Comment protéger WordPress des intrusions dans votre liste de contrôle à lire absolument

Comment protéger WordPress des intrusions dans votre liste de contrôle à lire absolument / Wordpress & Développement Web

Les réseaux de zombies du monde entier se sont détournés de l’envoi de spams pour se consacrer systématiquement au piratage d’installations WordPress; c'est une activité lucrative étant donné que WordPress alimente 40% des blogs. Surtout que, même si nous en avons été victimes, il est temps de publier un article complet sur la protection de votre installation WordPress auto-hébergée..

Remarque: ce conseil ne s'applique qu'aux installations WordPress auto-hébergées. Si vous utilisez WordPress.com, vous n'avez généralement pas à vous soucier de la sécurité, car ils gèrent tout pour vous.. Quelle est la différence entre WordPress.com et WordPress.org? Quelle est la différence entre l'exécution de votre blog sur Wordpress.com et Wordpress.org? Quelle est la différence entre l'exécution de votre blog sur Wordpress.com et Wordpress.org? Avec Wordpress, qui gère désormais 1 site Web sur 6, ils doivent bien faire les choses. Wordpress a quelque chose à vous offrir à la fois pour les développeurs expérimentés et pour les novices. Mais juste comme vous commencez sur… Read More

Installer l'authentification en deux étapes de Google

Si l'authentification en deux étapes est déjà activée pour votre compte Gmail ou d'autres services, vous pouvez utiliser la même application d'authentification avec ce plugin pour WordPress..

Heureusement, vous pouvez limiter l’authentification en deux étapes pour qu’elle ne soit utilisée que sur des comptes de niveau supérieur, de sorte que vous n’ayez pas à ennuyer tous vos utilisateurs..

Login Lockdown

Un ancien plugin, mais qui fonctionne toujours comme prévu. Login Lockdown vérifie l'adresse IP des tentatives de connexion et bloque une plage IP pendant une heure si elle échoue 3 fois en 5 minutes. Simple, efficace.

Faites des sauvegardes régulières

Les pirates informatiques ne modifieront pas un seul fichier, mais placeront leur propre panneau de contrôle caché quelque part et d'autres portes dérobées - de manière à ce que même si vous corrigez le piratage d'origine, ils reviennent et recommencent. Effectuez des sauvegardes quotidiennes ou hebdomadaires afin de pouvoir restaurer facilement à un point où il n'y avait aucune trace du pirate informatique - et veillez à corriger ce qu'ils ont fait pour y accéder. Personnellement, je viens d'investir dans une licence de développeur de 150 dollars avec Backup Buddy - c'est la solution de sauvegarde la plus simple et la plus complète que j'ai trouvée à ce jour.

Empêcher l'indexation des dossiers

Recherchez le fichier .htaccess à la racine de votre installation WordPress (notez la période au début - vous devrez peut-être afficher des fichiers invisibles pour l'afficher) et assurez-vous qu'il comporte la ligne suivante. Sinon, ajoutez-le - mais faites d'abord une sauvegarde, car ce fichier est crucial.

Options Tous -Indexes

Restez à jour

Ne commettez pas la même erreur que nous: mettez toujours WordPress à niveau dès qu'une mise à jour est disponible. Parfois, les mises à jour contiennent des corrections de bugs mineurs et non des solutions de sécurité, mais prenez l'habitude et vous n'aurez pas de problème. Si vous avez plusieurs installations WordPress et que vous ne pouvez pas toutes les suivre, consultez ManageWp.com, un tableau de bord haut de gamme pour tous vos blogs qui inclut une analyse de sécurité..

Non seulement les fichiers WordPress principaux, mais aussi les plugins: l’un des plus gros piratages WordPress du passé impliquait une vulnérabilité dans un script générateur de vignettes commun appelé timthumb.php, et il y a encore des thèmes qui utilisent l'ancienne version. Bien que les plugins aient été rapidement mis à jour, maintenir les thèmes à jour est plus difficile, bien sûr - WordPress ne vous dira pas si votre thème est vulnérable, et pour cela, vous aurez une sorte de plugin de numérisation de sécurité - faites défiler vers le bas. Plugins de sécurité section ci-dessous pour quelques suggestions.

Ne jamais télécharger de thèmes aléatoires

À moins que vous ne sachiez ce que vous faites avec le code PHP, il est très facile de tomber dans le piège du téléchargement d'un joli thème aléatoire de quelque part, seulement pour découvrir qu'il contient du code désagréable - le plus souvent des backlinks que vous ne pouvez pas supprimer, mais le pire peut être trouvé. S'en tenir à des concepteurs de thèmes premium et bien connus (comme Smashing Magazine ou WPShower), ou pour les thèmes gratuits, utilisez uniquement le répertoire de thèmes WordPress.

Supprimer les plugins et les thèmes inutilisés

Moins vous aurez de code exécutable sur votre serveur, mieux ce sera - supprimez le risque que votre ancien code soit vulnérable en supprimant les thèmes et les plug-ins que vous n'utilisez plus. Leur désactivation arrêtera simplement le chargement de leurs fonctionnalités avec WordPress, mais le code lui-même peut toujours être exécutable par un pirate informatique..

