Le 8 novembre 2022, eQualitie et Internews Ukraine lancent nadiyno.org – la toute première ligne d’assistance nationale sur la sécurité numérique en Ukraine, pour répondre à toutes les questions du public concernant la cybersécurité. Nous avons réuni et formé une équipe dédiée de personnel d’assistance téléphonique et d’experts numériques, mis en place des systèmes pour documenter et répondre aux demandes entrantes et compilé une base de données croissante de FAQ sur la sécurité sur le site Web de Nadiyno. Les demandes sont acceptées et répondues par e-mail, chat Web, WhatsApp, Signal, Telegram de même que sur le canal Matrix.

En temps de guerre, les gens sont soumis à un stress psychologique et physique incroyable. L’utilisation sécurisée et sans entrave de la technologie et des services numériques, en particulier les communications, est un besoin public essentiel et souvent une bouée de sauvetage pour les personnes en détresse. Avec le soutien d’Affaires mondiales Canada, nous lançons la ligne d’assistance Nadiyno pour toutes les questions de sécurité numérique des Ukrainiens.

Dmitri Vitaliev, directeur d’eQualitie.

screenshot of https://nadiyno.org/

Veuillez consulter l’annonce d’Internews Ukraine pour plus d’informations sur l’événement de lancement public à Kyiv. Si vous souhaitez aider ou contribuer à l’effort, veuillez contacter Kateryna – ktsybenko (at) internews.ua

Key Findings

• We’ve discovered infrastructure used to launch and coordinate attacks targeting independent media and human rights activists from Uzbekistan
• The campaign has been active since early 2016, using web and phishing attacks to suppress and exploit their targets
• We have no evidence of who is behind this campaign but the target list points to a new threat actor targeting Uzbek activists and media

Introduction

The Deflect project was created to protect civil society websites from web attacks, following the publication of « Distributed Denial of Service Attacks Against Independent Media and Human Rights Sites report by the Berkman Center for Internet & Society. During that time we’ve investigated many DDoS attacks leading to the publication of several reports.

The attacks leading to the publication of this report quickly stood out from the daily onslaught of malicious traffic on Deflect, at first because they were using professional vulnerability scanning tools like Acunetix. The moment we discovered that the origin server of these scans was also hosting fake gmail domains, it became evident that something bigger was going on here.

In this report, we describe all the pieces put together about this campaign, with the hope to contribute to public knowledge about the methods and impact of such attacks against civil society.

Context : Human Rights and Surveillance in Uzbekistan

Emblem of Uzbekistan (wikipedia)

Uzbekistan is defined by many human-rights organizations as an authoritarian state, that has known strong repression of civil society. Since the collapse of the Soviet Union, two presidents have presided over a system that institutionalized torture and repressed freedom of expression, as documented over the years by Human Rights Watch, Amnesty International and Front Line Defenders, among many others. Repression extended to media and human rights activists in particular, many of whom had to leave the country and continue their work in diaspora.

Uzbekistan was one of the first to establish a pervasive Internet censorship infrastructure, blocking access to media and human rights websites. Hacking Team servers in Uzbekistan were identified as early as 2014 by the Citizen Lab. It was later confirmed that Uzbek National Security Service (SNB) were among the customers of Hacking Team solutions from leaked Hacking Team emails. A Privacy International report from 2015 describes the installation in Uzbekistan of several monitoring centers with mass surveillance capabilities provided by the Israeli branch of the US-based company Verint Systems and by the Israel-based company NICE Systems. A 2007 Amnesty International report entitled ‘We will find you anywhere’ gives more context on the utilisation of these capabilities, describing digital surveillance and targeted attacks against Uzbek journalists and human-right activists. Among other cases, it describes the unfortunate events behind the closure of uznews.net – an independent media website established by Galima Bukharbaeva in 2005 following the Andijan massacre. In 2014, she discovered that her email account had been hacked and information about the organization, including names and personal details journalists in Uzbekistan was published online. Galima is now the editor of Centre1, a Deflect client and one of the targets of this investigation.

A New Phishing and Web Attack Campaign

On the 16th of November 2018, we identified a large attack against several websites protected by Deflect. This attack used several professional security audit tools like NetSparker and WPScan to scan the websites eltuz.com and centre1.com.

Peak of traffic during the attack (16th of November 2018)

This attack was coming from the IP address 51.15.94.245 (AS12876 – Online AS but an IP range dedicated to Scaleway servers). By looking at older traffic from this same IP address, we found several cases of attacks on other Deflect protected websites, but we also found domains mimicking google and gmail domains hosted on this IP address, like auth.login.google.email-service[.]host or auth.login.googlemail.com.mail-auth[.]top. We looked into passive DNS databases (using the PassiveTotal Community Edition and other tools like RobTex) and crossed that information with attacks seen on Deflect protected websites with logging enabled. We uncovered a large campaign combining web and phishing attacks against media and activists. We found the first evidence of activity from this group in February 2016, and the first evidence of attacks in December 2017.

The list of Deflect protected websites chosen by this campaign, may give some context to the motivation behind them. Four websites were targeted:

• Fergana News is a leading independent Russian & Uzbek language news website covering Central Asian countries
• Eltuz is an independent Uzbek online media
• Centre1 is an independent media organization covering news in Central Asia
• Palestine Chronicle is a non-profit organization working on human-rights issues in Palestine

Three of these targets are prominent media focusing on Uzbekistan. We have been in contact with their editors and several other Uzbek activists to see if they had received phishing emails as part of this campaign. Some of them were able to confirm receiving such messages and forwarded them to us. Reaching out further afield we were able to get confirmations of phishing attacks from other prominent Uzbek activists who were not linked websites protected by Deflect.

Palestine Chronicle seems to be an outlier in this group of media websites focusing on Uzbekistan. We don’t have a clear hypothesis about why this website was targeted.

A year of web attacks against civil society

Through passive DNS, we identified three IPs used by the attackers in this operation :

• 46.45.137.74 was used in 2016 and 2017 (timeline is not clear, Istanbul DC, AS197328)
• 139.60.163.29 was used between October 2017 and August 2018 (HostKey, AS395839)
• 51.15.94.245 was used between September 2018 and February 2019 (Scaleway, AS12876)

We have identified 15 attacks from the IPs 139.60.163.29 and 51.15.94.245 since December 2017 on Deflect protected websites:

Besides classic open-source tools like WPScan, these attacks show the utilization of a wide range of commercial security audit tools, like NetSparker or Acunetix. Acunetix offers a trial version that may have been used here, NetSparker does not, showing that the operators may have a consistent budget (standard offer is $4995 / year, a cracked version may have been used).

It is also surprising to see so many different tools coming from a single server, as many of them require a Graphical User Interface. When we scanned the IP 51.15.94.245, we discovered that it hosted a Squid proxy on port 3128, we think that this proxy was used to relay traffic from the origin operator computer.

Extract of nmap scan of 51.15.94.245 in December 2018 :

3128/tcp  open     http-proxy Squid http proxy 3.5.23
|_http-server-header: squid/3.5.23
|_http-title: ERROR: The requested URL could not be retrieved

A large phishing campaign

After discovering a long list of domains made to resemble popular email providers, we suspected that the operators were also involved in a phishing campaign. We contacted owners of targeted websites, along with several Uzbek human right activists and gathered 14 different phishing emails targeting two activists between March 2018 and February 2019 :

Almost all these emails were mimicking Gmail alerts to entice the user to click on the link. For instance this email received on the 23rd of October 2018 pretends that the account will be closed soon, using images of the text hosted on imgur to bypass Gmail detection :

The only exception was an email received on the 16th of October 2018 pretending to give confidential information on the former Hokim (governor) of Tashkent :

Emails were using simple tricks to bypass detection, at times drw.sh url shortener (this tool belongs to a Russian security company Doctor Web) or by using open re-directions offered in several Google tools.

Every email we have seen used a different sub-domain, including emails from the same Gmail account and with the same subject line. For instance, two different emails entitled « Прекращение предоставления доступа к сервису » and sent from the same address used hxxp://gmallls.con-537d7.my-id[.]top/ and http://gmallls.con-4f137.my-id[.]top/ as phishing domains. We think that the operators used a different sub-domain for every email sent in order to bypass Gmail list of known malicious domains. This would explain the large number of sub-domains identified through passive DNS. We have identified 74 sub-domains for 26 second-level domains used in this campaign (see the appendix below for full list of discovered domains).

