• Protéger l’admin WordPress avec Tailscale

    La sécurité d’un site web est un sujet important dont on parle souvent seulement après la première vraie problématique.
    Tout dépend de l’endroit et de la manière dont votre WordPress est hébergé.
    Si votre site se trouve sur un hébergement mutualisé (shared hosting), la sécurité de base relève du fournisseur d’hébergement, avec tous les avantages et les inconvénients que cela implique. Vous avez peu de contrôle, mais aussi peu de responsabilités — il ne reste souvent que la confiance et l’espoir 🙂.
    Un autre niveau commence lorsque vous utilisez votre propre serveur — virtuel (VPS) ou physique (bare metal). Cela offre beaucoup plus de liberté, de possibilités et de contrôle, mais impose aussi une responsabilité différente : la sécurité du serveur et du site devient votre responsabilité.
    Comme WordPress est le CMS le plus populaire au monde, il est en permanence la cible d’attaques automatisées : brute-force, scans de /wp-login.php, tentatives de deviner les mots de passe, etc. C’est pourquoi, dans cet article, je présente une méthode simple et fiable pour protéger l’interface d’administration de WordPress sans utiliser de plugins — en limitant l’accès à /wp-admin et wp-login.php de façon à ce que :

    – le site reste public (HTTP/HTTPS) via une adresse IP ou un nom de domaine
    /wp-admin et wp-login.php ne soient accessibles que via Tailscale

    Tailscale est un service qui permet de créer un réseau VPN privé entre vos appareils.
    Pour un nombre limité de dispositifs, il est gratuit et beaucoup plus simple à utiliser que la configuration manuelle de WireGuard ou d’un VPN classique.
    Alors, on se sert un café ou un thé — et on commence 🙂

    (more…)

    👤

    📁
  • John the Ripper sur Ubuntu 22.04

    Dans ce tutoriel, je montre pas à pas comment installer John the Ripper sur Ubuntu 22.04. Bien sûr, on peut utiliser Kali Linux — il inclut John par défaut et sert de « couteau suisse » en infosecurité. Cependant, je présente l’installation sur Ubuntu pour les cas où Kali n’est pas approprié (politiques d’entreprise, environnements pédagogiques, restrictions d’accès ou compatibilité des paquets).

    John the Ripper est un outil d’audit de mots de passe : il prend des hachages et tente de les retrouver par différentes méthodes (listes de mots, règles, recherche incrémentale) pour évaluer la solidité des mots de passe et repérer les comptes faibles. Je vais installer John, créer deux comptes de test (un avec un mot de passe faible et l’autre avec un mot de passe fort), générer le fichier monpass.l contenant les hachages et lancer une attaque par dictionnaire simple avec analyse des résultats. Pour exploiter des fonctions plus avancées (masques, GPU/OpenCL, formats supplémentaires), il faut du matériel plus puissant.

    Prérequis : pour le test, j’ai utilisé Ubuntu 22.04 sur Proxmox (4 vCPU, 8 Go de RAM). Je travaillerai avec l’utilisateur oleks, qui fait partie du groupe sudo. Après le test, si la VM n’est pas dédiée uniquement à ces essais comme dans mon cas, supprimez ou effacez de façon sécurisée le fichier monpass.l, car il contient des hachages de mots de passe.

    (more…)

    👤

    📁
  • Configuration UFW

    J’ai déjà rédigé un tutoriel sur l’installation et la configuration d’IPTables, un outil puissant mais parfois complexe pour gérer les règles de pare-feu sous Linux. Aujourd’hui, je vais vous présenter un outil plus simple et accessible, appelé UFW (Uncomplicated Firewall). Le pare-feu est un élément essentiel pour protéger un système contre les menaces extérieures en régulant le trafic réseau et en bloquant ou autorisant les connexions selon des règles spécifiques.
    Dans ce guide, nous allons apprendre à installer, configurer et utiliser UFW sur Debian 12, tout en le comparant à Ubuntu. Vous verrez que la configuration d’un pare-feu sécurisé peut se faire rapidement avec UFW, tout en offrant suffisamment de flexibilité pour les utilisateurs plus avancés. Dans la première partie du guide, je vais expliquer comment configurer UFW, et par la suite, je fournirai quelques exemples de configuration.

