Nouvel email ou plutôt SPAM n°121916 de Wordfence :
| > After our post on Friday discussing the increase in brute force attacks on WordPress in December, we received a lot of feedback. A few readers reached out to me personally with some additional data. > > A source in Kiev, Ukraine contacted me and this morning we chatted via Skype about the political and military situation in Ukraine. > > We published an update a few minutes ago that shows who is likely behind the attacks and what their motivation might be. |
|---|
Maintenant il faut vérifier les faits, est-ce que je me fais attaquer par les Russes :
La sécurité passe aussi par l’analyse des logs d’Apache !
Je viens de faire deux POST sur la sécurité :
Attention a ne pas négliger la sécurité sur Wordpress ! Il existe de bon plugin pour la sécurité :
Juste pour bien ce rendre compte, voici la commande pour voir le nombre d’attaques “Brute force” (voir le précédent post pour la création du fichier wp-login.txt). Certains jours on arrive a des nombres de connexions très important !
J’ai donc les logs d’apache du 14/03/2008 à aujourd’hui et j’ai installé Wordfence le 7/12/2016. Je veux voir si les attaques par injection SQL en mode GET sont nouvelles ou pas. Et je veux voir si cela correspond à la date d’installation de Wordfence.
Quelques commandes de base pour rappel :
J’ai donc fait une révision de “du”, “awk”, “ls”, “gunzip”, “grep” (avec ‘-w’ et sans casse ‘-i’) , “time” ;) . J’ai donc eu 16008 tentatives d’injections par injection avec la méthode GET. Maintenant on va chercher les IPs afin de pouvoir les filtrer.
Pour l’instant je suis en phase d’observation. Il est vrai que certains des conseils étaient bons, comme supprimer des fichiers de logs ou d’installation. Ensuite je trouve vraiment bien de tracer toutes les connexions à la page d’admin et d’envoyer un email à chaque connexion.
Maintenant il va falloir que j’analyse les attaques :
The Wordfence Web Application Firewall has blocked 253 attacks over the last 10 minutes. Below is a sample of these recent attacks:
La taille de la base de donnée est limité à 1000 Mo chez PHPNET.ORG, et je viens de voir que ce blog consomme près de 500 Mo. Après une analyse dans les tables de MySQL via la commande :
SELECT table_name AS “Tables”, ROUND( ( (data_length + index_length) /1024 /1024 ) , 2) AS “Taille MB” FROM information_schema.TABLES WHERE table_schema = “NomDeLaBase”
Et je viens de m’apercevoir que ce sont les tables wp_translations_log et wp_translations qui occupent 50% de l’espace. Ces deux tables sont du plugin “Transposh Translation Filter” (Version 0.9.6 | Par Team Transposh) qui est désactivé … Encore un super plugin !
Dernièrement j’ai pu voir le grand nombre d’utilisateur du Pinterest, j’ai donc voulu tester avec la création d’un compte : CYBERNEURONES.
Ensuite on a la création d’un lien : https://fr.pinterest.com/cyberneurones/ . Maintenant il va falloir mettre en avant quelques articles afin de voir si réellement il y a du passage. Je vais choisir les articles qui ont le plus de visite.
J’ai que trois articles qui correspondent, les articles de Mécaniques ne sont pas fait pour ce site. La mécaniques c’est plutôt du tuning de voitures pour ce site. Il est vrai que l’on subit plus la mécanique ;) . Je vais descendre un peu plus bas des les statistiques afin de mettre au moins 5 articles.
La galère suite à la migration de PHP 5.2 à PHP 7.0, j’ai le site qui n’était plus accessible. Heureusement j’ai trouvé un plugin Debug (Version 1.7 | Par SoniNow Team ).
J’ai donc du faire le ménage et supprimer des plugins:
Mais la bonne nouvelle c’est que ce plugin fonctionne maintenant :
Aucun problème à signaler !
Voici la liste des plugins que j’utilise :
Le problème c’est que plus on a de plugin et moins le site est performant … et j’ai 30 plugins :) .
Leurs templates sont des usines à publicité, normalement quand on paye c’est pour ne pas avoir de publicité !
Si je fais cette petite commande Linux sur leur template :
grep 'href="http' */*.* */*/*/*.* | awk -F 'href="' '{print $2}' | sed "s/>/ /g" | awk '{print $1}' | sort -n | uniq -c
5 http://gietrzwald.3c.pl/"
72 http://houses.html.themeplayers.net/country/index.html"
5 http://muzeumolsztynek.pl"
5 http://pl.wikipedia.org/wiki/Rezerwat_przyrody_Sosny_Taborskie"
5 http://www.aquaparkostroda.pl/"
5 http://www.muzeum.olsztyn.pl"
5 http://www.olsztyn.lasy.gov.pl/kudypy/arboretum.htm"
5 http://www.warmiapark.pl/"
153 https://twitter.com/createitpl"
153 https://www.facebook.com/createITpl"
5 https://www.google.pl/maps/place/Krakowskie+Przedmieście+64,+Warszawa/@52.245475,21.0144199,17z/data=!3m1!4b1!4m2!3m1!1s0x471ecc66583e17f3:0x18a99ba47c8f89b0"Pas mal 418 liens … on doit donc payer 15 Euro pour 418 liens. En général on se fait payer pour la publicité…. et leur compte @createitpl semble suspendu. Il faut donc faire un script pour modifier tous les liens.
J’ai pu voir que j’avais des erreurs avec Safari (jamais avec Chrome) sur certaines images à cause des accents dans les noms des images :
Le premier plugin testé c’est préventif : Clean Image Filenames
Le second plugin testé c’est curatif : Media File Renamer. Mais c’est assez long de cliquer image par image …
