Wordpress & Développement Web

Obtenez un relooking de sécurité pour votre site WordPress avec WebsiteDefender

Obtenez un relooking de sécurité pour votre site WordPress avec WebsiteDefender / Wordpress & Développement Web

Alors que la popularité de WordPress ne cesse de croître, les problèmes de sécurité n'ont jamais été aussi pertinents. Mais, mis à part le fait de rester à jour, comment un utilisateur de niveau débutant ou moyen peut-il rester au courant des choses? Savez-vous même si votre blog a été piraté? Un nouveau service utile de WebsiteDefender vise à résoudre ce problème.

Vaut-il l'effort cependant? Je veux dire, ça ne m'arriverait jamais, Est-ce que cela serait? Eh bien, une vulnérabilité a été récemment découverte dans timthumb.php, un utilitaire de création de vignettes utilisé dans un pourcentage considérablement important d'anciens thèmes et plug-ins (avant que WordPress ne crée des vignettes et des images en vedette dans le système principal). Etant donné que ce fichier peut être détecté à l'aide de scanners automatisés, les chances de piratage de votre blog sont soulignées par les nouveaux programmes malveillants. SoakSoak.ru arrive, il est essentiel que les propriétaires de blogs WordPress agissent. Vite. Lire davantage au cours des prochains mois est plutôt élevé - et vous ne saurez même pas si tel est le cas. Je l'ai vu arriver à quelques reprises au cours de la dernière semaine seulement et maintenant, ils ont affaire à des retombées.

Comment savoir si votre site a été piraté?

Normalement, vous ne le faites pas. Le piratage le plus courant que j'ai observé concerne les sites Web habituels et les panneaux d'administration, mais tous les visiteurs de Google sont piratés et envoyés sur un site en Russie. Bien sûr, comme il est peu probable que Google ait son propre site, le piratage reste non détecté jusqu'à ce que vos utilisateurs vous envoient des commentaires, que les hébergeurs de votre site Web vous bloquent ou que vous receviez l'avertissement redouté de Google eux-mêmes, affirmant que votre site Web est maintenant héberger officiellement des logiciels malveillants. Circulation au revoir!

Le pirate informatique installe généralement également un back-up graphique complet sur votre serveur, donnant à quiconque disposant de l’URL un accès à tous vos fichiers et le libre choix de le faire. C'est assez effrayant, et à cause de la façon dont ils peuvent ajuster les fichiers principaux, la récupération d'une telle attaque prend beaucoup de travail, et ce n'est certainement pas quelque chose qu'un utilisateur régulier peut faire..

Alors… comment protéger mon blog?

Heureusement, ce service gratuit de WebsiteDefender peut analyser votre site. Allez là-bas pour vous inscrire. Toutefois, ce service n’est disponible que pour les blogueurs WordPress exécutant l’auto-hébergement. Explique les différentes formes d’hébergement de sites Web [Explication de la technologie]. Explique les différentes formes d’hébergement de sites Web [Technologie d’explication]. Si vous utilisez WordPress.com, Blogger.com ou un autre blog hébergé gratuit similaire, vous ne pouvez pas l'utiliser. Les plans d'hébergement gratuits ne fonctionnent pas non plus. Vous devez pouvoir télécharger un fichier de vérification sur votre serveur avant le début de l'analyse. Les comptes gratuits sont limités à un seul site Web..

Enregistrement et vérification

Une fois que vous avez vérifié votre adresse e-mail saisie lors de votre inscription, vous serez envoyé sur une page où vous pourrez télécharger un petit fichier de vérification. Cela doit être téléchargé à la racine de votre site Web. Cela fait, retournez sur le site et cliquez sur le bouton TEST..

Si vous obtenez une erreur similaire à celle que j'ai reçue, il suffit de télécharger le fichier zip comme indiqué, puis de télécharger également le fichier. compat répertoire à la racine de votre site.