    (more…)

    👤

    📁
  • Désactiver la Connexion SSH en tant que Root

    La sécurité est une préoccupation majeure pour tout administrateur système, en particulier lorsqu’il s’agit d’accès à distance via SSH. Par défaut, l’utilisateur root est créé en tant que premier utilisateur sur chaque système Linux. Cet utilisateur dispose des droits les plus élevés, avec un accès complet à toutes les commandes et fichiers, ainsi qu’aux permissions de lecture, d’écriture et d’exécution. Une utilisation inappropriée de ce compte peut avoir des conséquences graves sur votre serveur. Pour minimiser les risques, il est fortement recommandé de désactiver la connexion SSH pour l’utilisateur root.

    Il est préférable d’utiliser des comptes d’utilisateurs réguliers avec des droits sudo pour les tâches administratives, car cela favorise une meilleure gestion et une traçabilité des actions exécutées sur le système.

    (more…)

    👤

    📁
  • Génération et Utilisation des Clés SSH

    L’utilisation de clés SSH est une méthode sûre et pratique pour se connecter à un serveur à distance sans avoir à saisir un mot de passe à chaque fois. Contrairement aux mots de passe, qui peuvent être facilement compromis, les clés SSH offrent une sécurité renforcée grâce à la cryptographie asymétrique. Générer une clé SSH permet de garantir que seules les personnes disposant de la clé privée correspondante peuvent accéder à votre serveur, ce qui réduit les risques d’intrusion et améliore la sécurité du système. Dans cet article, je vais vous montrer comment générer une clé SSH sur un ordinateur sous Linux.
    Si vous utilisez un ordinateur avec Windows pour générer des clés, vous pouvez utiliser des logiciels comme PuTTYgen, Git Bash, MobaXterm, Termius ou WSL (Windows Subsystem for Linux) pour accomplir cette tâche.

    (more…)

    👤

    📁
  • Configuration IPtables sur Debian

    Un firewall (ou pare-feu) est un élément crucial de la sécurité informatique, utilisé pour protéger les ordinateurs et les réseaux en surveillant et en contrôlant le trafic entrant et sortant. Imaginez-le comme une barrière protectrice entre votre réseau interne sécurisé et les menaces potentielles venant de l’extérieur, comme Internet. Les firewalls appliquent des règles spécifiques pour décider si le trafic réseau doit être autorisé à passer ou bloqué, offrant ainsi une défense efficace contre les cyberattaques et les intrusions.
    Il existe plusieurs types de firewalls, chacun ayant ses propres avantages et cas d’utilisation. Sur les systèmes Linux, les trois suivants sont particulièrement populaires :

    • UFW (Uncomplicated Firewall) : C’est un pare-feu simplifié qui utilise IPtables en arrière-plan. UFW est idéal pour les débutants car il simplifie la gestion des règles de sécurité, rendant la configuration de base rapide et facile.
    • Firewalld : Un gestionnaire de pare-feu plus avancé qui permet de modifier les règles de sécurité à la volée, sans nécessiter de redémarrage. Firewalld est particulièrement utile dans des environnements dynamiques où la flexibilité est essentielle.
    • IPtables : C’est l’outil de pare-feu le plus puissant et flexible pour les administrateurs réseau expérimentés. IPtables est directement intégré au noyau Linux et permet un contrôle extrêmement précis du trafic réseau. Avec IPtables, vous pouvez définir des règles très détaillées pour filtrer les paquets de données, bloquer les menaces potentielles et autoriser les connexions sécurisées. Sa flexibilité en fait un choix incontournable pour ceux qui cherchent à personnaliser leur sécurité réseau en fonction de leurs besoins spécifiques.

