modifiez tous les fichiers du site en lecture seul à l’aide de votre navigateur FTP (Filezilla). Pour cela, connectez vous à votre site, faites un clic droit sur le répertoire principal, puis droits d’accès au fichier, ne cocher que les permissions lire et la case récursion dans les sous-dossiers. Validez, vous devriez maintenant être sauvé pour un petit moment.

Dites-moi dans les commentaires si cette solution vous a sauvé quelque temps ou ce que vous en pensez.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.