We think that the phishing page stayed online only for a short time after having sent the email in order to avoid detection. We got access to the phishing page of a few emails. We could confirm that the phishing toolkit checked if the password is correct or not (against the actual gmail account) and suspect that they implemented 2 Factor authentication for text messages and 2FA applications, but could not confirm this.

Timeline for the campaign

We found the first evidence of activity in this operation with the registration of domain auth-login[.]com on the 21st of February 2016. Because we discovered the campaign recently, we have little information on attacks during 2016 and 2017, but the domain registration date shows some activity in July and December 2016, and then again in August and October 2017. It is very likely that the campaign started in 2016 and continued in 2017 without any public reporting about it.

Here is a first timeline we obtained based on domain registration dates and dates of web attacks and phishing emails :

To confirm that this group had some activity during 2016 and 2017, we gathered encryption (TLS) certificates for these domains and sub-domains from the crt.sh Certificate Transparency Database. We identified 230 certificates generated for these domains, most of them created by Cloudfare. Here is a new timeline integrating the creation of TLS certificates :

We see here many certificates created since December 2016 and continuing over 2017, which shows that this group had some activity during that time. The large number of certificates over 2017 and 2018 comes from campaign operators using Cloudflare for several domains. Cloudflare creates several short-lived certificates at the same time when protecting a website.

It is also interesting to note that the campaign started in February 2016, with some activity in the summer of 2016, which happens to when the former Uzbek president Islam Karimov died, news first reported by Fergana News, one of the targets of this attack campaign.

Infrastructure Analysis

We identified domains and subdomains of this campaign through analysis of passive DNS information, using mostly the Community access of PassiveTotal. Many domains in 2016/2017 reused the same registrant email address, b.adan1@walla.co.il, which helped us identify other domains related to this campaign :

Based on this list, we identified subdomains and IP addresses associated with them, and discovered three IP addresses used in the operation. We used Shodan historical data and dates of passive DNS data to estimate the timeline of the utilisation of the different servers :

• 46.45.137.74 was used in 2016 and 2017
• 139.60.163.29 was used between October 2017 and August 2018
• 51.15.94.245 was used between September and February 2019

We have identified 74 sub-domains for 26 second-level domains used in this campaign (see the appendix for a full list of IOCs). Most of these domains are mimicking Gmail, but there are also domains mimicking Yandex (auth.yandex.ru.my-id[.]top), mail.ru (mail.ru.my-id[.]top) qip.ru (account.qip.ru.mail-help-support[.]info), yahoo (auth.yahoo.com.mail-help-support[.]info), Live (login.live.com.mail-help-support[.]info) or rambler.ru (mail.rambler.ru.mail-help-support[.]info). Most of these domains are sub-domains of a few generic second-level domains (like auth-mail.com), but there are a few specific second-level domains that are interesting :

• bit-ly[.]host mimicking bit.ly
• m-youtube[.]top and m-youtube[.]org for Youtube
• ecoit[.]email which could mimick https://www.ecoi.net
• pochta[.]top likely mimick https://www.pochta.ru/, the Russian Post website
• We have not found any information on vzlom[.]top and fixerman[.]top. Vzlom means « break into » in Russian, so it could have hosted or mimicked a security website

A weird Cyber-criminality Nexus

It is quite unusual to see connections between targeted attacks and cyber-criminal enterprises, however during this investigation we encountered two such links.

The first one is with the domain msoffice365[.]win which was registered by b.adan1@walla.co.il (as well as many other domains from this campaign) on the 7th of December 2016. This domain was identified as a C2 server for a cryptocurrency theft tool called Quant, as described in this Forcepoint report released in December 2017. Virus Total confirms that this domain hosted several samples of this malware in November 2017 (it was registered for a year). We have not seen any malicious activity from this domain related to our campaign, but as explained earlier, we have marginal access to the group’s activity in 2017.

The second link we have found is between the domain auth-login[.]com and the groups behind the Bedep trojan and the Angler exploit kit. auth-login[.]com was linked to this operation through the subdomain login.yandex.ru.auth-login[.]com that fit the pattern of long subdomains mimicking Yandex from this campaign and it was hosted on the same IP address 46.45.137.74 in March and April 2016 according to RiskIQ. This domain was registered in February 2016 by yingw90@yahoo.com (David Bowers from Grovetown, GA in the US according to whois information). This email address was also used to register hundreds of domains used in a Bedep campaign as described by Talos in February 2016 (and confirmed by several other reports). Angler exploit kit is one of the most notorious exploit kit, that was commonly used by cyber-criminals between 2013 and 2016. Bedep is a generic backdoor that was identified in 2015, and used almost exclusively with the Angler exploit kit. It should be noted that Trustwave documented the utilization of Bedep in 2015 to increase the number of views of pro-Russian propaganda videos.

Even if we have not seen any utilisation of these two domains in this campaign, these two links seem too strong to be considered cirmcumstantial. These links could show a collaboration between cyber-criminal groups and state-sponsored groups or services. It is interesting to remember the potential involvement of Russian hacking groups in attacks on Uznews.net editor in 2014, as described by Amnesty international.

Taking Down Servers is Hard

When the attack was discovered, we decided to investigate without sending any abuse requests, until a clearer picture of the campaign emerged. In January, we decided that we had enough knowledge of the campaign and started to send abuse requests – for fake Gmail addresses to Google and for the URL shorteners to Doctor Web. We did not receive any answer but noticed that the Doctor Web URLs were taken down a few days after.

Regarding the Scaleway server, we entered into an unexpected loop with their abuse process. Scaleway operates by sending the abuse request directly to the customer and then asks them for confirmation that the issue has been resolved. This process works fine in the case of a compromised server, but does not work when the server was rented intentionally for malicious activities. We did not want to send an abuse request because it would have involved giving away information to the operators. We contacted Scaleway directly and it took some time to find the right person on the security team. They acknowledged the difficulty of having an efficient Abuse Process, and after we sent them an anonymized version of this report along with proof that phishing websites were hosted on the server, they took down the server around the 25th of January 2019.

Being an infrastructure provider, we understand the difficulty of dealing with abuse requests. For a lot of hosting providers, the number of requests is what makes a case urgent or not. We encourage hosting providers to better engage with organisations working to protect Civil Society and establish trust relationships that help quickly mitigate the effects of malicious campaigns.

Conclusion

In this report, we have documented a prolonged phishing and web attack campaign focusing on media covering Uzbekistan and Uzbek human right activists. It shows that once again, digital attacks are a threat for human-right activists and independent media. There are several threat actors known to use both phishing and web attacks combined (like the Vietnam-related group Ocean Lotus), but this campaign shows a dual strategy targeting civil society websites and their editors at the same time.

We have no evidence of government involvement in this operation, but these attacks are clearly targeted on prominent voices of Uzbek civil society. They also share strong similarities with the hack of Uznews.net in 2014, where the editor’s mailbox was compromised through a phishing email that appeared as a notice from Google warning her that the account had been involved in distributing illegal pornography.

Over the past 10 years, several organisations like the Citizen Lab or Amnesty International have dedicated lots of time and effort to document digital surveillance and targeted attacks against Civil Society. We hope that this report will contribute to these efforts, and show that today, more than ever, we need to continue supporting civil society against digital surveillance and intrusion.

Counter-Measures Against such Attacks

If you think you are targeted by similar campaigns, here is a list of recommendations to protect yourself.

Against phishing attacks, it is important to learn to recognize classic phishing emails. We give some examples in this report, but you can read other similar reports by the Citizen Lab. You can also read this nice explanation by NetAlert and practice with this Google Jigsaw quizz. The second important point is to make sure that you have configured 2-Factor Authentication on your email and social media accounts. Two-Factor Authentication means using a second way to authenticate when you log-in besides your password. Common second factors include text messages, temporary password apps or hardware tokens. We recommend using either temporary password apps (like Google Authenticator; FreeOTP) or Hardware Keys (like YubiKeys). Hardware keys are known to be more secure and strongly recommended if you are an at-risk activist or journalist.

Against web attacks, if you are using a CMS like WordPress or Drupal, it is very important to update both the CMS and its plugins very regularly, and avoid using un-maintained plugins (it is very common to have websites compromised because of outdated plugins). Civil society websites are welcome to apply to Deflect for free website protection.

Appendix

Acknowledgement

We would like to thank Front Line Defenders and Scaleway for their help. We would also like to thank ipinfo.io and RiskIQ for their tools that helped us in the investigation.

