Par défaut les systèmes de blog possèdent tous un mécanisme d'authentification applicatif permettant de protéger "normalement" toutes les ressources se trouvant dans la zone d'administration du site.
Cependant, il arrive parfois que des failles applicatives soient détectées et permettent à des personnes tierces mal intentionnées de pouvoir exécuter des tâches d'administration sans en avoir les autorisations.

Il y a une astuce très simple qui permet d'augmenter la sécurité d'un blog, cette astuce consiste tout simplement à placer un second mécanisme d'authentification de type Basic HTTP password en entrant sur la zone d'administration.

Ex : https://www.geeek.org/admin/

Cela se fait très simplement sur Apache et sur l'ensemble des autres serveurs Web.
Sur Apache, il suffit de placer un fichier .htaccess dans le répertoire "admin" de votre blog et de définir une politique d'authentification.


AuthType Basic
AuthName "Blog admin"
AuthUserFile /path/to/.htpasswd
Require valid-user

Pour vous aider à générer ce fichier, il existe des outils en ligne.

Après cette petite opération, tous les accès au répertoire d'administration du blog seront filtrés directement par le serveur Web. Les possibles vulnérabilités seront alors hors de portées.
Une autre solution efficace consiste à renommer le répertoire d'administration afin de la rendre non prédictible et limiter les attaques provenant de robots.

Enfin, si vous êtes encore plus paranoïaque que moi, vous pouvez aussi restreindre l'adresse IP ayant accès à la zone d'administration et déporter le contenu du fichier .htaccess directement dans la configuration du serveur Apache si vous en avez les droits.


AuthType Basic
AuthName "Blog admin"
AuthUserFile /path/to/.htpasswd
Require valid-user

Order Deny,Allow
Allow from 11.111.11.111
Deny from all

Satisfy any

Pour terminer, si vous souhaitez bloquer définitivement les tentatives de bruteforce, vous pouvez configurer Fail2ban pour qu'il agisse dynamiquement sur l'IPtables de votre serveur au bout de 5 tentatives d'authentification infructueuses par exemple. Pour cela vous pouvez aller jeter un oeil sur l'article Fail2ban dédié à Apache :

http://www.fail2ban.org/wiki/index.php/Apache

Vous avez désormais tous les outils entre les mains pour surprotéger la zone d'administration de votre blog.
Et vous ? Qu'utilisez-vous pour sécuriser les accès à l'administration votre site Web ?


''Crédits photo : Subcircle''