Quelque soit votre solution de blog et votre type d’hébergement, à partir du moment où ce n’est pas une plateforme de blog clés en main comme Overblog peut le proposer, vous avez la responsabilité de vos contenus et de leur sauvegarde. Internet est un monde particulier où dans la majorité des cas tout se passe bien ! Mais parfois un internaute mal attentionné peut croiser votre blog et avoir en tête de le pirater, d’en modifier ou d’en effacer le contenu, etc. Il est donc important de s’en prémunir et voici 9 conseils à suivre pour mettre toutes les chances de son côté;
Comme je le disais, dans la plupart des cas vous ne serez jamais confronté à de tels problèmes et je vous le souhaite… Malheureusement ce côté improbable ne motive pas forcément pour prendre le temps d’étudier le problème. Croyez moi il le faut pourtant ! Je suis bien placé pour en parler suite au piratage de Monetiweb début juin. La totalité des fichiers du blog ont été supprimés en une nuit : les fichiers Wordpress
, les images, les plugins, etc. Plus rien. Quand on est pris par le temps et qu’on souhaite avant tout apporter à ces utilisateurs du contenu original, travailler son référencement, développer la communauté du blog, on peut facilement oublier ou du moins reporter les enjeux de sécurité d’un blog. Ca a été mon cas, je le reconnais. Le problème n’était pas que je n’en avais pas conscience ou que je ne savais pas comment faire. Le vrai problème est que je n’ai pas pris le temps de faire en sorte que cela n’arrive pas ou que si cela arrive, les dégâts restent limités. Le résultat fut sans appel : Monetiweb a perdu 85% de ces images (je travaille encore à les recréer mais cela prendra beaucoup de temps) ! Tout ça donc pour vous dire qu’il est primordiale de ne pas négliger ces aspects : cela n’arrive pas qu’aux autres !
La première des choses à faire est de sauvegarder régulièrement ses contenus : les articles, les commentaires, les messages d’un éventuel forum, les pages partenaires, etc…C’est la richesse de votre blog, ce qui crée du trafic, une communauté et le principal élément à mettre en avant lors d’une stratégie de monétisation. Tous ces contenus sont présents dans la base de données du blog. Plusieurs solutions existent pour sauvegarder la base de données : de la plus manuelle (faire un export régulier de la base de données du blog via PHPMyAdmin) à la plus automatique (utiliser un plugin Wordpress vous envoyant par mail automatiquement cette sauvegarde de la base de données comme WordPress Database Backup). Certains hébergeurs assurent des back up total de vos espaces et inclut donc la base de données dedans mais cette solution est loin d’être la plus facile à utiliser en cas de soucis.
Comme je vous le disais, voilà un conseil que j’aurais dû appliquer pour éviter de perdre toutes les images de Monetiweb. En effet rien n’est prévu par défaut dans Wordpress pour sauvegarder vos fichiers. Si votre hébergeur ne vous propose pas de sauvegarde automatique, c’est donc à vous de vous en occuper. Pour l’anecdote, Google ne garde pas en cache les images (contrairement aux textes), il est donc impossible de récupérer des images une fois qu’elles ont été supprimées. Pour sauvegarder ces fichiers, vous pouvez demander à votre hébergeur de mettre en place des solutions de sauvegarde (moyennant finance en général) sinon vous pouvez utiliser simplement un client FTP pour récupérer l’ensemble de vos fichiers. Si vous êtes sur un serveur virtuel privé ou sur un serveur dédié, vous pouvez facilement programmer des sauvegardes automatiques CRON qui se chargeront de faire une archive ZIP contenant tous vos fichiers. Charge à vous d’aller récupérer régulièrement ces archives ou d’automatiser leur envoi sur un autre FTP. Enfin, sachez qu’il existe même un plugin Wordpress permettant de faire des sauvegardes de fichiers en même temps que la base de données : BackUpWordPress.
Les solutions de blogs continuent d’évoluer au fil du temps. Les mises à jour majeures sont essentiellement l’occasion d’apporter de nouvelles fonctionnalités mais les mises à jour mineures sont souvent provoquées par la découverte d’une faille de sécurité dans la version actuelle. Il est donc très important de porter une grande attention à ces mises à jour car dès qu’une faille de sécurité est identifiée, de nombreux pirates vont chercher à trouver quel blog est encore sous la version touchée afin d’utiliser la faille de sécurité pour sévir. Surveillez donc les mises à jour de votre plateforme de blog et prenez le temps de faire les mises à jour rapidement en cas de faille de sécurité corrigée. Le conseil qui en découle est de masquer la version de votre blog à vos visiteurs. Pour cela veillez à ne pas l’afficher dans votre footer par exemple ni dans les balise <head> du blog en supprimant « bloginfo(‘version’) » pour Wordpress par exemple ou en utilisant le plugin Replace WP-Version. C’est contraire aux demandes de Wordpress mais supprime des risques potentiels… à vous de choisir.
