Sécuriser WordPress

Plus d’accès à WordPress ? Comment régler ce problème.

Blog Sécuriser WordPress Plus d’accès à WordPress ? Comment régler ce problème.
0 comments

Quand on installe un plugin de sécurité, on s’attends qu’il sache bloquer les attaques, les pirates, les mauvaises requêtes, les brute force, empêche les vols de comptes utilisateurs, tout ce genre de chose.

Mais parfois, ils font un peu de zèle et vous vous retrouvez alors bloqué, en dehors de votre propre site web, sans moyen d’entrer de nouveau.

Voici alors quelques solutions pour vous en sortir :

SecuPress

D’abord, parlons de ce qui peut arriver avec SecuPress. Vous avez fait trop de tentatives de connexion, ou vous avez mal orthographié votre login, votre IP est alors bannie. Un formulaire vous permets de vous décoincer, c’est à dire qu’en temps qu’administrateur, vous avez le droit de demander de supprimer le blocage.

Remplissez votre adresse email, et débloquez-vous !

FTP

En navigant dans votre site via un logiciel FTP comme FileZilla ou Transmit vous avez la possibilité de désactiver un plugin qui pose problème.

  1. Trouvez le chemin des plugins, il se trouve habituellement dans /wp-content/plugins/,
  2. Renommez le dossier du plugin qui pose problème, ajoutez par exemple “.old” en fin de nom,
  3. Retournez dans votre administration, page des plugins.

Vous devriez pouvoir y accéder et y lire une notification indiquant que le plugin en question a été désactivé car introuvable.

.htaccess

Il est aussi probable que le plugin ai modifié des fichiers afin de vous bloquer en amont. Si vous êtes dans un environnement Apache vous trouverez à la racine de votre site un fichier .htaccess, sinon passez à la suite.

Ce fichier peut contenir des lignes interdisant la visite du site pour certaines adresses IP. Donc si le blocage persiste :

  1. Faites une sauvegarde de ce fichier !
  2. Cherchez dans ce fichier quelque chose du genre : deny from 127.0.0.1 sans oublier de chercher votre IP à la place de celle-ci.
  3. Effacez cette ligne et sauvez le fichier,
  4. Retournez dans votre administration, vous devriez avoir accès.

Votre IP peut être facilement trouvée en 1 clic sur monip.org.

mu-plugin

Toujours pas le cas ? D’accord, continuons de chercher. Il est aussi possible pour un plugin désactivé de continuer à fonctionner via des mu-plugins (Must Use Plugins) qu’il aurait créé.

Ce mu-plugin va par exemple, charger le plugin en question, ou aller lire en base de données des adresses IP à interdire, et vous êtes donc encore dedans.

Rouvrons le FTP, vous avez la possibilité de désactiver ces mu-plugins qui posent problème.

  1. Trouvez le chemin des mu-plugins, habituellement /wp-content/mu-plugins/,
  2. Si vous n’en avez pas, passez à l’étape suivante, sinon
  3. Renommez le dossier des mu-plugins ou renommez juste le fichier qui pose problème si vous le connaissez, ajoutez par exemple “.old” en fin de nom,
  4. Retournez dans votre administration, vous devriez avoir accès.

loader

Et bien, celui-ci nous résiste ! Mais nous n’avons pas encore tout donné. Il est encore possible de faire charger du contenu PHP sans que WordPress n’intervienne.

De nouveau dans le FTP, vous trouverez à la racine un fichier php.ini ou .user.ini qui contient des règles de configuration PHP.

Si vous n’en avez pas, passez à l’étape suivante, sinon

  1. Faietes une sauvegarde de ce fichier !
  2. Editez le fichier et cherchez auto_prepend_file [path/to/the/filename].php, où filename est le nom d’un fichier.
  3. Supprimez cette ligne et sauvez le fichier.
  4. Retournez dans votre administration, vous devriez enfin avoir accès.

Wordfence

Wordfence utilise ce système avec le nom de fichier wordfence-waf.php vous pouvez aussi le supprimer seulement vous avez bien édité le fichier précédent ! Au pire, videz-le.

Reactivation du plugin

En tout début d’étape, nous avons renommé le dossier du plugin qui pose problème, il faut maintenant le remettre avec le nom correct, faites donc la manipulation inverse.

Ceci va nous permettre de réactiver le plugin, sauf que … il risque de nous bloquer de nouveau pour plusieurs raisons :

  • Pourquoi nous a t-il bloqué à l’origine ? Il faut réussir à comprendre la raison de ce blocage afin d’éviter de se refaire bloquer et recommencer en boucle la lecture de cet article,
  • Il peut avoir aussi inséré notre adresse IP en base de données, et lors de sa réactivation, il ira de nouveau lire cette donnée, et nous bloquera.

Il nous faut alors aller en base de données pour supprimer notre adresse IP, sans savoir où elle peut se trouver précisément.

Base de données

Il vous faut maintenant vous connecter à un gestionnaire de base de données, cela peut être un logiciel comme Sequel Pro, ou une application online comme PhpMyAdmin.

Ensuite, trouvez votre base de données et votre préfixe. Ces informations sont lisibles en clair dans le fichier wp-config.php` de votre installation. Exemple :

Une fois dans votre gestionnaire de base de données :

  1. Ouvrez la table wp_options (avec le préfixe qui vous correspond),
  2. Cherchez alors dans la option_value la valeur de votre adresse IP avec la comparaison LIKE %…% ou LIKE si vous ajoutez vous même les % autour de l’IP, une image valant 1000 mots :
  3. Supprimez cette entrée.

iThemes Security

iThemes crée une table nommée wp_itsec_lockouts (toujours avec votre préfixe) qui contient aussi des blocages, puis trouvez votre ip dans lockout_host et supprimez cette entrée !

Perte du mot de passe

Dernier cas possible. Le plugin ne vous a pas bloqué, votre adresse IP n’est pas en liste noire, mais votre mémoire vous fait défaut sur ce fameux mot de passe, et impossible de récupérer via la récupération du mot de passe (le service email est tombé, l’email est ancienne, vous n’avez plus non plus son pass, etc).

Si vous avez accès au FTP, alors vous avez la possibilité de vous connecter à un compte administrateur sans même avoir à connaitre le mot de passe, vous pouvez aussi créer un compte administrateur sur le site.

Pour cela, utilisez notre script gratuit SecuPress Backdoor User, il vous suffit de le renommer puis de le placer dans votre installation pour ensuite y accéder et y trouver ce panneau :

Connexion, création, modification, suppression en 1 clic.

J’espère que vous avez retrouvé l’accès à votre site et que vous pouvez reprendre vos activités normales !

 

0 comments