Indicators of Compromise

Top level domains :

email-service.host
email-session.host
support-email.site
support-email.host
email-support.host
myconnection.website
ecoit.email
my-cabinet.com
my-id.top
msoffice365-online.org
secretonline.top
m-youtube.top
auth-mail.com
mail-help-support.info
mail-support.info
auth-mail.me
auth-login.com
email-x.com
auth-mail.ru
mail-auth.top
msoffice365.win
bit-ly.host
m-youtube.org
vzlom.top
pochta.top
fixerman.top

You can find a full list of indicators on github : https://github.com/equalitie/deflect_labs_6_indicators

Using Machine Learning to Identify Cyber Attacks

The Deflect platform is a free website security service defending civil society and human rights groups from digital attack. Currently, malicious traffic is identified on the Deflect network by Banjax, a system that uses handwritten rules to flag IPs that are behaving like attacking bots, so that they can be challenged or banned. While Banjax is successful at identifying the most common bruteforce cyber attacks, the approach of using a static set of rules to protect against the constantly evolving tools available to attackers is fundamentally limited. Over the past year, the Deflect Labs team has been working to develop a machine learning module to automatically identify malicious traffic on the Deflect platform, so that our mitigation efforts can keep pace with the methods of attack as these grow in complexity and sophistication.

In this report, we look at the performance of the Deflect Labs’ new anomaly detection tool, Baskerville, in identifying a selection of the attacks seen on the Deflect platform during the last year. Baskerville is designed to consume incoming batches of web logs (either live from a Kafka stream, or from Elasticsearch storage), group them into request sets by host website and IP, extract the browsing features of each request set, and make a prediction about whether the behaviour is normal or not. At its core, Baskerville currently uses the Scikit-Learn implementation of the Isolation Forest anomaly detection algorithm to conduct this classification, though the engine is agnostic to the choice of algorithm and any trained Scikit-Learn classifier can be used in its place. This model is trained on normal web traffic data from the Deflect platform, and evaluated using a suite of offline tools incorporated in the Baskerville module. Baskerville has been designed in such a way that once the performance of the model is sufficiently strong, it can be used for real-time attack alerting and mitigation on the Deflect platform.

To showcase the current capabilities of the Baskerville module, we have replayed the attacks covered in the 2018 Deflect Labs report: Attacks Against Vietnamese Civil Society, passing the web logs from these incidents through the processing and prediction engine. This report was chosen for replay because of the variety of attacks seen across its constituent incidents. There were eight attacks in total considered in this report, detailed in the table below.

Table 1: Attack time periods covered in this report. The time period of each attack was determined by referencing the number of Deflect and Banjax logs recorded for each site, relative to the normal traffic volume.

How does it work?

Given one request from one IP, not much can be said about whether or not that user is acting suspiciously, and thus how likely it is that they are a malicious bot, as opposed to a genuine user. If we instead group together all the requests to a website made by one IP over time, we can begin to build up a more complete picture of the user’s browsing behaviour. We can then train an anomaly detection algorithm to identify any IPs that are behaving outside the scope of normal traffic.

The boxplots below illustrate how the behaviour during the Vietnamese attack time periods differs from that seen during an average fortnight of requests to the same sites. To describe the browsing behaviour, 17 features (detailed in the Baskerville documentation) have been extracted based on the request sets (note that the feature values are scaled relative to average distributions, and do not have a physical interpretation). In particular, it can be seen that these attack time periods stand out by having far fewer unique paths requested (unique_path_to_request_ratio), a shorter average path depth (path_depth_average), a smaller variance in the depth of paths requested (path_depth_variance), and a lower payload size (payload_size_log_average). By the ‘path depth’, we mean the number of slashes in the requested URL (so ‘website.com’ has a path depth of zero, and ‘website.com/page1/page2’ has a path depth of two), and by ‘payload size’ we mean the size of the request response in bytes.

Figure 1: The distributions of the 17 scaled feature values during attack time periods (red) and non-attack time periods (blue). It can be seen that the feature distributions are notably different during the attack and non-attack periods.

The separation between the attack and non-attack request sets can be nicely visualised by projecting along the feature dimensions identified above. In the three-dimensional space defined by the average path depth, the average log of the payload size, and the unique path to request ratio, the request sets identified as malicious by Banjax (red) are clearly separated from those not identified as malicious (blue).

Figure 2: The distribution of request sets along three of the 17 feature dimensions for IPs identified as malicious (red) or benign (blue) by the existing banning module, Banjax. The features shown are the average path depth, the average log of the request payload size, and the ratio of unique paths to total requests, during each request set. The separation between the malicious (red) and benign (blue) IPs is evident along these dimensions.

Training a Model

A machine learning classifier enables us to more precisely define the differences between normal and abnormal behaviour, and predict the probability that a new request set comes from a genuine user. For this report, we chose to train an Isolation Forest; an algorithm that performs well on novelty detection problems, and scales for large datasets.

As an anomaly detection algorithm, the Isolation Forest took as training data all the traffic to the Vietnamese websites over a normal two-week period. To evaluate its performance, we created a testing dataset by partitioning out a selection of this data (assumed to represent benign traffic), and combining this with the set of all requests coming from IPs flagged by the Deflect platform’s current banning tool, Banjax (assumed to represent malicious traffic). There are a number of tunable parameters in the Isolation Forest algorithm, such as the number of trees in the forest, and the assumed contamination with anomalies of the training data. Using the testing data, we performed a gridsearch over these parameters to optimize the model’s accuracy.

Replaying the Attacks

The model chosen for use in this report has a precision of 0.90, a recall of 0.86, and a resultant f1 score of 0.88, when evaluated on the testing dataset formulated from the Vietnamese website traffic, described above. If we take the Banjax bans as absolute truth (which is almost certainly not the case), this means that 90% of the IPs predicted as anomalous by Baskerville were also flagged by Banjax as malicious, and that 88% of all the IPs flagged by Banjax as malicious were also identified as anomalous by Baskerville, across the attacks considered in the Vietnamese report. This is demonstrated visually in the graph below, which shows the overlap between the Banjax flag and the Baskerville prediction (-1 indicates malicious, and +1 indicates benign). It can be seen that Baskerville identifies almost all of the IPs picked up by Banjax, and additionally flags a fraction of the IPs not banned by Banjax.

Figure 3: The overlap between the Banjax results (x-axis) and the Baskerville prediction results (colouring). Where the Banjax flag is -1 and the prediction colour is red, both Banjax and Baskerville agree that the request set is malicious. Where the Banjax flag is +1 and the prediction colour is blue, both modules agree that the request set is benign. The small slice of blue where the Banjax flag is -1, and the larger red slice where the Banjax flag is +1, indicate request sets about which the modules do not agree.

The performance of the model can be broken down across the different attack time periods. The grouped bar chart below compares the number of Banjax bans (red) to the number of Baskerville anomalies (green). In general, Baskerville identifies a much greater number of request sets as being malicious than Banjax does, with the exception of the 17th April attack, for which Banjax picked up slightly more IPs than Baskerville. The difference between the two mitigation systems is particularly pronounced on the 13th and 15th June attacks, for which Banjax scarcely identified any malicious IPs at all, but Baskerville identified a high proportion of malicious IPs.

Figure 4: The verdicts of Banjax (left columns) and Baskerville (right columns) across the 6 attack periods. The red/green components show the number of request sets that Banjax/Baskerville labelled as malicious, while the blue/purple components show the number that they labelled as benign. The fact that the green bars are almost everywhere higher than the red bars indicates that Baskerville picks up more traffic as malicious than does Banjax.

This analysis highlights the issue of model validation. It can be seen that Baskerville is picking up more request sets as being malicious than Banjax, but does this indicate that Baskerville is too sensitive to anomalous behaviour, or that Baskerville is outperforming Banjax? In order to say for sure, and properly evaluate Baskerville’s performance, a large testing set of labelled data is needed.

If we look at the mean feature values across the different attacks, it can be seen that the 13th and 15th June attacks (the red and blue dots, respectively, in the figure below) stand out from the normal traffic in that they have a much lower than normal average path depth (path_depth_average), and a much higher than normal 400-code response rate (response4xx_to_request_ratio), which may have contributed to Baskerville identifying a large proportion of their constituent request sets as malicious. Since a low average path depth (e.g. lots of requests made to ‘/’) and a high 400 response code rate (e.g. lots of requests to non-existent pages) are indicative of an IP behaving maliciously, this may suggest that Baskerville’s predictions were valid in these cases. But more labelled data is required for us to be certain about this evaluation.