Dans le cas où vous hébergez votre blog sur une solution de type mutualisée (c’est-à-dire que vous ne disposez chez votre hébergeur que d’une fraction d’un serveur), vous n’avez pas à vous soucier des mises à jour de la machine, c’est votre hébergeur qui en est responsable. En revanche si vous êtes sur un serveur dédié, c’est à vous de veiller à ce que la machine dispose des dernières mises à jour de sécurité sur l’ensemble de ces services. En fonction de la distribution de votre machine, renseignez-vous sur les commandes à exécuter pour lancer les mises à jour et n’oubliez pas de la faire régulièrement (vous pouvez les automatiser via un script avec un peu de pratique)
Par défaut sur Wordpress, vous accédez à l’interface d’administration en HTTP ce qui signifie que si quelqu’un de mal attentionné est présent sur votre réseau ou sur le wifi du café dans lequel vous bloguez, il peut être en mesure d’écouter ce que vous faites et de récupérer votre mot de passe par exemple. Pour remédier à cela, vous pouvez installer le plugin Force SSL qui va vous connecter en HTTPS (avec le petit cadenas affiché dans votre navigateur) et ainsi sécuriser vos échanges. Cela nécessite en revanche de disposer déjà d’un certificat SSL parfois fourni avec votre hébergement.
Dans l’arborescence des fichiers de votre blog, il existe un ensemble de dossiers dont le contenu ne doit pas être accessible depuis Internet (le dossier contenant vos plugins par exemple). Dans tous ces dossiers il est donc important de placer simplement un fichier « index.html » vide (créez un nouveau document avec le bloc note, laissez son contenu vide et enregistrez le sous le nom « index.html »). Cela permettra d’afficher une page blanche plutôt que le contenu du dossier. Si vous êtes sous Wordpress, les dossiers sont /wp-content/ et tous ses sous-dossiers.
Par défaut à l’installation d’un blog, un utilisateur Admin est souvent créé par défaut avec un mot de passe (plutôt court) donné automatiquement. Ce compte peut représenter un risque car un pirate pourrait essayer de trouver le mot de passe par brute-force par exemple (essais successifs de tous les mots de passe possibles). Créez-vous donc un compte avec les privilèges d’administrateur et supprimez le compte Admin. Vous pouvez également ajouter un niveau supplémentaire d‘authentification en installant le plugin AskApache Password Protect qui va ajouter une demande de mot de passe supplémentaire.
L’un des derniers conseils que je peux vous donner est de faire un audit en sécurité de votre blog via des services web externes comme WP Scanner pour Wordpress ou via un plugin comme WP Security Scan. Ces solutions vont analyser la structure de votre blog, identifier d’éventuelles failles de sécurité sur votre base de données, sur les droits des fichiers ou sur vos password et vous indiquer les méthodes à mettre en œuvre pour résoudre les problèmes.
Avez-vous d’autres conseils à nous donner ?
Recevez tous les matins les derniers conseils de Monetiweb gratuitement par mail
Améliorer son référencement
Augmenter son trafic
Bien utiliser Wordpress
Mieux bloguer
Monétiser son blog
Utiliser les conseils de la communauté
Glossaire de Monetiweb
Forum de Monetiweb
Si vous ne trouvez pas de réponses à votre problème ou à votre question sur ce blog, contactez-moi en utilisant la page contact et je me ferai un plaisir d'essayer de vous aider.
webdeux.info
365idees
blog.accessoweb.info
La voix du savoir
Original signal
chouingmedia.com
Wiki web2.0
descary.com
nioumedia.com
lostinbrittany.org
rezo7.info
simpleentrepreneur.com
tapahont.info
wmaker.net
1. Commentaire posté par : Benjamin F le 21 juin 2008 à 12:04
C’est quand je lis ce genre d’article que je me rappelle pourquoi je reste sur Blogger… Je me souviens de l’époque où j’étais sur Joomla et que c’était le stress des failles de sécurité. Content de plus avoir à me soucier de ça ;)
2. Commentaire posté par : rezrz le 21 juin 2008 à 14:02
“éviter de perdre toutes les images” => un truc m’échappe… tu n’as pas une copie en local ?
