lock-security.jpg

Par défaut les systèmes de blog possèdent tous un mécanisme d'authentification applicatif permettant de protéger "normalement" toutes les ressources se trouvant dans la zone d'administration du site.

Cependant, il arrive parfois que des failles applicatives soient détectées et permettent à des personnes tierces mal intentionnées de pouvoir exécuter des tâches d'administration sans en avoir les autorisations.

Il y a une astuce très simple qui permet d'augmenter la sécurité d'un blog, cette astuce consiste tout simplement à placer un second mécanisme d'authentification de type Basic HTTP password en entrant sur la zone d'administration.

Ex : https://www.geeek.org/admin/

Cela se fait très simplement sur Apache et sur l'ensemble des autres serveurs Web. Sur Apache, il suffit de placer un fichier .htaccess dans le répertoire "admin" de votre blog et de définir une politique d'authentification.

AuthType Basic
AuthName "Blog admin"
AuthUserFile /path/to/.htpasswd
Require valid-user

Pour vous aider à générer ce fichier, il existe des outils en ligne.

Après cette petite opération, tous les accès au répertoire d'administration du blog seront filtrés directement par le serveur Web. Les possibles vulnérabilités seront alors hors de portées. Une autre solution efficace consiste à renommer le répertoire d'administration afin de la rendre non prédictible et limiter les attaques provenant de robots.

Enfin, si vous êtes encore plus paranoïaque que moi, vous pouvez aussi restreindre l'adresse IP ayant accès à la zone d'administration et déporter le contenu du fichier .htaccess directement dans la configuration du serveur Apache si vous en avez les droits.

AuthType Basic
AuthName "Blog admin"
AuthUserFile /path/to/.htpasswd
Require valid-user

Order Deny,Allow
Allow from 11.111.11.111
Deny from all

Satisfy any

Pour terminer, si vous souhaitez bloquer définitivement les tentatives de bruteforce, vous pouvez configurer Fail2ban pour qu'il agisse dynamiquement sur l'IPtables de votre serveur au bout de 5 tentatives d'authentification infructueuses par exemple. Pour cela vous pouvez aller jeter un oeil sur l'article Fail2ban dédié à Apache :

http://www.fail2ban.org/wiki/index.php/Apache

Vous avez désormais tous les outils entre les mains pour surprotéger la zone d'administration de votre blog. Et vous ? Qu'utilisez-vous pour sécuriser les accès à l'administration votre site Web ?


Crédits photo : Subcircle

  • Clone carte RFID Mifare

    Hacking : Comment cloner une carte RFID ?

    Les cartes RFID Mifare 1K possèdent deux protections principales : Le block 0 est en lecture seule, seul le constructeur de la carte peut initialiser ce block. Les données écrites sur les cartes sont encryptées. Il existe cependant des solutions pour outrepasser ces protections et permettre de créer des copies exactes. Cet article détaille la procédure pour cloner une carte RFID Mifare 1k sous Linux.

  • Tutoriel Backtrack 5 : Comment cracker un réseau Wifi protégé avec du WPA

    Voici un tutoriel intéressant sur les outils de bruteforce WPA mis à disposition dans la distribution Linux Backtrack 5.

1. Le , 11:35 par jhonn
eacf4b7923732b40d8a63d7ee7d21adf

Bonjour,

Merci pour les infos.
Je voudrais savoir comment changer le design du logon des pistes?

Merci
ton blog est suivi en rss grâce à google reader des idées sur un evetuelle changement de lecteur rss?

Thanks

2. Le , 11:37 par Clem
d0b9118e22cc7312ea3b17bbd9db69d0

C'est une bonne idée si tu est en HTTPS, si tu es en HTTP ça l'est moins. Car si tu te connecte à l'admin de ton blog sur des réseaux publics, tu es susceptible de subir des attaques MiTM (Man in the middle, l'homme du milieu, le passeur de sceau).

En tant qu'attaquant, il est très facile de filtrer les paquets "Connexion HTTP", par contre il est moins évident de filtrer les connexion applicative (C'est toujours possible et surement très facile si le système est un système connu genre dotclear, wordpress).

Pour finir si en plus ton serveur web, utilise des comptes de la machine physique et pas des comptes dédiés, la personne récupérant le mot de passe pourra surement se connecter via SSH au serveur!
Tandis que les login/password applicatifs ne correspondent pas souvent aux logins/password du fichier /etc/passwd

3. Le , 11:52 par JcDenis
5b5062174b59b9254680c5ab42806d30

Comme dit dans le commentaire précédent, j'utilise en plus HTTPS.
Sinon effectivement sur ma plateforme de blogs:
1 blog = 1 admin = 1 user système, il est alors très simple de remplir le .htpasswd suivant les utilisateur système de façon automatisé ;-)

4. Le , 12:17 par slater0013
21b308ab5dcad6a9ee7d1a48c397b0d6

Et changer l'URL d'administration des standards habituels, certains CMS le proposent !

Ex: utiliser http://monsiteweb.com/admin_mais_ce... au lieu d'un simple /admin ou /wp-admin (pour wordpress par exemple)

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.