Figure 5: Breakdown of the mean feature values during the two attack periods (red, blue) for which Baskerville identified a high proportion of malicious IPs, but Banjax did not. These are compared to the mean feature values during a normal two-week period (green).

Putting Baskerville into Action

Replaying the Vietnamese attacks demonstrates that it is possible for the Baskerville engine to identify cyber attacks on the Deflect platform in real time. While Banjax mitigates attacks using a set of static human-written rules describing what abnormal traffic looks like, by comprehensively describing how normal traffic behaves, the Baskerville classifier is able to identify new types of malicious behaviour that have never been seen before.

Although the performance of the Isolation Forest in identifying the Vietnamese attacks is promising, we would require a higher level of accuracy before the Baskerville engine is used to automatically ban IPs from accessing Deflect websites. The model’s accuracy can be improved by increasing the amount of data it is trained on, and by performing additional feature engineering and parameter tuning. However, to accurately assess its skill, we require a large set of labelled testing data, more complete than what is offered by Banjax logs. To this end, we propose to first deploy Baskerville in a developmental stage, during which IPs that are suspected to be malicious will be served a Captcha challenge rather than being absolutely banned. The results of these challenges can be added to the corpus of labelled data, providing feedback on Baskerville’s performance.

In addition to the applications of Baskerville for attack mitigation on the Deflect platform, by grouping incoming logs by host and IP into request sets, and extracting features from these request sets, we have created a new way to visualise and analyse attacks after they occur. We can compare attacks not just by the IPs involved, but also by the type of behaviour displayed. This opens up new possibilities for connecting disparate attacks, and investigating the agents behind them.

Where Next?

The proposed future of Deflect monitoring is the Deflect Labs Information Sharing and Analysis Centre (DL-ISAC). The underlying idea behind this project, summarised in the schematic below, is to split the Baskerville engine into separate User Module and Clearinghouse components (dealing with log processing and model development, respectively), to enable a complete separation of personal data from the centralised modelling. Users would process their own web logs locally, and send off feature vectors (devoid of IP and host site details) to receive a prediction. This allows threat-sharing without compromising personally identifiable information (PII). In addition, this separation would enable the adoption of the DL-ISAC by a much broader range of clients than the Deflect-hosted websites currently being served. Increasing the user base of this software will also increase the amount of browsing data we are able to collect, and thus the strength of the models we are able to train.

Baskerville is an open-source project, with its first release scheduled next quarter. We hope this will represent the first step towards enabling a new era of crowd-sourced threat information sharing and mitigation, empowering internet users to keep their content online in an increasingly hostile web environment.

Figure 6: A schematic of the proposed structure of the DL-ISAC. The infrastructure is split into a log-processing user endpoint, and a central clearinghouse for prediction, analysis, and model development.

A Final Word: Bias in AI

In all applications of machine learning and AI, it is important to consider sources of algorithmic bias, and how marginalised users could be unintentionally discriminated against by the system. In the context of web traffic, we must take into account variations in browsing behaviour across different subgroups of valid, non-bot internet users, and ensure that Baskerville does not penalise underrepresented populations. For instance, checks should be put in place to prevent disadvantaged users with slower internet connections from being banned because their request behaviour differs from those users that benefit from high-speed internet. The Deflect Labs team is committed to prioritising these considerations in the future development of the DL-ISAC.

Lorsque vous créez un site web avec eQPress, il vous faut savoir comment le configurer et comment utiliser WordPress. Si vous avez déjà administré un site ou un blogue WordPress par le passé et/ou venez de faire transférer votre site existant à eQPress, le Tableau de bord WordPress vous sera déjà familier : vous n’aurez sûrement pas besoin d’explications supplémentaires sur son fonctionnement.

Toutefois, vous remarquerez qu’à la différence de WordPress, le panneau d’administration d’eQPress comporte une Console : il s’agit d’un tableau d’administration additionnel qui améliore les fonctions de l’interface d’administration régulière de WordPress. Grâce à la Console, vous pouvez exécuter des tâches administratives qui vous demanderaient autrement d’obtenir un accès SSH, par exemple l’amélioration de la sécurité de votre site web ou encore la modification de paramètres qui seraient compliqués à modifier autrement.

En ayant accès à la Console, vous pourrez :

• voir les statistiques de votre site web ;

• supprimer la cache de votre serveur ;

• voir les journaux de débogage (« logs ») ;

• changer les permissions de fichier ;

• réinitialiser votre mot de passe SFTP ;

• activer ou désactiver le protocole SSL pour les ouvertures de session et les panneaux administratifs ;

• activez ou désactivez votre module d’extension et votre éditeur de thèmes.

Pour accéder à cette interface, cliquez sur « Console » à partir de la barre latérale à la gauche de votre panneau d’administration WordPress.

Consulter les statistiques de votre site web

Dans la section « Website Stats » de votre Console, vous pouvez voir le nombre exact de fois où votre site a été visité au cours des derniers mois (« Monthly Stats ») et jours (« Recent Daily Stats »), avec un accent sur les jours de plus grande affluence enregistrés sur votre site web. Veuillez noter toutefois que les robots (y compris ceux d’indexation) sont aussi inclus dans le nombre total de visites calculées.

À partir du menu de la Console dans la barre latérale de gauche, cliquez sur « Website Stats », puis sur « Show Web Stats » ; après un moment, vos statistiques quotidiennes et mensuelles apparaîtront, incluant : le nombre de pages visitées (« Hits ») ; le nombre de visites et de visiteurs et visiteuses uniques, et le volume de données transférées (« Transferred »).

Si vous voulez mesurer le trafic et les interactions des visiteurs et visiteuses avec votre site, tout en respectant leur vie privée, cet outil propose une bonne solution. En installant un module d’extension spécifiquement conçu pour les statistiques, vous auriez accès à une vue d’ensemble plus précise de votre audience ; toutefois, la plupart de ces modules d’extension pisteraient votre audience à des fins commerciales. Aussi, avant de décider d’installer des modules d’extensions de statistiques additionnels, il est judicieux de bien évaluer les risques que cela représente pour vos visiteurs et visiteuses.

Vider la cache du serveur

La section « Gérer la cache » vous permet de vider la cache de votre serveur.

Si vous apportez des modifications à votre contenu et souhaitez les voir immédiatement, vous pouvez utiliser cette fonction afin de purger la cache de votre serveur web. Il suffit de cliquer sur l’icône « Vider la cache » et d’attendre un instant : il se pourrait que cette opération prenne environ une minute avant que la cache ne soit complètement vidée, selon son volume.

Voir les journaux web et PHP

En cliquant sur « Voir les journaux » dans la barre latérale de la console, vous pourrez consulter les fichiers journalisation suivants :

1. Erreurs PHP — contient l’historique de toutes les erreurs PHP produites par des modules d’extension et des thèmes.

2. Journaux d’accès au serveur — contient l’historique de chaque fichier transféré à partir de votre site.

3. Journaux d’erreurs du serveur web — contient l’historique de chaque erreur rencontrée par le serveur web.

Réinitialiser les permissions de fichiers

La fonction « Permissions de fichier » vous permet de réinitialiser les permissions et les droits d’auteurs de vos fichiers aux réglages initiaux. En cliquant sur « Réinitialiser maintenant », vous réinitialiserez tous les répertoires et les fichiers placés sous le dossier racine détenu par l’utilisatrice ou l’utilisateur du serveur web.

Cette fonction peut vous être utile si, par exemple, vous avez téléchargé ou installé un module d’extension manuellement et devez modifier ses permissions pour qu’il fonctionne correctement. Puisque vous avez téléchargé votre module d’extension à partir de votre compte SFTP, ce répertoire appartient à celui-ci, et non au compte du serveur web qui fait fonctionner votre site web avec les modules d’extension installés. Ainsi, lorsque le module d’extension tente d’écrire à un fichier ou à un répertoire appartenant à votre compte SFTP, il échoue parce que le compte du serveur web tente d’apporter des modifications dont il n’a pas la permission.

Ce réglage par défaut est très pratique pour l’installation et la mise à jour des thèmes et modules d’extensions, mais ce n’est pas la façon la plus sécuritaire de configurer son environnement WordPress. C’est pourquoi la Console comprend aussi une fonction « Security Lockdown ».

