Les CMS
Afin de garantir la sécurité, il est important que les logiciels des CMS (SPIP, WordPress, etc) soient régulièrement mis à jour. En effet, les pirates peuvent profiter d’une faille du logiciel pour s’introduire, défigurer le site web, voire installer des logiciels permettant de faire du PIC une base pour attaquer d’autres sites (c’est déjà arrivé). Donc de ce point de vue, les mises à jour mineures sont particulièrement importantes, car ce sont essentiellement des corrections de bugs ou de failles de sécurité.
C’est en théorie du ressort des contacts techniques d’associations de mettre à jour les CMS. Cependant, les administrateurs du PIC proposent d’effectuer cette mise à jour dans certains cas :
- Si la prise en charge du CMS a été demandée lors de l’inscription ou lors du renouvellement, et à condition que le CMS soit un SPIP ou un WordPress.
- Dans le cas de WordPress, les admins du PIC font systématiquement, de temps en temps, les mises à jour mineures du CMS et de ses plugins.
- Dans le cas de SPIP, si le site est sur l’installation "mutualisée" du PIC, les mises à jour du CMS et de ses plugins sont régulièrement effectuées par les admins du PIC.
- Si vous utilisez un autre CMS que SPIP ou WordPress, la mise à jour du CMS est à votre charge : merci de vous en acquitter régulièrement, il en va de la sécurité de tous !
Les mots de passe
Il est important d’utiliser des mots de passe robustes pour accéder à ses CMS et à ses logiciels de gestion. Cela signifie des mots de passe longs (au moins 12 caractères) et complexes (utiliser des minuscules, des majuscules, des chiffres et des caractères spéciaux).
Bien sûr plus le mot de passe est long et complexe, plus il est difficile de le retenir. Une solution est d’utiliser un gestionnaire de mot de passe, le plus connu est Keepass2. Si vous utilisez un tel logiciel vous n’avez plus besoin de retenir votre mot de passe, et du coup vous pouvez utiliser des mots de passe générés aléatoirement, par exempte ceux proposés par WordPress.... ou par Keepass lui-même. Sur cette question des mots de passe, nous vous conseillons de lire cet article
Une dernière recommandation : n’envoyez jamais à quelqu’un le mot de passe par mail ! Envoyez par exemple le nom d’utilisateur par mail et le mot de passe par SMS, ou trouvez un autre système (pigeon voyageur, se retrouver au bistrot, épeler le mot de passe par téléphone, ...). Il arrive en effet que les boîtes mail soient piratées...
Les attaques en "force brute"
Comme leur nom l’indique, ces attaques ne sont pas très subtiles : il s’agit d’envoyer un grand nombre de requêtes, par exemple sur l’URL de connexion d’un ou plusieurs site WordPress, en essayant des mots de passe différents, jusqu’à ce qu’on trouve un mot de passe qui fonctionne... Ces attaques sont donc dangereuses car elles peuvent réussir si votre mot de passe est trop faible, et toujours nuisibles car elles prennent au serveur des ressources importantes. Par exemple, le 29 Septembre 2020, nous avons reçu 325000 requêtes sur l’url wp-login d’un site WordPress (soit 4 par secondes). Le 17 Décembre, le serveur a passé son temps et son énergie (électrique) à répondre à l’URL xmlrpc.php d’un seul site WordPress à raison de... 10 requêtes par seconde en moyenne. En conséquence nous avons pris des mesures contre ces attaques :
- Limitation du nombre de requêtes par minute sur les url
wp-login
à partir d’une même IP - Interdiction d’accéder aux url
xmlrpc.php
[1] - Établissement d’une liste noire d’environ 20000 adresses IP connues pour faire des attaques fréquentes. La liste est mise à jour quotidiennement, et utilise les informations de ce projet
Normalement, ces mesures ne devraient pas impacter les accès "légitimes" à vos sites web... Elles devraient avoir un impact positif : en soulageant le serveur d’un gros travail inutile elles le laissent plus disponible pour ce qui est vraiment important. Toutefois, si vous observez un comportement bizarre, en particulier un écran "Erreur 503" sur des URL normalement accessibles, merci de nous prévenir en nous envoyant une copie d’écran et en nous disant précisément quand vous avez observé ce comportement (date et heure), et quelle était votre adresse IP [2].
[1] Sur les xmlrpc, cet article explique très bien de quoi il s’agit et pourquoi il est utile de les bloquer.
[2] Pour connaître votre adresse IP, allez par exemple sur ce site : whatismyip.com