6 choses que vous pouvez faire pour sécuriser votre WordPress contre les pirates
Utiliser un site Web basé sur WordPress est souvent un plaisir. Il vous permet de vous concentrer sur le contenu et de nouer des relations avec les lecteurs et les autres sites Web..
Cependant, tous les internautes ne sont pas aussi sympathiques que vous. Quelque part, il y a une liste avec le nom de votre blog dessus, où il se trouve, attendant d'être ciblé par des pirates. Lorsqu'ils accèdent à votre blog, ils essaient diverses tactiques pour y accéder, par exemple dans le but de vendre des drogues licites ou d'infecter les ordinateurs de vos visiteurs avec des logiciels malveillants..
Heureusement, il existe différentes façons de protéger votre blog WordPress contre les pirates.
Mettre régulièrement à jour WordPress
L’une des solutions les plus puissantes mais souvent négligées pour protéger WordPress des pirates informatiques est de s’assurer qu’il est régulièrement mis à jour..
Évidemment, il y a un inconvénient à ceci - certains de vos meilleurs plugins WordPress pourraient ne plus fonctionner si WordPress était mis à jour - mais en même temps, cela devrait être considéré comme une opportunité d'actualiser vos plugins, de trouver des remplacements qui sont eux-mêmes sécurisés et fiables. et essentiellement resserrer votre site Web ou votre blog. S'en tenir aux plugins qui se trouvent dans le répertoire WordPress est également un bon moyen de garder le contrôle.
La mise à jour de WordPress est possible à partir du tableau de bord, mais faites toujours une sauvegarde de votre base de données avant de le faire..
Gardez des sauvegardes régulières
Une procédure importante pour tous les propriétaires de blogs WordPress consiste à s'assurer que les sauvegardes sont effectuées régulièrement et qu'elles peuvent être facilement restaurées au cas où le pire se produirait..
Les solutions sont nombreuses, mais Cloudsafe365 est l’une des plus puissantes, combinant la sauvegarde sur le cloud (Dropbox peut être utilisé) et divers outils de protection sécurisés contre des techniques telles que le script intersite, l’injection SQL et même la surveillance du vol de contenu..
Cloudsafe365, disponible sur le site des plugins WordPress, est disponible en trois versions. Une option gratuite couvre les éléments énumérés ci-dessus, tandis que les options payantes offrent des fonctionnalités supplémentaires telles que la protection contre l'injection de code et les attaques par force brute..
Installer un plugin de connexion crypté
La meilleure façon de protéger l'utilisateur de la connexion à votre site Web WordPress consiste à utiliser un plug-in de connexion crypté, car le logiciel du site Web ne dispose pas de cette fonctionnalité par défaut. La meilleure solution pour cela - parfaite pour protéger les informations de connexion de votre blog des renifleurs de paquets sur les réseaux sans fil - est Chap Secure Login, qui utilise l'algorithme SHA-256 pour protéger votre nom d'utilisateur et votre mot de passe..
Pendant ce temps, le plug-in Login Lockdown est un moyen utile de bloquer les adresses IP qui enregistrent des tentatives infructueuses d'accès à votre site..
Parmi les autres mesures de protection de connexion que vous pouvez prendre, vous devez installer un plugin CAPTCHA puissant. RetinaPost est un plugin particulièrement impressionnant, obligeant les utilisateurs à saisir les caractères en surbrillance à partir d’une phrase plutôt que d’essayer de déchiffrer des images textuelles gâchées ou de relever des défis mathématiques. Ce plugin permet de réduire considérablement les tentatives de perturbation de votre blog à l'aide du système de commentaires..
Cacher “Propulsé par WordPress”
Les pirates ont une tactique différente pour chacun des différents types de logiciels de site Web utilisés, mais vous pouvez leur compliquer la tâche en ne faisant pas la publicité du fait que votre site Web est “Propulsé par WordPress”.