Protéger votre site web du piratage grâce à la fonction de Security Lockdown

Pour protéger votre site web des pirates qui pourraient potentiellement tenter de créer ou télécharger de nouveaux fichiers dans votre répertoire racine SFTP afin de prendre le contrôle de votre site ou de votre serveur, vous pouvez utiliser la fonction « Security Lockdown », que vous trouverez à partir de votre Console eQPress. Ce type de risque peut être contourné en empêchant le serveur web d’écrire dans vos fichiers ou vos répertoires, ce qui est le cas lorsque ces fichiers appartiennent à un compte différent que celui qui gère le serveur web.

C’est exactement ce que fait la fonction de Security Lockdown : elle vous permet de modifier les permissions et d’assigner la propriété de tous les fichiers et répertoires sous votre répertoire racine à votre compte SFTP. Pour protéger votre site web de ce type de piratage, cliquez sur l’icône « Lockdown » et attendez que les modifications prennent effet avant de quitter la page. Une fois le processus complété, aucun de vos fichiers n’appartiendra au compte du serveur web, ce qui l’empêchera d’écrire dans tous vos fichiers et vos répertoires.

Lorsque le site web sera confiné, la mention « Site Locked Down » s’affichera au haut de la page de votre barre d’administration. Il s’agit également d’un lien vers la section « Security Lockdown » de votre Console.

Important : Lorsqu’un site est confiné, il est impossible d’installer de nouveaux modules d’extension ou de nouveaux thèmes. De plus, vous ne pourrez pas mettre WordPress ni les thèmes ou les modules d’extension à jour. Il ne s’agit pas d’un bogue, mais bien d’une fonction : c’est exactement ce à quoi sert le Security Lockdown. Pour installer ou mettre à jour un module d’extension (ou un thème), vous devez simplement suspendre le confinement de votre site, afin de faire les mises à jour ou les installations voulues, puis le remettre en confinement.

Réinitialisation des renseignements et du mot de passe SFTP

En cliquant sur « Reset Password » à partir de la barre latérale de la Console, vous accéderez à un panneau contenant les renseignements sur votre nom de compte et votre hôte SFTP. Vous pouvez vous rendre à cette page afin de trouver rapidement les identifiants SFTP reçus par courriel au moment de l’activation de votre compte eQPress, ou pour vérifier que votre adresse d’hébergement n’a pas changé.

La section « Reset Password » de votre Console vous donne aussi la possibilité de réinitialiser votre mot de passe SFTP. En cliquant sur l’icône « Reset Password » à partir de cette page, vous pourrez changer votre mot de passe SFTP. Votre nouveau mot de passe apparaîtra temporairement sous la ligne avec votre hôte SFTP, et vous sera également envoyé par courriel.

Veuillez noter : Si vous souhaitez changer votre mot de passe d’administrateur ou d’administratrice WordPress, et non votre mot de passe SFTP, cliquez sur votre nom de compte à droite de la barre d’administration, au haut du panneau WordPress, afin d’ouvrir votre page de profil. Ensuite, cliquez sur l’icône « Generate Password » à partir de la section « Account Management » : un nouveau mot de passe sera généré pour votre compte WordPress. Assurez-vous de sauvegarder ce mot de passe dans un endroit sécuritaire ; la meilleure façon de ce faire est d’utiliser un gestionnaire de mots de passe tel que KeePass. Pour modifier le mot de passe de votre base de données, consultez ce guide.

Protéger votre panneau de connexion et d’administration avec SSL

Le protocole SSL assure la confidentialité entre votre navigateur et le serveur web. En cryptant la communication entre le serveur et vous, vous rendrez la tâche bien difficile à tout∙e pirate malveillant∙e qui tenterait de voler vos renseignements privés. Si vous utilisez un protocole SSL, les identifiants tels que les noms d’utilisateur ou d’utilisatrice et les mots de passe seront indéchiffrables lorsqu’interceptés en cours de circulation. La même chose s’appliquera à vos jetons d’authentification, tels que les fichiers témoins envoyés chaque fois que vous consultez ou modifiez votre contenu à partir de votre panneau d’administration.

Lorsque vous configurez WordPress pour utiliser SSL, la Console vous présente trois choix. Pour changer les réglages, cliquez sur le bouton adéquat et attendez que le processus soit terminé avant de quitter la page.

1. Activer SSL pour les connexions et pour tous les écrans d’administratrice ou d’administrateur
Cette option est la plus sécuritaire, et protégera autant vos identifiants que votre connexion au serveur via le panneau d’administration.

2. Activez SSL pour les connexions seulement.
Cette option empêchera vos identifiants d’être interceptés lors de votre connexion au panneau d’administration eQPress.

3. Désactiver SSL.
Si vous choisissez de désactiver SSL, votre connexion au serveur ne sera plus protégée.

Veuillez noter que si vous autorisez SSL, vous utiliserez nos certificats SSL, ce qui fera en sorte que des avertissements SSL apparaîtront la première fois que vous visitez votre panneau d’administration. Si vous détenez vos propres certificats SSL, vous pouvez les installer afin de régler ce problème. Pour ce faire, contactez l’équipe Deflect via votre Tableau de bord Deflect, et nous nous en chargerons pour vous.

Pour plus de renseignements sur l’administration via SSL, rendez-vous sur la page de Codex WordPress.

Activer ou désactiver votre module d’extension et votre éditeur de thèmes

Il se peut que vous souhaitiez occasionnellement désactiver le module d’extension ou l’éditeur de thèmes de votre panneau d’administration WordPress, afin d’empêcher des utilisateurs ou utilisatrices trop zélé∙e∙s de modifier des fichiers sensibles et de possiblement faire planter votre site. Désactiver l’éditeur peut aussi fournir une couche de sécurité de plus, dans le cas où un∙e pirate gagnerait accès à un compte privilégié.

Vous avez deux options :

1. Activer le module d’extension et l’édition de thèmes via le panneau d’administration.

2. Désactiver le module d’extension et l’édition de thèmes via le panneau d’administration.

Veuillez noter que vous devez attendre la fin du processus avant de quitter la page « Code Editor » afin que les modifications prennent effet.

Pour plus d’informations sur la désactivation des modules d’extension et de l’éditeur de thèmes, rendez-vous sur la page de Codex WordPress.

Si vous souhaitez accéder à votre site web avant que votre DNS ne soit mis à jour, vous pouvez mettre votre fichier « hosts » local à jour, ce qui permettra à votre ordinateur d’afficher votre nouveau site. Pour ce faire, veuillez suivre les instructions suivantes.

Veuillez noter que cette opération fonctionnera en HTTPS, mais pas en HTTP.

Pour obtenir de l’aide supplémentaire avec cette opération (par exemple, si nslookup n’est pas installé sur votre système et que vous n’arrivez pas à connaître l’adresse IP de votre serveur SFTP), n’hésitez pas à nous contacter à partir de votre tableau de bord ou par courriel.

OS X

1. Ouvrez le terminal

2. Lancez la commande suivante (remplacez SFTP_host par l’adresse IP de l’hôte SFTP reçue par courriel) :

$ nslookup SFTP_host

3. Le résultat ressemblera à la sortie suivante. La dernière ligne contient l’adresse IP de votre hôte SFTP, laquelle vous devrez ajouter à votre fichier « hosts » (les chiffres apparaîtront de la manière suivante : XX.XX.XX.XX).

Server:        YY.ZZ.XX.ZZ
Address:    YY.ZZ.XX.ZZ#53

Non-authoritative answer:
Name:    grwtrcweg.deflect.ca
Address: XX.XX.XX.XX

4. Tapez « sudo nano /private/etc/hosts ».

5/ Appuyez sur Ctrl+Shift+V afin de vous rendre à la fin du fichier.

6. Inscrivez «XX.XX.XX.XX <votredomaine> » (remplacez « `XX.XX.XX.XX` » par la vraie adresse IP de votre hôte SFTP et <votredomaine> par l’adresse URL de votre site web).

7. Appuyez sur Ctrl+x afin de quitter.

8. Appuyez sur y pour sauvegarder.

Vous avez aussi l’option de télécharger un outil pour vous aider à configurer votre fichier « hosts » à partir d’ici.

Windows

1. Lancez l’invite de commande et inscrivez :

C:\>nslookup example.com

Ici, vous devez remplacer « example.com » avec l’adresse de votre hôte SFTP.

2. Le résultat contiendra l’adresse IP de votre hôte SFTP, laquelle vous devrez ajouter à votre fichier hôte (les chiffres apparaîtront de la manière suivante  XX.XX.XX.XX.

