Les sociétés HostGator et CloudFlare rapportent qu’une attaque massive visant les sites et autres blogs montés sur la célèbre plateforme WordPress serait en cours. Je ne saurai donc trop conseiller aux blogueurs et blogueuses qui utilisent ce CMS de lire ce qui suit…
Banale, cette attaque de type brute-force consiste à prendre le contrôle des sites visés en tentant de découvrir le mot de passe utilisé par le compte Administrateur créé par défaut lors de l’installation de WordPress, compte d’origine dont l’identifiant est «admin». Près de 100.000 adresse IP seraient engagées.
Notez que cette attaque n’ayant pas pour objectif de liquider les sites visés mais de prendre le contrôle de leurs serveurs pour mener prochainement des attaques de plus grande envergure, les victimes de cette attaque ne se rendront probablement pas compte qu’elles sont touchés.
Bien qu’il soit fortement recommandé de créer un compte administrateur personnalisé une fois l’installation de WordPress finalisée, la grande majorité des utilisateurs de Worpdress n’a pas pris cette précaution.
Cette nouvelle attaque est donc l’occasion pour ceux et celles qui n’avaient pas jugé nécessaire de suivre ce conseil de base de créer au plus vite un nouveau compte administrateur en utilisant un identifiant personnalisé couplé avec un mot de passe complexe. Pour ce faire, suivez simplement la procédure qui suit:
Sommaire
Etape 1 : Créer un nouveau compte Administrateur
Pour commencer, vous allez devoir vous rendre dans la section «Utilisateurs» puis, dans «Ajouter».
Créez ensuite un nouveau compte Administrateur en renseignant l’ensemble des champs requis avant de sélectionner le rôle «Administrateur» dans le menu déroulant prévu à cet effet.
Vous devrez bien évidemment attribuer un mot de passe à ce nouvel utilisateur. Mot de passe qui devra, de préférence, contenir au moins 7 caractères et si possible des majuscules, minuscules, chiffres et symboles.
Etape 2 : Supprimer le compte Administrateur par défaut
Une fois votre nouveau compte Administrateur créé, déconnectez et reconnectez vous en utilisant l’identifiant et le mot de passe que vous aurez préalablement choisi pour ce nouveau compte.
Retournez ensuite dans la section «Tous les utilisateurs» et cliquez sur l’option «Supprimer» du compte administrateur par défaut soit le compte «admin».
Cruciale, une dernière étape consistera à transférer l’ensemble des articles rédigés en utilisant le compte Administrateur par défaut vers le nouveau compte préalablement créé.
Pour se faire, cochez l’option «Attribuer les articles à » et sélectionnez le nouveau compte Administrateur dans le menu déroulant avant de confirmer la suppression.
Félicitations, vous êtes désormais à l’abri d’éventuelles attaques exploitant le compte Administrateur par défaut de WordPress !