“Google ne garde pas en cache les images (contrairement aux textes), il est donc impossible de récupérer des images une fois qu’elles ont été supprimées” => il n’y pas que Google dans la vie :-) Archive conserve pas mal de trucs mais pour des sites installés depuis quelques temps (ce qui ne semble pas le cas ici). Les comptes partagés des agrégateurs en ligne sont aussi des véritables machines à conserver le contenu. Peut-être que certains de tes lecteurs ont pris la peine d’archiver dans leur agrégateur chaque billet (fais une annonce). Tu devrais aussi penser à ajouter ton blog dans ton agrégateur et enregistrer chaque billet.
3. Commentaire posté par : tommyke le 23 juin 2008 à 9:40
@Monetiweb >> Si vous avez votre blog sur votre serveur avec d’autres sites Internet ou blogs que vous avez également créés (hébergeur avec multidomaines) alors il est importante de créer un utilisateur MySQL pour chaque site avec un different “username” et “mot de passe”. La raison est simple, si quelqu’un arrive à hacker votre blog et avoir accès à votre base de donnée, alors il ne pourra pas avoir accès aux autres bases de donnée (cela serait dommage).
@ Rezrz >> Il a raison, pourquoi ne pas faire un backup des images et de la base en local… J’utilise le robots.txt pour forcer Google-image robot d’indexer les images sur Google Image, cela marche assez bien et disons que 60% de mes images sont indexés (en thumbnail, généralement). Sinon, le index=archive/noarchives indique seulement à Google s’il vaut offrir un cache de la page sur Google Search.
4. Commentaire posté par : Loesha le 23 juin 2008 à 12:55
Merci pour cet article intéressant :)
Pour apporter ma pierre à l’édifice, pensez aussi à sécuriser votre blog contre les petites applis de crackers (type Gigaload, qui permet de recharger des centaines de fois vos images).
On trouve facilement des .htaccess à mettre à la racine du site pour se prémunir contre les utilisation malveillantes de ces logiciels (à l’époque sur mon blog, ma bande passante du mois consommée en une nuit à cause d’un petit cracker… ça fait mal en début de mois avec de petits hébergements)
5. Commentaire posté par : RasoLova le 24 juin 2008 à 0:59
C’est assez compliqué de faire des sauvegardes de base de donnée Wordpress car il faut s’y connaître en mysql.
Je m’y connais, il fallait une fois que je change d’hébergeur alors à ce moment là la galère.
Les fichiers simples à déplacer passe encore, mais quand il s’agit de base de données, çà devient très vite difficile.
Alors question sécurité, wordpress paraît tenir la route mais par contre la manipulation de la base de données reste délicate.
Une fausse petite manoeuvre dans le processus et vous perdez tous vos articles. Aïe.
6. Commentaire posté par : David le 24 juin 2008 à 14:15
Je viens de faire un backup (au cas où ^^’).
7. Pingback envoyé par : " » links for 2008-06-24" by Relation, transformation, partage le 24 juin 2008 à 18:37
[...] Sécuriser son blog, sauvegarder ses contenus et éviter les attaques : 9 conseils (tags: wordpress sécurité) [...]
8. Pingback envoyé par : Secrets2Moteurs » Blog Archive » Sécuriser son blog, sauvegarder ses contenus et éviter les attaques le 27 juin 2008 à 15:45
[...] Voir les conseils : http://monetiweb.com/bien-utiliser-wordpress/securiser-son-blog-sauvegarder-ses-contenus-et-eviter-l... [...]
9. Pingback envoyé par : Sécurité : un plugin Wordpress pour scanner votre blog : Le Journal du Blog le 27 juin 2008 à 16:32
[...] sécurité est un sujet de plus en plus sensible sur les blogs. Suite à l’expérience de Monetiweb, nous proposons aux utilisateurs de Wordpress de découvrir un plugin permettant de scanner la [...]
10. Pingback envoyé par : Que s’est il passé ces derniers jours? | People Buzz le 27 juin 2008 à 18:11
[...] -Sécuriser son blog, sauvegarder ses contenus et éviter les attaques : 9 conseils à voir absolument! [...]
11. Pingback envoyé par : Mes favoris de la semaine #30 | Blog sur L'actualité Multimédia du Web2.0 le 29 juin 2008 à 15:01
[...] Sécuriser son blog, sauvegarder ses contenus et éviter les attaques : 9 conseils. Via Monetiweb [...]
12. Commentaire posté par : Assehams le 03 août 2008 à 1:19
I agreed with you