Address: XX.XX.XX.XX

3. Cliquez sur « Start ».

4. Cliquez sur « All Programs ».

5. Cliquez sur « Accessories ».

6. Cliquez le bouton droit de votre souris sur Notepad, puis sélectionnez l’option « Run as administrator ».

7. Si on vous demande votre mot de passe d’administrateur ou une confirmation, inscrivez votre mot de passe ou sélectionnez « Allow/Yes ».

8. Ouvrez le fichier « hosts ». Trouvez l’emplacement pour votre version de Windows ici : (https://en.wikipedia.org/wiki/Hosts_ [file] #Location_in_the_file_system)

9. Inscrivez « XX.XX.XX.XX <votredomaine> » (remplacez « XX.XX.XX.XX » par l’adresse IP réelle de votre hôte SFTP et <votredomaine> avec l’URL de votre site web).

10. À partir du menu « Edit », cliquez sur « Save ». (Si vous utilisez Windows 7, l’option « Save » se trouvera plutôt dans le menu « File ».)

Linux

1. Ouvrez le terminal.

2. Lancez la commande suivante (remplacez SFTP_host par l’adresse de l’hôte SFTP reçue dans le courriel d’activation) :

$ nslookup SFTP_host

3. Le résultat ressemblera à la sortie suivante. La dernière ligne contient l’adresse IP de votre hôte SFTP, laquelle vous devrez ajouter à votre fichier « hosts » (les chiffres apparaîtront de la manière suivante :XX.XX.XX.XX

Server:        YY.ZZ.XX.ZZ
Address:    YY.ZZ.XX.ZZ#53

Non-authoritative answer:
Name:    grwtrcweg.deflect.ca
Address: XX.XX.XX.XX

4. Ouvrez le fichier/etc/hosts avec vim ou un autre logiciel d’édition de votre choix en tant que superutilisateur ou superutilisatrice :

$ sudo vim /etc/hosts

5. Inscrivez la ligne suivante, en remplaçant « XX.XX.XX.XX » par l’adresse IP de votre hôte SFTP, « example.com » par l’URL de votre site web et « example » par le nom de votre site web :

XX.XX.XX.XX example.com example

6. Assurez-vous que le fichier nsswitch.conf soit valide. Le fichier nsswitch.conf contrôle l’ordre dans lequel les services seront consultés lors de la résolution de noms. Dans ce cas-ci, nous cherchons le service « hosts » :

$ grep host /etc/nsswitch.conf hosts: files dns

7. Assurez-vous que le titre « files » soit avant « dns ». Si ce n’est pas le cas, modifiez le fichier afin d’obtenir le résultat ci-haut.

Vérifiez que les changements apportés ont produit le résultat voulu grâce à cette commande :

$ ping -c 1 example.com

8. Le résultat devrait ressembler à ceci (XX.XX.XX.XX ayant été remplacé par l’adresse IP de votre hôte SFTP) :

PING example.com (XX.XX.XX.XX) 56(84) bytes of data.

Si vous avez déjà un site WordPress que vous désirez transférer à eQPress, vous devez d’abord vous inscrire à Deflect. Lors de votre inscription, veuillez spécifier que vous souhaitez faire transférer votre site web existant vers notre infrastructure, ainsi que le prénom et le nom de l’administrateur ou l’administratrice de votre site web (il n’est pas nécessaire de nous fournir leur nom officiel !). Il sera aussi utile de nous mentionner si votre instance WordPress ne contient qu’un seul site, ou plusieurs sites comportant des sous-domaines (http://sub.example.com) ou des sous-répertoires (http://example.com/sub).

Cette publication contient des renseignements à propos du transfert de votre site web vers eQPress. Pour toute aide supplémentaire, n’hésitez pas à nous contacter.

Ce qu’il nous faut :

1. Une exportation de la base de données de votre site WordPress existant. Si vous n’avez pas les installations nécessaires pour effectuer une exportation de la base de données par vous-même, il se peut que vous deviez le demander à votre fournisseur d’hébergement actuel.

2. Sinon, vous pouvez suivre les instructions suivantes. Grâce à ce guide, vous pourrez créer une sauvegarde complète des fichiers de votre site WordPress actuel.

Si vous préférez, il est aussi possible d’utiliser un module d’extension pour effectuer une exportation de la base de données ainsi qu’une sauvegarde de votre site web. Il existe plusieurs modules d’extensions de ce type pour WordPress. Vous pouvez sélectionner celui de votre choix à partir de cette liste.

Si votre ordinateur n’arrive pas à accéder à un certain site, il se pourrait que ça soit dû au fait que la cache de votre résolveur DNS local contient un enregistrement désuet. Par exemple, vous avez mis vos enregistrements DNS à jour afin qu’ils soient dirigés vers eQPress, mais vous continuez de voir votre ancien site web. Dans ce cas-ci, vider la cache de votre DNS accélérera le processus.

1. 1. Mac (OS X)

Dans le terminal de commande, inscrivez une de ces commandes :

sudo killall -HUP mDNSResponder
sudo discoveryutil udnsflushcaches
sudo dscacheutil -flushcache
sudo lookupd -flushcache

1. 2. Windows

Dans la fenêtre d’invite de commande, lancez la commande suivante :

ipconfig /flushdns

HTTPS (on ajoute un S à HTTP, pour « sécuritaire ») est un protocole de communication internet qui protège les connexions de vos comptes à votre site web. Les données envoyées via HTTPS sont sécurisées, grâce à trois couches de protection :

1. Chiffrement : Tandis que l’utilisateur ou l’utilisatrice navigue sur un site web, personne ne peut voir ses conversations, suivre ses activités ou voler ses renseignements.

2. Intégrité : Les données ne peuvent pas être manipulées pendant qu’elles circulent entre votre site web et l’ordinateur de l’utilisateur ou l’utilisatrice, et vice-versa.

3. Authentification : Vous êtes certain∙e que vos utilisateurs ou utilisatrices communiquent réellement avec votre site web. Cette couche de protection empêche « les attaques de l’homme du milieu » et freine les tentatives d’attirer vos utilisateurs et utilisatrices vers un faux site web ou vers le téléchargement de fichiers falsifiés.

Si le fait d’améliorer la sécurité de votre site web représente certainement une excellente raison d’utiliser HTTPS, gardez aussi en tête que cela pourrait légèrement augmenter le classement de votre site web.

TL ; DR — Comment activer HTTPS sur eQPress

Si vous avez déjà généré un certificat HTTPS pour votre site web, vous pouvez l’installer via le Tableau de bord Deflect. En suivant la procédure d’installation de votre certificat TLS, votre site web sera accessible via HTTPS.

Si vous n’avez pas encore de certificat HTTPS, vous pouvez nous contacter à partir de votre Tableau de bord Deflect ou nous envoyer un courriel afin que nous en générions un pour vous.

Clés et certificats

Pour que TLS (anciennement SSL) fonctionne, vous aurez besoin d’une clé privée ainsi que d’une clé publique. Une fois votre clé publique signée par une autorité de certification, elle deviendra votre certificat. La clé privée et le certificat doivent être dans le serveur sur lequel votre site web est hébergé, afin que le logiciel du serveur web qui envoie les pages web à vos visiteurs et visiteuses puisse aussi créer des connexions sécuritaires (TLS) vers le navigateur afin de sécuriser le lien. Si vous savez comment faire, vous pouvez très bien générer vos propres clés, puis nous les envoyer à partir du Tableau de bord Deflect. Sinon, cela nous fera plaisir de générer une paire de clés pour vous.

Autorité de certification

La manière la plus simple de générer un certificat gratuit signé par une autorité de certification est d’utiliser Let’s Encrypt, une autorité de certification gratuite, automatisée et libre au service du public.

Si vous préférez que vos certificats HTTPS soient signés par diverses autorités de certification, voici deux services qui pourront les signer pour vous :

RapidSSL
NameCheap

Analytique et suivi

Si vous utilisez des outils d’analytique tels que Google Analytics, vous voudrez mettre votre URL à jour afin qu’elle passe de HTTP à HTTPS. Assurez-vous de faire cela autant dans l’analytique que dans les outils Google Webmaster.