Supprimer la méta révélatrice dans votre en-tête

Par défaut, WordPress diffuse sa version au monde entier dans le code de votre fichier d’en-tête - un moyen simple pour les pirates informatiques d’identifier les anciennes installations. Ajoutez les lignes suivantes à votre thème functions.php fichier pour supprimer la version de WordPress, les informations sur Windows Live Writer et une ligne permettant aux clients distants de trouver votre fichier XML-RPC.

remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');

Retirer le “admin” Compte

La plupart des attaques par force brute contre WordPress impliquent l’essai répété de admin compte - la valeur par défaut pour toutes les installations de WordPress - et un dictionnaire de mots de passe courants. Si vous vous connectez avec admin ou si le compte admin est répertorié dans votre tableau d'utilisateurs, vous êtes vulnérable à cette.

Deux façons de le résoudre: soit utiliser le plugin wp-optim - un excellent plug-in qui vous permet, entre autres, de désactiver les révisions après publication et d'optimiser la base de données - pour renommer le compte admin. Ou créez simplement un autre compte avec des privilèges d’administrateur, connectez-vous en tant que nouvel utilisateur, puis supprimez le “admin” compte attribuer tous les messages à votre nouvel utilisateur.

Mots de passe sécurisés

Même si vous avez désactivé le compte administrateur, il peut être possible d'identifier le nom d'utilisateur de votre compte administrateur. Vous êtes alors à nouveau vulnérable à une attaque par force brute. Appliquer une stratégie de mot de passe fort de 16 caractères aléatoires ou plus, comprenant des majuscules et des minuscules, des signes de ponctuation et des chiffres.

Ou utilisez simplement la méthode reallyLongSentenceThatsEasyToRememberMethod.

Désactiver l'édition de fichier dans WordPress

Pour ceux qui n'aiment pas se connecter via FTP, WordPress inclut un éditeur facile dans le tableau de bord de l'administrateur pour les fichiers PHP de thèmes et de plug-ins, mais cela rend votre installation vulnérable si quelqu'un y accède. En fait, voici comment quelqu'un a réussi à injecter une redirection de logiciel malveillant dans notre en-tête. Ajoutez la ligne suivante au bas de votre wp-config.php (dans le dossier racine) pour désactiver toutes les fonctionnalités d'édition de fichier - et utiliser SFTP Qu'est-ce que SSH est et comment est-il différent de FTP [Technologie expliquée] Qu'est-ce que SSH est et comment est-il différent de FTP [Technologie expliquée] Lisez-en plus pour vous connecter à votre serveur.

define ('DISALLOW_FILE_EDIT', true);

Masquer les erreurs de connexion

Un mot de passe incorrect ou un nom d'utilisateur incorrect peut être identifié par les erreurs commises lors de la connexion, ce qui pourrait être utilisé pour identifier les comptes pour forçage brutal. Ce n'est pas bon, évidemment, alors tuez les erreurs avec cet ajout à votre thème functions.php fichier

fonction no_errors_please () return 'Nope';  add_filter ('login_errors', 'no_errors_please');

Activer Cloudflare

En plus d'accélérer votre site, CloudFlare empêche de nombreux botnets et scanners connus d'accéder à votre blog. Lisez tout sur CloudFlare Protégez et accélérez votre site Web gratuitement avec CloudFlare Protégez et accélérez votre site Web gratuitement avec CloudFlare CloudFlare est une start-up intriguante des créateurs de Project Honey Pot qui prétend protéger votre site Web contre les spammeurs, les bots et autres monstres maléfiques sur le Web - et accélérez un peu votre site… Lisez-en plus ici. L'installation s'effectue en un clic si vous êtes hébergé sur MediaTemple. Sinon, vous aurez besoin d'un accès au panneau de contrôle du domaine pour modifier les serveurs de noms..

Plugins de sécurité

  • Better WP Security implémente plusieurs de ces correctifs pour vous et constitue la solution gratuite la plus complète au monde..
  • WordFence est un package premium qui analyse activement vos fichiers pour rechercher des liens de logiciels malveillants, des redirections, des vulnérabilités connues, etc. - et les corrige. Le prix commence à 18 $ / an pour 1 site.
  • La solution de sécurité de connexion limite les tentatives de connexion et impose des mots de passe sécurisés.
  • La sécurité BulletProof est un plugin complet mais complexe qui traite certains des aspects les plus techniques tels que l’injection XSS et les problèmes de .htaccess. Une version du plugin est également disponible et automatise une grande partie du processus..

Je pense que vous serez d'accord pour dire qu'il s'agit d'une liste assez complète d'étapes pour renforcer WordPress, mais je ne suggère pas que vous implémentiez tout d'eux. Si je devais faire tout cela sur tous les sites que j'ai jamais installés, je les installerais encore maintenant. L'exécution de tout type de système présente un risque, et c'est finalement à vous de trouver le juste équilibre entre le niveau de sécurité que vous souhaitez et les efforts que vous souhaitez déployer pour le sécuriser - rien ne peut jamais être sécurisé à 100%. Les fruits à portée de main ici sont:

  • Garder WordPress à jour
  • Désactiver le compte administrateur
  • Ajout d'une authentification en deux étapes
  • Installer un plugin de sécurité

Faire cela seul devrait vous placer au-dessus de 99% de tous les autres blogs, ce qui est suffisant pour inciter les pirates potentiels à passer à des cibles plus faciles..

Pensez-vous que j'ai raté quelque chose? Dites-moi dans les commentaires.

En savoir plus sur: la sécurité en ligne, le développement Web, les outils pour les webmasters, Wordpress.