    Aujourd’hui, nous allons apprendre à installer, activer et configurer IPtables sur Debian 12 Bookworm. Cela vous aidera à mieux comprendre comment sécuriser un serveur en utilisant un pare-feu puissant et adaptable.

    (more…)

    👤

    📁
  • Configuration de fichier .htaccess

    htaccess

    .htaccess, c’est le fichier de configuration du serveur HTTP Apache. Vous pouvez utiliser ce fichier pour gérer la sécurité de votre serveur Web. Tous les CMS, comme WordPress et Joomla, utilisent le fichier .htaccess pour créer une structure d’URL conviviale pour le référencement. Vous pouvez également l’utiliser pour gérer les autorisations d’accès aux dossiers du serveur et bien plus encore.
    Je vais vous expliquer comment utiliser ce fichier à travers l’exemple du site WordPress que nous avons créé ici.

    ⚠️ Note importante : Les exemples de ce tutoriel utilisent la syntaxe .htaccess compatible avec Apache 2.2. Sur les serveurs modernes avec Apache 2.4, la syntaxe Order allow,deny est remplacée par les directives Require. Les exemples restent valides dans la majorité des cas grâce au module de compatibilité, mais il est recommandé d’utiliser la syntaxe moderne pour les nouvelles installations.

    Pour modifier ce fichier, vous devez vous rendre dans le dossier racine de votre site (généralement dans le dossier `/var/www/`). Par exemple, voici le fichier `.htaccess` du site site1.com où nous avons installé WordPress.

    (more…)

    👤

    📁
  • Connexion VNC via SSH tunnel

    Si vous souhaitez utiliser votre serveur comme un ordinateur et travailler à distance avec des documents à l’aide de l’interface graphique, ou si vous ne souhaitez pas travailler avec le serveur via SSH, vous pouvez utiliser VNC (Virtual Network Computing).

    On va configurer le serveur VNC avec l’aide TightVNC sur Ubuntu 20.04 avec l’interface graphique Xfce et connecter un ordinateur local avec un programme client VNC via un tunnel sécurisé SSH et installer Firefox et Libreoffice. 

    Pour faire ce projet je vais utiliser:

    • Virtual private server (VPS): 3 vCore, 2.5 GB RAM, 40 GB SSD, 1Gbps (https://www.racknerd.com/) avec Ubuntu 20.04. Pour le test je vais utiliser utilisateur root. Mais pour le travail il faut créer un autre utilisateur sudoers (qui a le droit d’exécuter la commande sudo).
    • Ordinateur local –  laptop avec VNC client et MobaXterm

    (more…)

    👤

    📁
  • Modification du numéro de la port SSH

    L’administration à distance des systèmes Linux repose principalement sur SSH (Secure Shell), qui fonctionne par défaut sur le port TCP 22. Cependant, il peut être judicieux de modifier ce port pour renforcer la sécurité. Par exemple, changer le port par défaut permet de réduire les risques liés aux attaques par force brute ciblant spécifiquement le port 22. Dans ce tutoriel, nous verrons comment remplacer le port 22 par un autre, comme le port 222.

     

    (more…)

    👤

    📁
  • Utilisation de fail2ban pour protéger votre serveur

    Tous services connectés à l’Internet risquent d’être attaqués par force brute: de nombreux robots et attaquants essaient des mots de passe/utilisateurs aléatoires pour se connecter à votre serveur. Le serveur OpenSSH et le client lui-même sont assez sécurisés, mais comme tout le reste, il peut être craqué avec des attaques par force brute. Pour protéger le serveur j’utilise fail2ban qui bloque l’adresse IP pendant un certain temps après un certain nombre d’échecs de connexions.

    (more…)

    👤

    📁