Pourquoi MultiViews nuit à la sécurité de votre site WordPress ?

L’option MultiViews du serveur web Apache est activée par défaut chez certains hébergeurs car elle a des côtés très pratique : elle permet notamment de rediriger l’utilisateur vers l’URL qu’il souhaitait taper même s’il se trompe dans l’adresse web. Toutefois, cette option pose un réel problème de sécurité. On vous explique pourquoi.

Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

Expert Cybersécurité

09 septembre, 2021
Pourquoi Multiview est dangereux pour WordPress

L’option MultiViews du serveur web Apache est activée par défaut chez certains hébergeurs car elle a des côtés très pratique : elle permet notamment de rediriger l’utilisateur vers l’URL qu’il souhaitait taper même s’il se trompe dans l’adresse web. Toutefois, cette option pose un réel problème de sécurité. On vous explique pourquoi.

Apache, qu’est-ce que c’est ?

Commençons par un bref rappel de ce dont on parle lorsque l’on évoque le serveur web Apache. Le serveur Apache HTTP est un logiciel gratuit, disponible en open source, développé par Apache Software Foundation. Sa première version est sortie en 1995, c’est donc l’un des serveurs web les plus anciens et les plus fiables. Pour cela, il alimente près de la moitié des sites web à travers le monde.

Le rôle d’un serveur web, c’est tout simplement de pouvoir proposer du contenu aux visiteurs de son site web. Lorsque l’utilisateur tape une URL dans la barre de navigation de son navigateur, c’est le serveur web qui permet de le connecter avec le site web demandé. 

Apache offre de nombreux avantages aux hébergeurs et administrateurs de sites web : gratuit, fiable, régulièrement mis à jour, il fonctionne très bien avec WordPress et est très facile à configurer. Toutefois, il propose une grande quantité d’options (la plupart d’entre elles étant activées par défaut) qui peuvent, si l’on creuse un peu, constituer une faille de sécurité pour votre site web. 

Il existe 4 clés de sécurité WordPress, qui se trouvent au niveau du fichier wp-config.php. Ce fichier est essentiel car il permet de lier le serveur et la base de données afin que votre site web n’apparaisse pas comme une simple page d’installation. On peut y accéder via le serveur FTP.

Les clés de sécurité WordPress vous permettront de protéger vos accès. Si vous les supprimez, ou si vous les réinitialisez, vous pourrez ainsi forcer la déconnexion de tous les utilisateurs connectés. Elles pourront ainsi vous être d’une aide précieuse en cas de piratage et d’accès à votre interface d’administration.

Qu'est ce que Apache

Qu’est-ce que l’option MultiViews ?

L’option MultiViews est une fonctionnalité par défaut d’Apache (mod_negociation), ce qui signifie qu’elle est activée par défaut chez les hébergeurs qui utilisent le serveur web Apache (comme, par exemple, OVH). Cette fonctionnalité permet la négociation de contenu, c’est-à-dire qu’en cas d’erreur dans l’URL, le navigateur va vous diriger vers la page à laquelle vous souhaitiez certainement accéder en réécrivant l’URL.
Par exemple,
si vous tapez « https://exemple.html » et que vous obtenez une page d’erreur, vous serez redirigé par le navigateur sur la page « https://exemple.php ». 

demandez la réparation de votre site à un expert

Votre site web redirige vers des pages malveillantes, comme des sites de rencontre ou des publicités pour de faux produits ?

La page d’accueil a été modifiée ou a été remplacée par une autre page, comme une page à caractère islamique avec message de rançon ? 

 Un code erreur apparait à la place de votre page d’accueil ? 

Les pages de votre site internet sont anormalement lentes ? 

Votre site web mine des crypto monnaies à votre insu ?

 

Pour confirmer que votre site a bien été piraté et trouver une solution, faites appel à nos experts. 

WordPress Piraté vous propose ses services de protection et de réparation de votre site web piraté. Faites-nous confiance et confiez-nous la protection de votre site pour éviter les attaques malveillantes !

En quoi MultiViews pose un problème de sécurité pour votre site WordPress ?

L’option MultiViews est certes très pratique, mais elle menace la sécurité de votre site WordPress. Elle donne en effet accès à votre fichier wp-login.php en cas d’erreur dans l’URL, même si vous utilisez une extension cachant l’accès à votre interface d’administration comme iThemes Security, Move Login ou WPS Hide Login

En effet, ces extensions permettent de masquer le fichier wp-login.php. Si un utilisateur appelle ce fichier, il sera redirigé vers une page d’erreur. Mais le fichier wp-login, quant à lui, n’est pas pris en charge par ces extensions. Autrement dit, si MultiViews est activée, elle va contourner la page d’erreur pour rediriger l’utilisateur vers la page wp-login. 

De plus, pour des raisons SEO (référencement naturel) MultiView peut avoir un effet très négatif, car il supprime les codes d’erreurs natifs du HTTP header de vos pages.  

L’option MultiViews est certes très pratique, mais elle menace la sécurité de votre site WordPress. Elle donne en effet accès à votre fichier wp-login.php en cas d’erreur dans l’URL, même si vous utilisez une extension cachant l’accès à votre interface d’administration comme iThemes Security, Move Login ou WPS Hide Login

En effet, ces extensions permettent de masquer le fichier wp-login.php. Si un utilisateur appelle ce fichier, il sera redirigé vers une page d’erreur. Mais le fichier wp-login, quant à lui, n’est pas pris en charge par ces extensions. Autrement dit, si MultiViews est activée, elle va contourner la page d’erreur pour rediriger l’utilisateur vers la page wp-login. 

De plus, pour des raisons SEO (référencement naturel) MultiView peut avoir un effet très négatif, car il supprime les codes d’erreurs natifs du HTTP header de vos pages.  

Comment savoir si MultiViews est activée sur mon site WordPress ?

Pour savoir si l’option MultiViews est activée par défaut chez votre hébergeur, tapez l’URL de votre site suivie de « wp-login ».

Vous voyez apparaitre la fenêtre de connexion à l’administration de votre site WordPress ?
Alors l’option MultiViews est activée.

Pas de panique, il est possible de la désactiver soi-même sans avoir à faire appel à son hébergeur. 

multiview sur wordpress activé danger

Comment désactiver MultiViews pour sécuriser mon site WordPress ?

Si vous avez fait le test et que l’option MultiViews est bel et bien activée sur votre site WordPress, vous pouvez toujours désactiver cette option. 

Pour désactiver MultiViews, il faut d’abord localiser le fichier . htaccess. Ce fichier se trouve à la racine de votre site web. Pour y accéder, vous devez vous connecter au serveur de votre site WordPress via votre client FTP ou via cPanel File Manager.

Une fois que vous êtes connecté à votre serveur, il vous suffit d’ouvrir le fichier racine de votre site web. Le fichier racine contient plusieurs fichiers importants de votre site, comme wp-config.php, ainsi que les dossiers wp-content et wp-admin. C’est aussi dans le fichier racine que vous trouverez le fichier . htaccess. 

Le fichier . htaccess est celui qui contient toutes les règles contrôlant le fonctionnement des liens de  votre site WordPress. Pour le modifier, commencez par le sauvegarder, puis ajoutez l’extrait de code « Options -MultiViews ». C’est aussi simple que cela !

multiview désactivé sur wordpress

Si vous n’êtes pas sûr de savoir désactiver correctement cette option, n’hésitez pas à faire appel à notre équipe de développeurs. Nous pouvons vous aider à accéder au fichier . htaccess et à effectuer la modification pour protéger votre site WordPress.

Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

09 septembre 2021

Articles du même sujet

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article