Tag Archive | "security"

Comment désactiver l’accès SSH « root » à votre serveur cPanel

Comment désactiver l’accès SSH « root » à votre serveur cPanel

Par défaut, la majeure partie des serveurs Linux sont configurés de façon à permettre de s’authentifier en tant qu’utilisateur « root » par SSH. Cette brèche de sécurité pose un problème sérieux quant aux « attaques par force brute » car il permet à l’attaquant d’effectuer des tentatives d’intrusion en tant qu’administrateur du système.

Toutefois, il est possible de désactiver l’accès SSH en tant que « root ». Cela implique qu’il vous sera donc nécessaire de vous authentifier en tant qu’utilisateur régulier dans premier temps puis ensuite de devenir « root » en utilisant la commande « su » (pour Super User).

Étape 1: Ajouter les utilisateurs au groupe « Wheel »

Sur les serveurs cPanel, il existe un groupe d’utilisateur nommé « Wheel » (ou Wheel Group Users). Ce groupe contient la liste des utilisateurs qui ont le droit d’utiliser la commande « su ».

Voici comment ajouter des comptes d’utilisateurs au groupe « Wheel »:

  1. Accéder à WHM (http://votreserveur.com:2086) puis cliquer sur Manage Wheel Group Users dans la section Security Center du menu principal.
  2. Sélectionner les utilisateurs dans la liste du bas puis cliquer sur Add to Group.

Étape 2: Bloquer l’accès SSH en tant que « root »

Dans un second temps, il suffit de modifier la configuration du service SSH afin de ne plus permettre l’accès direct en tant que « root »:

  1. Établir une connexion SSH à votre serveur à l’aide d’un compte d’utilisateur faisant partie du groupe « Wheel ».
  2. Devenir root à l’aide de la commande su - root
  3. Ouvrir le fichier /etc/ssh/sshd_config à l’aide d’un éditeur tel que « vi » ou « joe ».
  4. Changer la valeur du paramètre PermitRootLogin pour no
  5. Sauvegarder le fichier de configuration puis quitter l’éditeur.
  6. Redémarrer le service SSH à l’aide de la commande service sshd restart

Assurez-vous maintenant qu’il n’est plus possible de se connecter à votre serveur par SSH en tant qu’utilisateur « root ».

Posted in Tous les tutoriels, Tutoriels LinuxComments (0)

Protéger WordPress contre les « Brute Force Attacks »

Protéger WordPress contre les « Brute Force Attacks »

Niveau: Débutant / Intermédiaire

WordPress étant la plateforme préférée de millions de blogueurs du Web, elle est aussi une cible de choix pour les pirates et les hackers.

Le code-source de WordPress étant disponible à tous (car WordPress est un logiciel Open Source) et ses thèmes et extensions pouvant être développés par n’importe qui, la sécurité de WordPress peut s’en voir compromise rapidement.

Les « Brute Force Attacks »

Une des techniques les plus couramment utilisées pour infiltrer un blog WordPress est le « Brute Force Attack » (ou Attaque par Force Brute). Cette technique consiste à essayer de s’authentifier comme administrateur d’un blog en testant une immense variété de combinaisons de noms d’utilisateur et de mots de passe.

Bien sûr, ces attaques sont générées par des scripts (ou des bots) qui sont en mesure de générer un grand nombre de noms d’utilisateur et de mots de passe en peu de temps.

Une des faiblesses de WordPress est l’utilisation d’un compte administrateur nommé « admin » par défaut au moment de l’installation. Et il y a peu de temps encore, WordPress ne permettait pas de spécifier un autre nom d’utilisateur que « admin » pour le compte d’administrateur. Hors, plusieurs blogues WordPress continue d’utiliser ce compte depuis ce temps. Par conséquent, lorsqu’une Brute Force Attacks survient, c’est le compte « admin » qui est éprouvé en premier.

Comment protéger WordPress contre les Brute Force Attacks

1. Changer le compte d’utilisateur « admin »

Dans un premier temps, si votre compte d’administrateur est « admin », il est fortement recommandé de modifier ce dernier. Il n’est toutefois pas possible de faire cela avec les fonctions de base de WordPress, il faut donc le faire manuellement (à l’aide de phpMyAdmin) ou bien en utilisant une extension développée à cet effet.

Pour la plupart des blogueurs en herbe, changer manuellement le compte « admin » peut s’avérer un peu complexe. C’est pourquoi je recommande plutôt l’utilisation d’une extension nommée Change Admin Username. Une fois installée, cette extension ajoute un item « Change Username » au menu « Utilisateurs » du module administratif de WordPress. Il suffit alors d’y entrer le nouveau d’utilisateur qui remplacera « admin » et le tour est joué!

2. Installer « Login Lockdown »

En second lieu, installer l’extension Login Lockdown protégera votre blogue contre les Brute Force Attacks en bloquant l’accès au formulaire d’authentification après un certain nombre de tentatives d’accès infructueuses. Une fois l’extension activée, il suffit de cliquer sur « Login Lockdown » du menu « Réglages » de WordPress afin de la configurer. Personnellement, voici comment je configure cette extension:

  • Max Login Retries: 3
  • Retry Time Period Restriction (minutes): 15
  • Lockout Length (minutes): 60
  • Lockout Invalid Usernames: no
  • Mask Login Errors: no

Ainsi configurée, Login Lockdown bloquera l’accès à toutes sources d’intrusion suffisamment longtemps pour que l’attaque soit abandonnée.

Hébergement Web WordPress avec Hostgator
1er mois pour seulement $0.01
Profitez de cette offre exclusive maintenant!

Posted in Tous les tutoriels, Tutoriels WordpressComments (1)