Au niveau du référencement, il est crucial de choisir le bon framework de thème. Genesis fait un excellent travail avec tout ce qui concerne le référencement naturel. Afin d’avoir une bonne vue d’ensemble du profil des personnes qui visitent votre site et de l’utilisation qu’elles en font, il vous faudra utiliser un outil de suivi analytique quelconque. La majorité des gens utilisent généralement Google Analytics. Toutefois, si vous pensez l’utiliser avec votre site web, gardez en tête que la Console eQPress vous fournit déjà des statistiques et que Google Analytics, comme d’autres outils de statistiques de sites web, piste ses utilisateurs et utilisatrices, et peut enfreindre le droit à la vie privée de votre audience. Si vous décidez d’utiliser un de ces outils, Genesis fournit un champ dans la page des paramètres des thèmes (wp_footer) où vous pouvez inscrire votre code de suivi analytique.

Il existe aussi d’autres excellents frameworks tout aussi efficaces que Genesis, mais si vous choisissez de ne pas les utiliser ou préférez construire votre propre thème, nous vous recommandons d’utiliser un module d’extension tel que wordpress-seo de Yoast afin d’améliorer le référencement naturel de vos pages et de vos publications. Le module d’extension comprend une tonne d’options, dans lesquelles on peut risquer de se perdre, mais les réglages par défaut sont généralement suffisants. Il analysera vos pages et formulera des recommandations afin de vous aider à améliorer votre contenu, votre titre et d’autres aspects de la page pour en améliorer le référencement naturel. Il existe beaucoup de tutoriels en ligne sur l’utilisation de ce module d’extension ; par ailleurs, le site de ses auteur∙e∙s constitue une excellente ressource pour en apprendre davantage sur le référencement naturel : https://yoast.com

Quelques conseils supplémentaires : en plus de votre compte Google Analytics, vous devriez aussi créer un compte Google Webmaster Tools et le lier à votre compte d’analytique. Ensuite, il faudra aussi créer un fichier sitemap.xml. Au cours de leurs recherches, les robots d’indexation chercheront ce fichier afin d’indexer votre site adéquatement. Le module d’extension de référencement naturel WordPress en créera un pour vous, mais il existe aussi des modules d’extension plus simples pour effectuer cette tâche, dont google-sitemap-plugin.

Canoni — quoi ?

« Canonique » est le mot qu’on emploie pour désigner l’adresse vers laquelle vous voulez que les internautes soient dirigé∙e∙s lorsqu’elles et ils font une recherche à votre sujet. Les choix typiques concernent le fait de mettre « www » ou non devant votre nom de domaine. Un exemple classique :

http://www.exemple.com/

ou

http://exemple.com/

Le choix de votre adresse (URL) canonique dépend entièrement de vos préférences. Il n’y a pas de bonnes ou de mauvaises réponses. Comme vous le constaterez en regardant la barre d’adresse de votre navigateur à l’instant, eQualit.ie a choisi une adresse URL sans « www ». Si vous y portez attention en visitant d’autres sites web, vous observerez probablement qu’il n’y a aucun modèle précis. Google a choisi « www », alors que l’équipe de WordPress.org, a choisi de faire sans le « www ». Ça ne fait vraiment aucune différence. Ce qui importe, par contre, c’est de faire son choix dès le début, et de s’y tenir ensuite.

Considérer l’enregistrement Apex

Au niveau de votre choix d’hébergement, un facteur essentiel de votre décision est si votre domaine est hébergé par une compagnie DNS qui offre de pointer l’adresse sans « www » (officiellement appelée enregistrement apex) vers un CNAME. Si votre hôte DNS n’offre pas cette fonction, alors nous recommandons d’opter pour une adresse de site web canonique avec « www ».

Renseignements supplémentaires

Voici un article des Outils Google Webmaster, intitulé « Use Canonical URLS », qui vous sera utile pour en apprendre davantage à propos de leur position quant aux adresses URL canoniques.

Matt Cutts fait également part d’observations très enrichissantes et fournit une page de FAQ à propos du référencement naturel et de la canonisation URL.

Ici à Deflect, nous prenons nos mots de passe au sérieux. Peut-être avez-vous remarqué les mots de passe à 23 caractères aléatoires que nous avons générés pendant l’installation de votre site, pour votre compte administrateur WordPress. C’est le type de mot de passe qui protégera votre site contre la force brute et les attaques par dictionnaire. Le site random.org offre des outils servant à générer de très longs mots de passe.

Mais pourquoi donc voudriez-vous modifier le mot de passe de votre base de données ? Généralement, vous n’en aurez pas besoin, puisque nous l’aurons initialement configuré pendant l’installation avec une autre combinaison unique de 23 caractères aléatoires. Par contre, il existe quelques bonnes raisons de le faire. On peut penser, par exemple, à Heartbleed. Alors, allons-y…

Comment changer le mot de passe de votre base de données

Avertissement : La modification du mot de passe de votre banque de données peut mener à la désactivation de votre site web. Assurez-vous d’être certain∙e∙s de ce que vous faites, ou de nous contacter par courriel pour obtenir toute l’aide nécessaire.

1. Connectez-vous à adminer. Par exemple, si l’adresse de votre site web est example.com, alors rendez-vous à https://example.com/adminer/.

2. Vous pouvez obtenir le nom d’utilisateur de votre BDD et son mot de passe actuel en vous connectant en SFTP à votre site web et en regardant dans votre fichier wp-config.php, lequel se trouve dans votre répertoire WordPress.

3. Cliquez sur le lien « Privilèges ».

4. Cliquez sur le lien « Édition », situé à côté de « localhost ».

5. Assurez-vous que la case « Encodé » ne soit pas sélectionnée.

6. Utilisez KeePassX ou random.org pour générer un long mot de passe aléatoire, que vous pourrez ensuite copier/coller dans le champ « Password ». Descendez ensuite à la fin de la page et cliquez sur l’icône « Save » pendant que…

7. Vous collez le mot de passe que vous venez de modifier dans adminer, dans votre fichier wp-config.php dans le champ indiquant « define » (‘DB_PASSWORD’, ‘password’) ; vous remplacerez ainsi « password » avec le nouveau mot de passe.

À partir de « Settings », cliquez sur « Permalinks » et activez le permalien « Pretty ».

1. Généralement, « Post name » est une bonne option, mais vous pouvez sélectionner l’option de votre choix, autre que « Plain ». Il y a deux raisons à cette opération : d’un côté, vos adresses URL auront une meilleure esthétique ; de l’autre, cela peut aussi améliorer votre performance, puisque ce type d’URL a de meilleures chances d’être mis en cache.

2. Ensuite, installez un module d’extension afin de protéger votre site web contre les commentaires indésirables. Les modules d’extension antispam sont faciles à utiliser, ne requièrent aucune configuration et fonctionnent bien.

Maintenant que vous avez accompli ces premières étapes, vous pouvez prendre le temps de lire le guide officiel : Vos premiers pas avec votre site eQPress.

Créer votre nouveau site WordPress

Que vous utilisiez WordPress pour la première fois ou non, il se peut qu’il soit nécessaire que votre site web actuel demeure accessible en ligne pendant que vous créez votre nouveau site. Si vous mettez vos paramètres DNS à jour immédiatement pour les faire pointer vers eQPress sans avoir préalablement transféré votre site web, il n’apparaîtra qu’une installation WordPress par défaut. Ce n’est probablement pas ce que vous souhaitez. Ainsi, quelques options s’offrent à vous quant à la construction de votre nouveau site web.

1. D’abord, vous pouvez ajouter une entrée à votre fichier « hosts » pendant le transfert, afin de permettre à votre navigateur d’accéder à votre site sur eQPress. Voici un article qui vous aidera.

2. Si vous pouvez vous permettre une période d’interruption de service, alors l’option la plus simple est d’inscrire « De retour bientôt » sur la page d’accueil de votre site. Dirigez simplement vos DNS vers l’adresse IP fournie dans le courriel de bienvenue, et lisez ce guide.

3. Si aucune de ces options ne vous convient, écrivez-nous un courriel ou contactez-nous à partir de votre Tableau de bord. Nous changerons les paramètres de votre site eQPress, afin qu’il soit accessible via dev.example.com. Cette opération vous permettra de travailler sur votre site, tout en laissant votre site actuel en ligne. Lorsque vous serez prêt∙e∙s à passer au nouveau site, nous apporterons les changements nécessaires à la base de données afin qu’il soit accessible via example.com.

Nous avons rédigé un article de suivi qui explique pourquoi et comment transférer vos données WordPress. La page « Codex WordPress » comporte également une section détaillée au sujet des transferts de site WordPress.