Vraisemblablement, il a besoin de bibliothèques PHP supplémentaires pour aider à l'analyse que votre serveur n'a pas. Après avoir chargé le dossier dans le même répertoire racine que le fichier de vérification, vous avez refait un moment, appuyez à nouveau sur TEST et vous devriez obtenir une confirmation que l'analyse sera bientôt exécutée..

Au cours de mes tests, un courrier électronique est arrivé après environ 2 heures détaillant tous les problèmes, alors ne vous inquiétez pas si cela prend du temps..

Les avertissements que vous recevrez seront classés de Critique à Faible, mais quelques erreurs de sécurité inattendues ont été détectées dans mon rapport et nous devrons y remédier. Il considère également que les mises à jour de WordPress et de plug-ins sont une sécurité moyenne. Par conséquent, si vous n'avez honteusement pas mis à jour quelque chose, cela servira peut-être de rappel utile..

Chaque numéro renverra également à une explication plus détaillée et à des instructions sur la façon de le résoudre, ce qui est extrêmement utile pour ceux d’entre nous qui sommes moins techniques sur les sites Web et les serveurs. Ne vous inquiétez pas si vous avez supprimé l'e-mail - vous pouvez accéder à tout moment à une ventilation complète du rapport à partir du tableau de bord..

Plugins

L’équipe de Website Defender dispose également de quelques plug-ins que vous pouvez utiliser pour sécuriser WordPress. Toutefois, curieusement, il n’en fait aucune mention lorsque vous effectuez une analyse à l'aide de la méthode de site Web décrite ci-dessus..

WP-Security-Scan

Ceci effectue pour vous un audit de sécurité de base sur des éléments tels que les autorisations de répertoire, le préfixe de base de données, les autorisations .htaccess, les noms d'utilisateur par défaut et le masquage de version de WordPress..

WordPress sécurisé

Cela permettra de verrouiller et d'effectuer un certain nombre de mesures de sécurité pour protéger votre wordpress. Cela revient essentiellement à supprimer toutes les références à votre version de WordPress, à supprimer certaines lignes de votre en-tête pour Windows Live Writer et à empêcher la liste de vos répertoires de thèmes et de plugins, entre autres..

Les deux plug-ins incluent des formulaires d'inscription pour le service en ligne Website Defender et semblent vous permettre de vous connecter à un compte existant. Cependant, lors des tests, je n'ai pas pu les lier car mon quota gratuit d'un site Web était déjà épuisé (malgré le fait que j'essayais de lier la même URL de toute façon, il semblait croire que c'était un site différent)..

Conclusion

Le fait qu'il y ait deux plugins disponibles et qu'il soit possible d'exécuter le scan sans plugin via le site Web est assez déroutant pour être honnête - le scan lancé par le site Web ne mentionne même pas les plugins, et je ne vois pas la logique derrière cette. Bien que chaque plug-in soit unique, il est difficile de comprendre pourquoi ils ne se sont pas contentés de créer un seul plug-in de sécurité ultime, mais plutôt de durcir votre WordPress et de rechercher d'éventuels problèmes. J'ai également constaté que la méthode de numérisation via le site Web montrait plus de problèmes de sécurité que l'utilisation du plug-in WP-Security-Scan, probablement en raison de restrictions imposées sur les plug-ins WordPress. Les meilleurs plug-in WordPress Les meilleurs plug-ins WordPress En savoir plus peuvent en réalité le faire.

Cela ne veut pas dire que je ne recommande pas complètement le service gratuit - parce que je pense que vous devriez vous inscrire dès maintenant et assurez-vous que vous n'êtes pas vulnérable au nombre croissant d'exploits basés sur WordPress. En fait, je recommanderais une combinaison du plugin Secure WordPress pour le verrouiller, tout en effectuant l'analyse réelle via la méthode du site Web. Laissez-moi savoir comment cela se passe dans les commentaires.

En savoir plus sur: Anti-Malware, Plugins Wordpress.