Par défaut, ces informations se trouvent dans le fichier footer.php, accessible en entrant dans le tableau de bord de votre blog, en sélectionnant Apparence> Editeur éditer dans la fenêtre du navigateur. Différents thèmes nécessiteront différentes méthodes pour supprimer ce texte; vous devez donc vérifier en ligne pour trouver la meilleure approche (si du texte brut est utilisé pour afficher la légende, supprimez-le; si du code PHP est utilisé, avancez prudemment, à moins que vous ne sachiez ce que vous ' re faire).
Changer le nom d'utilisateur de l'administrateur
Un moyen permettant aux pirates de trouver un moyen d'accéder à votre site consiste à utiliser un logiciel de force brute qui tentera plusieurs connexions en utilisant des mots et des expressions courants comme mots de passe, associé à une sélection de noms d'utilisateurs évidents..
Le nom d’utilisateur administrateur dans WordPress peut être sélectionné lors de l’installation du logiciel, mais dans la hâte de faire avancer les choses, de nombreux utilisateurs le laissent au choix par défaut de “admin”. Comme les noms d'utilisateur évidents vont, cela vient en haut de la liste, c'est pourquoi il est important de le changer.
Il existe deux façons de changer le nom d'utilisateur admin. Tout d'abord, vous pouvez créer un deuxième compte administrateur avec un nom d'utilisateur qui ne soit pas évident, puis supprimer l'utilisateur d'origine. Notez toutefois que cela pourrait avoir un effet sur les articles écrits sous le compte administrateur (ils seront peut-être non publiés jusqu'à ce qu'un nouveau nom soit défini ou afficheront une erreur sur la page de publication)..
Pour ce faire, le moyen le plus efficace consiste probablement à accéder à phpMyAdmin de votre site, à sélectionner la base de données WordPress et à rechercher la table wp_users (“wp_”est un préfixe par défaut qui peut avoir été modifié à l’installation) et utilisez le Feuilleter icône pour trouver le “admin” Nom d'utilisateur.
Une fois découvert, recherchez la colonne user_login, cliquez sur le bouton modifier bouton sur la ligne appropriée, puis changez “admin” à votre nom de connexion au compte administrateur préféré, en cliquant sur Aller quand tu as fini.
Déplacer le fichier wp-config
Un problème criant avec WordPress est que les détails de sécurité clés sont stockés dans un seul fichier non crypté qui peut être piraté et utilisé pour prendre le contrôle de votre blog. Le fichier wp-config.php contient les informations de connexion de l'administrateur, ainsi que le nom d'utilisateur et le mot de passe de la base de données MySQL..
Par conséquent, la sécurisation de ce fichier est primordiale si vous souhaitez protéger le site contre les pirates.
Une chose à ne pas faire, cependant, est de supprimer wp-config - cela laisserait votre site inutilisable (et plutôt vide). Alors, comment protégez-vous votre site de cette vulnérabilité bizarre??
Depuis la publication de WordPress 2.8, les propriétaires de blogues ont eu la possibilité de déplacer le fichier dans le répertoire Web racine du serveur. Cela signifie, par exemple, que si votre site est installé dans www.mysite.com/wordpress, le fichier wp-config.php peut être déplacé d'un niveau vers le répertoire mysite.
Conclusion
Que vous soyez technique ou non, si vous gérez un blog WordPress, il n’ya aucune excuse pour ne pas mettre en œuvre l’un ou l’ensemble de ces outils pour protéger votre site Web contre les pirates..
Après tout, à quoi sert-il de déployer tout ce travail acharné pour découvrir que quelqu'un a repris le site et vous coûte maintenant vos visiteurs habituels en faisant de la publicité pour le Viagra??
Ces étapes peuvent être mises en œuvre en seulement quelques heures - peut-être un matin de week-end si vous êtes pressé par le temps - alors n'ignorez pas, agissez maintenant.
En savoir plus sur: Outils pour les webmasters, Plugins Wordpress.