Voici quelques excellentes ressources pour apprendre à utiliser WordPress.

The Official WordPress User Manual (en anglais seulement). Document interactif, créé et administré par les membres dévoué∙e∙s de la merveilleuse équipe de WordPress.org.

Easy WP Guide (en anglais seulement). Cette page ne contient aucun renseignement sur les langages HTML ou PHP, ni sur la création de thèmes WP. Par contre, vous y trouverez un manuel WordPress facile d’approche, qui vous sera utile pour mieux comprendre les bases de l’édition de contenu de votre site.

Codex for the WordPress Project – Ce manuel en ligne représente une véritable encyclopédie interactive de renseignements et de documents WordPress.

WordPress TV (en anglais seulement). Vidéos de WordCamps et renseignements supplémentaires sur notre SGCW et plateforme de blogue de prédilection.

Tutoriels vidéos concernant tous les détails de WordPress. La majorité du contenu est payante, avec quelques exceptions gratuites.

Il peut arriver que vous ne souhaitiez pas que le monde entier puisse accéder à votre site web. Par exemple, peut-être êtes-vous en plein processus de conception et de développement, et n’avez pas envie de partager le progrès de votre travail avant qu’il ne soit fini. Ou alors, peut-être voulez-vous que seul∙e∙s les utilisateurs et utilisatrices inscrit∙e∙s puissent accéder à votre contenu. Les modules d’extension suivants pourront vous aider à réduire l’accès à votre site WordPress :

Ultimate Coming Soon Page (en anglais seulement) — http://wordpress.org/plugins/ultimate-coming-soon-page/

Restrict Site Access (en anglais seulement) — http://wordpress.org/plugins/restricted-site-access/

Les tentatives de connexion en force brute visent généralement le compte « admin ». Auparavant, le nom de compte par défaut de la première personne administratrice créé lors de l’installation de WordPress était « admin ». Maintenant, nous avons l’option de choisir le nom du compte administrateur ; avec eQPress, ce sera le prénom et le nom de l’administratrice ou l’administrateur (il n’est pas nécessaire d’inscrire de noms officiels).

Par contre, si vous avez un ancien site WordPress que vous avez transféré à eQPress, il se peut que votre site détienne toujours un compte « admin ». En retirant ce compte, vous forcerez les pirates malveillant∙e∙s à non seulement tenter de deviner votre mot de passe, mais aussi votre nom de compte administrateur. Voici comment renommer votre compte « admin » :

1. Connectez-vous à votre wp-admin avec votre compte d’administration.

2. Utilisez la page « Users ->Add New », afin de créer un nouveau compte.

3. Inscrivez un nouveau nom de compte, autre qu’« admin ».

4. Le rôle de ce nouveau compte doit être réglé à administation.

5. Inscrivez un très long mot de passe. Pour créer un mot de passe sécuritaire, vous pouvez utiliser ce guide.

6. Cliquez sur l’option « Add new user ».

7. Déconnectez-vous de votre compte « admin ».

8. Connectez-vous à partir de votre nouveau compte.

9. Supprimez l’ancien compte « admin » et assignez toutes les publications, les pages et les commentaires à votre nouveau compte d’administration.

Hébergé par le réseau Deflect, eQPress est conçu pour protéger votre site des attaques et du piratage. Les meilleures pratiques sécuritaires comportent une série de mesures de protection contre les vulnérabilités et les menaces connues. Nous fournissons les couches de protection essentielles. Toutefois, le reste est entre vos mains : il n’existe aucune protection contre les mauvais mots de passe…

La première façon de sécuriser votre site web WordPress est de choisir un bon mot de passe. Utilisez un gestionnaire de mots de passe tel que KeePassX, afin d’éviter de devoir vous souvenir par cœur de tous ces très longs mots de passe. Vous avez aussi l’option d’utiliser le gestionnaire de mots de passe intégré à votre navigateur. Toutefois, gardez en tête qu’à moins d’avoir recours à un mot de passe maître pour le protéger, tous vos mots de passe sont susceptibles d’être vus par quiconque accède à votre ordinateur. Pour générer de longs mots de passe aléatoires et suffisamment sécuritaires, vous pouvez utiliser KeePassX, ou simplement cliquer ici pour obtenir cinq mots de passe générés automagiquement.

Le module d’extension Console d’eQPress comporte une fonction qui permet de mettre votre site en mode confinement, ce qui rendra l’écriture de tous vos fichiers et répertoires impossible à partir du serveur web.

Pour vérifier si votre site web comporte des logiciels malveillants répertoriés, des erreurs de site, des logiciels désuets ou encore s’il figure sur des listes noires, vous pouvez utiliser l’un des scanneurs des tierces parties suivantes :

• http://unmaskparasites.com/

• http://sitecheck.sucuri.net/scanner/

Si vous lisez cette page parce que vous avez récemment installé un module d’extension, jetez un œil à cet organigramme.

Les erreurs PHP et les erreurs de base de données peuvent se manifester par un écran blanc, un écran vide de toute information, phénomène couramment connu comme « l’écran blanc de la mort » (WSOD) au sein de la communauté WordPress. Si le problème n’est pas causé par un nouveau module d’installation que vous avez installé, les quelques étapes simples qui suivent pourront vous dépanner.

1. Utilisez votre connexion SFTP pour vous rendre à votre répertoire racine (si vous avez perdu vos identifiants SFTP, contactez-nous à partir de votre Tableau de bord ou par courriel).

2. Basculez à votre répertoire WordPress.

3. Regardez ou téléchargez le fichier php-errors.log.

4. Jetez un œil aux quelques dernières lignes du journal d’erreurs afin de déterminer la cause de l’écran blanc.

Il se pourrait que vous voyiez une erreur PHP spécifique, qui vous donnera un numéro de ligne dans le fichier posant problème. À partir de là, vous pouvez :

1. Télécharger le fichier problématique.

2. Aller à la ligne apparaissant dans le journal d’erreurs.

3. Régler le problème.

4. Retélécharger le fichier vers le serveur.

5. Tester votre site web.

Si l’écran blanc persiste, répétez les étapes précédentes. Il peut parfois y avoir plus qu’une erreur.

Vous serez sûrement d’accord avec nous : les commentaires indésirables sont dérangeants. Voici quelques outils antispam que nous avons nous-mêmes utilisés. Le premier est particulièrement efficace.

Anti-spam

Avantages

• Très simples, ils ne requièrent aucune configuration

• S’intègrent discrètement à n’importe quel thème

• Gratuits

Jusqu’ici, aucun désavantage. Incroyable, non ?

Une autre option est d’utiliser deux modules d’extensions à la fois. Par exemple, nous avons obtenu d’excellents résultats en utilisant Antispam Bee et Spam Free WordPress. Employé seul, Antispam Bee manque parfois des commentaires publiés par des robots. Comme un blogue peut en recevoir des milliers par mois, même un petit pourcentage peut mener à toute une tâche d’élimination de pourriels. En ajoutant Spam Free WordPress au mix, on arrive à éliminer presque tous les commentaires automatisés indésirables. Toutefois, ce module d’extension échoue à repérer quelques commentaires indésirables ajoutés manuellement par de vraies personnes. C’est là qu’Antispam Bee révèle toute son efficacité : il fonctionne avec le projet Honeypot, qui publie une liste des adresses URL, domaines et mots-clés principaux utilisés par les polluposteur∙e∙s de commentaires, ainsi qu’une liste des adresses IP les plus couramment utilisées par ces derniers et dernières.

Modules d’extension

Antispam Bee

Avantages

• Fonctionne avec le projet Honeypot

• S’intègre discrètement à n’importe quel thème

• Gratuit

Désavantages

• Ne fonctionne pas toujours bien contre les commentaires indésirables automatisés

• Presque aucun soutien en ligne, ou alors seulement en allemand

Spam Free WordPress

Avantages

• Bloque 100 % des commentaires indésirables automatisés

• Gratuit

Désavantages

• Pourrait nécessiter un peu de travail pour l’intégrer à votre thème

• Peut être déjoué par les polluposteur∙e∙s humain∙e∙s (de vraies personnes payé∙e∙s pour ajouter des pourriels manuellement).

Services

Aksismet

Avantages

• Gratuit pour l’utilisation privée

• S’intègre discrètement à n’importe quel thème

Désavantages

• Ne catégorise pas aussi bien qu’on le souhaiterait (jusqu’à 10 % de faux positifs)

• Peut être très coûteux si vous recevez beaucoup de commentaires