18. Sécuriser les identifiants d'accès à l'administration

[florinesueur]

Discussed in #10

Discussed in #45

• Ajout d'un texte sur l'écoconception

Meta :

• title
• poeple
• scope
• lifecycle
• review texte
• priority_implementation
• environmental_impact
• saved_resources
• path

Fiche :

• nom du fichier cohérent avec la meta title, le titre et le path contenant un verbe à l'infinitif
• sujet
• GreenIT vous conseille (Ajout de blocs no-code, code pas à pas et code au besoin)
• exemple
• principe de validation
• source
• Relecture par un tier (review de la pull-request)

[dNicolle]

@florinesueur
Comme indiqué dans le fiche #[16. Sécuriser l'accès à l'administration](./16.%20S%C3%A9curiser%20l'acc%C3%A8s%20%C3%A0%20l'administration.md), WordPress est soumi aux attaques. Plus il sera sécurisé, moins la charge qu'elle soit energétique ou technique sera impactante pour l'environnement.
Ce n'est pas suffisant pour indiquer les impacts en cas d'attaque ?

[florinesueur]

Je pense que tu peux insister sur le fait que Wordpress est soumis à de nombeuses attaques étant un cms qui représente plus d'un tier du web. C'est rentable pour un pirate informatique de créer un botnet, bot automatisé ne faisant pas la différence entre un petit site inconnu et un géant connu de tous, pour trouver les failles d'architecture de Wordpress afin d'obtenir deux ressources monétisables (vente ou location) : les données et la portée. La méthode : infecter les pages cibles de logiciels malveillants.

Par exemple, le hacker peut :

• Envoyer des spams depuis le site
• Rediriger le trafic
• Héberger du contenu illégal sur le site ou sur l'hébergeur
• Intégrer le site dans un réseau de zombies et l'utiliser pour d'autres attaques
• Voler les données sensibles de la base de données concernant les membres et/ou clients

Source : https://www.blogdumoderateur.com/wordpress-attaques-menaces-securite/

Plus j'écris et plus je me dis que c'est une autre BP plus généraliste :)

En termes d'écoconception pour le brut de force, je vois tout de suite le blacklistage des IP qui un gain de ressources en plus des éléments cités au-dessus.

[dNicolle]

C'est ce que je me suis dit ce matin aussi concernant une BP plus générique qui parlerait de sécuriser son WordPress et qui renverrais vers les BP plus détaillées. Le sam. 15 oct. 2022 à 11:37, Florine Sueur ***@***.***> a écrit :

…

Je pense que tu peux insister sur le fait que Wordpress est soumis à de nombeuses attaques étant un cms qui représente plus d'un tier du web. C'est rentable pour un pirate informatique de créer un botnet, bot automatisé ne faisant pas la différence entre un petit site inconnu et un géant connu de tous, pour trouver les failles d'architecture de Wordpress afin d'obtenir deux ressources monétisables (vente ou location) : les données et la portée. La méthode : infecter les pages cibles de logiciels malveillants. Par exemple, le hacker peut : - Envoyer des spams depuis le site - Rediriger le trafic - Héberger du contenu illégal sur le site ou sur l'hébergeur - Intégrer le site dans un réseau de zombies et l'utiliser pour d'autres attaques - Voler les données sensibles de la base de données concernant les membres et/ou clients Source : https://www.blogdumoderateur.com/wordpress-attaques-menaces-securite/ Plus j'écris et plus je me dis que c'est une autre BP plus généraliste :) En termes d'écoconception pour le brut de force, je vois tout de suite le blacklistage des IP qui un gain de ressources en plus des éléments cités au-dessus. — Reply to this email directly, view it on GitHub <#54 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AB5XAHQH7BTSPD7HXD5CW3DWDJ3L3ANCNFSM6AAAAAAQ5OEAKM> . You are receiving this because you were assigned.Message ID: ***@***.***>

[florinesueur]

@dNicolle aurais tu le temps de la faire ou tu veux que j'amorçe la BP général ?

[dNicolle]

Si tu as du temps, je veux bien que tu l'amorces. Le sam. 15 oct. 2022 à 14:45, Florine Sueur ***@***.***> a écrit :

…

@dNicolle <https://github.com/dNicolle> aurais tu le temps de la faire ou tu veux que j'amorçe la BP général ? — Reply to this email directly, view it on GitHub <#54 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AB5XAHRV6JIJMUXK3FSWNPDWDKROJANCNFSM6AAAAAAQ5OEAKM> . You are receiving this because you were mentioned.Message ID: ***@***.***>

[florinesueur]

Ok , création de l'issue #103

[dNicolle]

Ok , création de l'issue #103

Je suis en train de bosser sur les deux fiches que ça concerne : 16 et 18.
Et je me dis que la fiche 16. Sécuriser l'accès à l'administration, permettrait d'y mettre les 3 principes premiers :

• changer l'url de l'admin
• avoir des identifiants forts (et éventuellement une double authentification)
• réduire le nombre de tentatives de connexion à l'admin

Soit la fiche 16 devient la fiche "intro" des 3 autres (dont une à faire), soit on reunit tous dedans

[florinesueur]

Si je reprends l'article.

Wordfence a classé les 5 types d’attaques les plus fréquemment enregistrées contre des sites WordPress :

• les attaques par traversée de répertoires, y compris les chemins relatifs et absolus : 43 % des tentatives d’exploitation de vulnérabilité, soit 1,8 milliard d’attaques, avec en majorité des tentatives d’accès aux données sensibles présentes dans les fichiers wp-config.php et des tentatives d’inclusion de fichiers locaux (LFI),
• les injections SQL : 21 % des tentatives d’exploitation, soit 909,4 millions d’attaques,
• les téléchargements de fichiers malveillants, « destinés à réaliser l’exécution de code à distance (RCE) » : 11 % des tentatives d’exploitation, soit 454,8 millions d’attaques,
• le Cross-Site Scripting (XSS) : 8 % des tentatives, soit 330 millions d’attaques,
• les vulnérabilités de contournement d’authentification : 3 % des tentatives d’exploitation, soit 140,8 millions d’attaques.

Est ce que l'on a d'autres solutions à proposer ?
Je suppose que pour le no code, c'est un plugin. Est ce qu'il y a des démarches particulières pour chaque cas en code ?

[dNicolle]

Est ce que l'on a d'autres solutions à proposer ? Je suppose que pour le no code, c'est un plugin. Est ce qu'il y a des démarches particulières pour chaque cas en code ?

Je ne préconise pas de code pour cela, trop complexe et difficile à maintenir.
L'idée est de s'appuyer sur une extension éprouvée et reconnue, il y en a plusieurs.

[florinesueur]

Du coup, je suppose que l'extension gère l'entiéreté de la sécurité du site. Si c'est la cas, je pense qu'il faut tout réunir dans une seule BP. Qu'en penses tu ?

[dNicolle]

Yes, j'ai tout mis dans ma demande de PR pour la fiche 16. Le sam. 15 oct. 2022 à 16:46, Florine Sueur ***@***.***> a écrit :

…

Du coup, je suppose que l'extension gère l'entiéreté de la sécurité du site. Si c'est la cas, je pense qu'il faut tout réunir dans une seule BP. Qu'en penses tu ? — Reply to this email directly, view it on GitHub <#54 (comment)>, or unsubscribe <https://github.com/notifications/unsubscribe-auth/AB5XAHWXWTZARC75CSBBUBTWDK7VHANCNFSM6AAAAAAQ5OEAKM> . You are receiving this because you were mentioned.Message ID: ***@***.***>