J’ai découvert une faille de sécurité sur WordPress !

Je suis tombée par hasard sur une faille de sécurité sur WordPress. Je vous la partage afin que vous puissiez sécuriser votre propre site si elle apparaît chez vous aussi…

Une faille de sécurité montrant l’identifiant de l’admin WordPress

Cette faille montrait l’identifiant de l’administrateur du site WordPress. Et cela est évidemment problématique ! Il suffit pour le pirate de trouver :

  1. la page que vous utilisez pour vous connecter sur votre site, mais vous pouvez cacher cette page comme je vous l’explique ici
  2. votre identifiant, qui peut être découvert via cette faille
  3. votre mot de passe, en espérant pour vous qu’il soit compliqué à trouver

Si ces trois points sont faciles à trouver… C’est le jackpot. Et je tiens à insister sur le fait qu’il peut être ridiculement facile de trouver ces trois points. Quand je veux faire peur à des camarades utilisant WordPress, je tombe très souvent sur leur page de connexion… L’identifiant est facilement devinable (le nom et prénom de la personne, ou l’adresse mail). Il n’y a que le mot de passe qui les protège encore un petit peu, parce que je ne vais pas jusqu’à lancer une attaque par force brute (un programme qui teste tous les mots de passe possible). En général, la démonstration suffit à les convaincre de protéger leur site.

Explication de la faille

Je manipule souvent l’url des sites pour naviguer dedans. C’est-à-dire que je fais souvent : nomdusite/nom-de-la-page-que-je-veux-visiter. C’est plus rapide pour moi, maintenant que j’ai l’habitude. Sauf que ce jour-là, j’ai fait une faute d’orthographe… Qui m’a renvoyé sur la page 404, la page d’erreurs. Et j’ai vu que la page affichait l’identifiant de l’administrateur du site, dans le titre de l’onglet… C’est évidemment le genre d’information qui ne doit s’afficher nulle part !

Comment corriger cette faille de sécurité sur WordPress

La solution la plus facile que j’ai trouvée, sans toucher au code, consiste à installer une extension qui fait une page 404. Avec ce genre d’extension, vous n’avez qu’à faire une page 404, demander à l’extension d’utiliser cette page, et l’identifiant disparaît. Notez aussi que certains thèmes font cette option.

Pour les plus aventureux d’entre vous, vous pouvez aussi passer par le code, en travaillant le php de la page 404. Mais je voulais surtout donner la solution la plus simple, pouvant aider même ceux qui ne codent pas.

Sécurisez vos sites s’il vous plaît ! C’est effrayant à quel point il est facile d’accéder à vos informations !

O2 Switch, mon hébergeur favori !

Je vous ai déjà parlé d'O2 Switch, un hébergeur que j'adore dans cet article par exemple. Si vous souhaitez héberger un site chez eux, vous pouvez le faire via mon programme de parrainage. Ainsi, vous pourrez supporter gratuitement mon travail.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *