Avr
6

Sécuriser son administration WordPress, Drupal, Joomla et autres

Comment rajouter une couche de sécurité à la page d’administration de votre CMS ?

Yubikey

Par des captchas ? Ce n’est plus aujourd’hui une solution efficace. Des gens sont payés pour les mettre en clair.

Des mots de passes super compliqués ? Ca vous obligera à les stocker quelquepart et donc à les rendre vulnérables.

Mieux que celà vous pouvez utiliser les One-Time-Passwords. C’est ce que propose de faire Yubico avec sa clé USB Yubikey.

One-Time-password

De quoi s’agit-il ?

Comme son nom l’indique il s’agit d’un système de mots de passe à utilisation unique qui vous sont fournis par la clé en appuyant sur le cercle dont elle dispose.

Chaque mot de passe généré est composé d’un identifiant unique propre à votre clé et d’une partie dynamique différente à chaque fois et calculée de façon à ne pouvoir être déduite du mot de passe précédent.

Installation rapide

La Yubikey est conçue pour être détectée comme un clavier USB. Elle n’a donc pas besoin de pilotes ou d’un quelconque logiciel pour fonctionner et peut être utilisée sous Windows, MAC ou Linux.

Pour WordPress installez le plugin yubikey-plugin puis entrez votre ID et votre clé et voilà, vous avez désormais un champ Yubikey OTP qui apparait en plus de votre identifiant et votre mot de passe sur la page d’administration.

Pour vous connecter sur votre blog, entrez votre identifiant et votre mot de passe comme d’habitude puis posez le doigt sur le cercle pour remplir le champ Yubikey OTP.

Le serveur Yubico vérifiera alors que le mot de passe fourni par la clé est valide et vous donnera accès à votre blog.

Applications

Il est possible d’utiliser la clé pour différentes applications comme WordPress, Drupal, Joomla, Google apps, phpBB, osCommerce, mediaWiki, différents logiciel de stockage de mots de passe et bien d’autres encore.

La Yubikey peut également être reconfigurée par l’intermédiaire du programme fourni avec pour ajouter une seconde méthode d’authentification  au choix :

  • User Name + Password + YubiKey OTP
  • User Name or YubiKey OTP + Password
  • YubiKey OTP only
  • User Name + Password

Pratique

Vous pouvez emporter votre clé partout pour pouvoir vous connecter de votre ordinateur portable ou de chez quelqu’un d’autre lorsque vous êtes en voyage.

Pour ceux qui souhaitent se connecter depuis un smartphone, Yubico propose une clé spécifique qui utilise la technologie sans contact NFC sous réserve que le téléphone en soit doté.

Solution ultime ?

Non, ce n’est pas LA solution à toutes les attaques qui peuvent survenir contre votre blog. La Yubikey le protège des attaques par mot de passe mais pas de failles de sécurité potentiellement présentes dans des versions obsolètes de votre blog, vos thèmes ou vos plugins.

Il ne faut donc pas considérer qu’en ayant ce type de produit, il n’y a plus besoin de s’occuper de la sécurité de son site.

C’est juste une solution pour éliminer une grosse partie des tentatives d’intrusion et ce pour un prix dérisoire.

Articles similaires :

  • Pas d'articles similaires

45 Comments to “Sécuriser son administration WordPress, Drupal, Joomla et autres”

  • Steve from venum 7 avril 2014 à 8 h 26 min

    Oui cela à l’air vraiment intéressant mais le jour où ça fonctionne plus il n’y a plus de mots de passe alors? Parce que la mémoire normalement ça c’est censé toujours fonctionner? ;-)
    Steve@venum Articles récents..SAC DE FRAPPE BAD BOY VIDE 180CM – 124,31 €My Profile

  • Arnaud 7 avril 2014 à 15 h 25 min

    Bonjour Steve,

    En cas de perte ou de vol, il est possible de désactiver la clé en s’inscrivant au préalable au service YubiRevoke.

  • Fraja from Arryadia live 7 avril 2014 à 17 h 05 min

    J’ai vécu le cauchemar de cette vulnérabilité avec joomla , après la succession des attaques je l’ai abandonné finalement.

    j’aime bien l’idée de mise en place de l’authentification forte de Yubikey , reste à savoir si c’est vraiment un outil efficace contre ces attaques.

    ça serait sympa si quelqu’un qui a déjà testé Yubikey nous donne son avis et son retour d’expérience :)

  • Desimlockage 8 avril 2014 à 14 h 17 min

    Bonjour Arnaud, j’ai aimé le principe de l’application mais est-ce que c’est payant?
    Je veux bien le faire dans mon site mais c’est c’est payant je préfère dene le pas utiliser :)

  • Arnaud 8 avril 2014 à 18 h 30 min

    La clé est payante mais ce n’est que 25 $ et sans abonnement

  • François from Firmapi 9 avril 2014 à 9 h 28 min

    A priori une très bonne solution pour protéger ses accès. Mais que se passe-t-il si on perd la clé ? J’imagine qu’il y a une procédure de retour en arrière avec l’email pour revenir sur une identification traditionnelle dans ce cas ?

  • Pierre from pate a crepe 9 avril 2014 à 11 h 26 min

    Je suis d’accord avec toi sur les codes captcha, même si ce service limite largement les soumissions frauduleuses pour 99.99% des sites. Il n’y a réellement que les tentatives d’hacking ciblées qui ne risquent pas d’être mises hors de nuire. Mais par contre, tu sais c’est loin d’être gratuit comme service, il faut compter jusqu’à 1 euros les 1000 codes captcha. En sachant qu’il faut des milliards de combinaisons parfois pour devenir un seul mot de passe, je pense qu’il s’agit d’une première bonne technique pour limiter les risques.

  • Nico from prenom de fille 13 avril 2014 à 20 h 38 min

    Bonjour, ça me fait penser aux identificator utilisés par exemple par Blizzard pour ses jeux en ligne ou guild war. Le système est valable mais l’algo au coeur de la clef est super important, des générateurs d « authentificator » existent sur le net et les piratages (bien que réduits via cet outil) continue d’exister.
    Nico@prenom de fille Articles récents..Les Prenoms de fille anglais en F-G-H-I-J-KMy Profile

  • Théophile 14 avril 2014 à 3 h 15 min

    J’aimerai savoir si quelqu’un connaît une solution d’authentification à double facteurs. Une extension Joomla, WordPress ou Drupal efficace. J’utilise tous ces CMS, mais dans un projet pour un client, j’aimerai pouvoir ajouter cet option qui est plutôt intéressante par son efficacité à mon avis.
    Théophile Articles récents..CMS du jour: CMS made simpleMy Profile

  • Hervé Zarka 15 avril 2014 à 14 h 17 min

    J’ai vraiment aimé l’idée quoique sa réalisation me semble un peu compliquée pour le moment !

  • Samia 23 avril 2014 à 13 h 51 min

    je suis complètement d’accord avec toi,merci pour les infos.
    Samia Articles récents..cheveux secsMy Profile

  • site internet pas cher 28 avril 2014 à 19 h 18 min

    Super article !
    A mon expérience, je ne vous conseille pas d’utiliser le CMS Joomla dans vos créations, c’est très délicat : beaucoup des fails, pas des mise à jour aux modules !
    Soyez prudent :)

  • Rich from localiser un telephone portable 30 avril 2014 à 7 h 34 min

    Je pense que wordpress est le plus adapté et possède une communauté très importante!

  • Une Clé usb personnalisée selon vos besoins 30 avril 2014 à 8 h 14 min

    WordPress est l’une des plateformes de site personnelle les plus exploité dans le monde. Cela est due au faite qu’il est simple d’utilisation et que de nombreux add-on sont gratuits.

  • Gilles Brunault 4 mai 2014 à 14 h 55 min

    Aie, si jamais on perd la clé, un est foutu! Effectivement c’est une belle alternative de protection, mais n’y a-t-il pas des méthodes plus simples, moins coûteuses et tout aussi efficaces?
    Gilles Brunault Articles récents..Quels traitements médicaux contre la hernie discale ?My Profile

  • Mehdi 10 mai 2014 à 11 h 49 min

    Les OTP sont une excellentes alternatives mais pas exempt de faille de sécurité. Par contre que se passe-t-il lorsque vous perdez votre clef OTP ? S’il y a une mesure pour récupéré la clef, alors la faiblesse de votre site se trouve ici ….
    Mehdi Articles récents..Trouver le bon produit d’affiliation.My Profile

  • Antoine from odasie.fr 11 mai 2014 à 12 h 01 min

    L’idee est bonne mais que se passe-t-il si on perd la cle ?? A creuser.

  • Emma 13 mai 2014 à 16 h 02 min

    Bonjour;
    Un très bon article merci, pour moi je pense que wordpress est un excellent cms surtout qu’on nous aide avec ses plugins dans le référencement, mais essayez d’éviter l’utilisation de joomla car on est moins sécurisé…

  • Anna 15 mai 2014 à 10 h 55 min

    Bonjour;
    C’est une bonne idée de protection bien sur accompagné par les autres méthodes.
    Quel est le prix de ce clé s’il vous plait??

    • Arnaud 16 mai 2014 à 16 h 58 min

      Le premier modèle est à 25 USD.

  • olga from photographe mariage paris 16 mai 2014 à 16 h 41 min

    c’est vrai une nouvelle idée de protection.
    Mais est ce que le clé est un excellent solution!!
    merci pour tous ces informations.

  • Lisa from france-chien 23 mai 2014 à 16 h 17 min

    Bonjour,
    Merci pour cet article. Je trouve cette solution vraiment efficace, puisqu’en ce moment, il est fréquent de perdre l’accès à son site. De plus, on n’est jamais trop prudent, donc il faut toujours savoir sécuriser ses données de connexion. Et ce que j’aime le plus avec ce genre de protection c’est que c’est très facile à utiliser. On devra faire plus d’articles comme cela. Bravo
    Lisa@france-chien Articles récents..Apprendre la marche en laisse à un chien adulteMy Profile

  • greg from placement capital 26 mai 2014 à 14 h 32 min

    Pas mal du tout. Moi qui bosse sur WordPress et qui me suis pas mal fait pirater mes sites, j’utilise itheme security, qui fait vraiment bien son boulot.
    greg@placement capital Articles récents..Les fonds alternatifs à la loupeMy Profile

  • Antoon from Wordpress Lille 27 mai 2014 à 12 h 38 min

    J’utilise le plugin Clef depuis 1 mois & je suis pleinement satisfait. Il permet de se connecter à son site sans mot de passe et juste avec son téléphone.
    Antoon@Wordpress Lille Articles récents..Ce que Facebook sait sur vous !!!My Profile

  • Jessica from pret entre particuliers 30 mai 2014 à 13 h 36 min

    Bonjour,

    Merci infiniment pour ces conseils. Je cherchais justement des moyens de sécuriser joomla. On ne sait jamais, mieux vaux être bien équiper et bien sécuriser pour éviter des problèmes

  • Arthur from serrurerie villeneuve st georges 6 juin 2014 à 10 h 52 min

    Comme vous avez cité One-Time-Passwords rest une option de securité tres limité puisque Les fails de securité , ils y’en a partout ^^

  • clara from gravure plastique 13 juin 2014 à 7 h 55 min

    Bonjour,
    merci pour l’information, très intéressant.
    Bonne journée.

  • Pauline from alternativebanque 19 juin 2014 à 14 h 34 min

    Ingénieux, novateur, avec un petit côté « futuriste »… ce n’est pas complet en effet, et cette solution sera efficace un temps seulement, comme toutes, mais je suis plutôt séduite.
    Et 25 dollars, pour un complément de sécurité, c’est presque donné.

  • sara from maison a vendre 25 juin 2014 à 9 h 40 min

    Bonjour, des bonnes conseils.
    Merci pour tous ces informations.

  • sara from algerie appel d'offre 27 juin 2014 à 8 h 21 min

    Bonjour,
    Merci infiniment pour ces conseils. C’est une bonne idée de protection .
    Merci pour le partage.

  • jackdanielza from Meteo Montpellier 16 juillet 2014 à 10 h 29 min

    Bonjour,
    Merci pour toutes ces informations la sécurité est très important en cas de vol ou de perte.
    je trouve tous tes articles très intéressants.
    Merci pour le partage de cet article.
    jackdanielza@Meteo Montpellier Articles récents..Meteo MontpellierMy Profile

  • olga from jeu flash 21 août 2014 à 8 h 49 min

    ce sont des bonnes informations de sécurité .
    j’aime beaucoup tous ces conseils .
    merci pour le partage .
    olga@jeu flash Articles récents..jeu gratuitMy Profile

  • Dépannage informatique 21 août 2014 à 20 h 45 min

    Pour sécuriser facilement votre site wordpress je vous recommande d installer l extension Itheme security .. je simple et fiable que demander de plus .

  • Dimitri 27 août 2014 à 13 h 31 min

    J’avoue que j’utilise aussi extension Itheme security et c’es vraiment impec !

  • Formation php 27 août 2014 à 13 h 33 min

    Sympa l’astuce, je vais tester l’outil je vous tiendrez au courant.

  • sani 28 août 2014 à 1 h 45 min

    merci pour les informations

  • Dimitri from Coursier Paris 8 septembre 2014 à 12 h 05 min

    Je suis d’accord avec Arnaud j’utilise souvent YubiRevoke c’est parfait.

  • MMA 11 septembre 2014 à 17 h 23 min

    Je ne connaissais pas du tout merci pour l’info je vais me pencher là dessus…
    MMA Articles récents..Histoire du Mixed Martial Arts (MMA)My Profile

  • Electrostimulateur 30 septembre 2014 à 13 h 15 min

    Bonjour,
    Ayant plusieurs sites sous joomla je vais essayer cette clé afin de sécuriser un peu plus joomla.
    Bonne continuation

  • Jean Louis 22 janvier 2015 à 7 h 31 min

    Merci pour l’astuce si ca marche toujours.. ;)

  • Ivision.fr 12 février 2015 à 17 h 02 min

    Effectivement, avec l’augmentation de plus en plus importante des attaques informatiques ciblant les entreprises (voir notre article: http://www.ivision.fr/cyber-attaques-des-risques-en-hausse-pour-les-entreprises/) il est impératif de mieux sécuriser son site Internet. Pour se protéger, différentes façons : bien entendu, sécuriser son site en lui-même, avec des pratiques telles que vous les mentionnez, tel que le mot de passe à usage unique, mais il faut également s’assurer de la sécurité de tous les éventuels thèmes ou modules utilisé, ainsi que de la sécurité du serveur sur lequel le site est hébergé. Si la sécurité de votre site est un élément sine qua non de votre réflexion, il faudra alors probablement envisager d’utiliser un serveur dédié ou de l’hébergement dans un Cloud privé, plutôt qu’un hébergement mutualisé grand public.
    Ivision.fr Articles récents..Cyber attaques : des risques en hausse pour les entreprisesMy Profile

  • ChrisRedac 20 juin 2015 à 18 h 03 min

    J’ai lu avec un grand intérêt votre article sur cette nouvelle méthode pour la protection de son espace d’administration. Il est vrai qu’elle n’est pas infaillible comme la plupart des protections contres les attaques.

    Par contre, je trouve intéressant qu’il est préférable de prévenir avec une attaque avec cette solution. Au moins, on peut dormi avec un œil que si on avait une zone d’administration totalement vulnérable.
    ChrisRedac Articles récents..10 meilleurs plugins wordpress pour votre blogMy Profile

  • onlycom 11 mars 2016 à 5 h 58 min

    merci!

  • qsypoq from blog linux 20 mai 2016 à 17 h 15 min

    Je vais me pencher sur le sujet ça a l’air sympa ! A voir si on peut en créer une nous même… :D