Pourquoi mettre à jour les vulnérabilités de votre blog WordPress dont vous devriez être au courant?

Pourquoi mettre à jour les vulnérabilités de votre blog WordPress dont vous devriez être au courant? / Wordpress & Développement Web

J'ai beaucoup de bonnes choses à dire sur WordPress. C'est un logiciel open source de renommée internationale qui permet à n'importe qui de créer son propre blog ou site web. Il est suffisamment puissant pour être extensible par des codeurs aguerris, mais suffisamment simple pour que les illettrés des technologies puissent en bénéficier. Nous avons même un mini-guide pour démarrer votre propre site WordPress. 10 étapes essentielles pour démarrer un blog Wordpress 10 étapes essentielles pour démarrer un blog Wordpress Après avoir créé plusieurs blogs, j'aimerais penser que j'ai un bon système. pour ces premières étapes essentielles, et j’espère que cela vous sera utile aussi. En suivant… Lire la suite .

Cependant, comme avec tous les logiciels liés à Internet, il y aura toujours des failles de sécurité nécessitant des corrections. Même lorsque les anciens trous sont corrigés, de nouvelles fonctionnalités introduiront inévitablement de nouveaux trous, qui devront ensuite être réparés. C'est un processus qui ne finit jamais, c'est pourquoi il est si important pour vous mettre à jour votre WordPress régulièrement.

La mise à jour de WordPress est le meilleur moyen de corriger les dernières vulnérabilités de sécurité de WordPress. Quelles sortes de vulnérabilités de sécurité? Voici un aperçu des plus communs que vous rencontrerez.

1. Compte administrateur par défaut

Lors de la première installation de WordPress, votre compte d’administrateur de base sera appelé “admin” avec un mot de passe tout aussi simple. Conserver les informations d'identification de sécurité à leurs paramètres par défaut peut constituer une grande vulnérabilité, car les pirates informatiques et les pirates informatiques sauront quels sont ces paramètres par défaut et les exploiteront donc facilement.

En fait, ce n'est pas un problème unique à WordPress. Tout ce qui vient avec les informations d'identification d'accès par défaut à l'échelle du produit 3 Mots de passe par défaut à modifier et pourquoi 3 Mots de passe par défaut à modifier et pourquoi Les mots de passe sont peu pratiques, mais nécessaires. De nombreuses personnes ont tendance à éviter les mots de passe dans la mesure du possible et préfèrent utiliser les paramètres par défaut ou le même mot de passe pour tous leurs comptes. Ce comportement peut rendre vos données et… Lire la suite (telles que les identifiants de routeur ou les codes de déverrouillage du téléphone) auront de manière inhérente cette vulnérabilité de WordPress. Mais alors que les routeurs et les téléphones requièrent généralement votre présence physique, tout le monde peut potentiellement pirater votre site WordPress tant qu'il possède l'URL..

Alors que peux-tu faire? La solution la plus simple consiste à créer un nouveau compte administrateur sur votre site WordPress et à supprimer le compte par défaut. “admin” Compte. Cela ne laisse aucune prévisibilité en termes d'accès administrateur.

2. Préfixes de base de données par défaut

Lors de la première installation de WordPress, les tables de la base de données sont nommées avec un préfixe par défaut de wp_. Ceci est fait pour que toutes les tables restent organisées dans votre base de données si vous travaillez avec d'autres progiciels dans la même base de données. le wp_ signifie que ces tables spécifiques sont liées à WordPress.

Mais voici le problème: si un pirate informatique tente de gâcher votre site WordPress, cette prévisibilité le rapproche automatiquement de la modification de vos tables de base de données. En connaissant les noms de vos tables de base de données, un pirate informatique peut y accéder manuellement jusqu'à ce qu'il obtienne l'accès..

Pense-y de cette façon. Supposons qu'un voleur veuille voler quelque chose dans votre maison mais que celle-ci est équipée de portes spéciales qui ont des trous de serrure cachés jusqu'à ce que vous l'appeliez à droite. “prénom” pour cette porte. Si le voleur sait que le nom de votre porte est “Sablonneux”, alors tout ce qu'il a à faire, c'est de verrouiller la serrure, mais si le voleur ne connaît pas le nom de votre porte, il doit d'abord comprendre cela avant même de pouvoir commencer à la chercher..

Alors que peux-tu faire? Simple. WordPress vous permet d'installer avec un préfixe de table différent du préfixe par défaut.

3. Fichiers et répertoires accessibles

Quel que soit le site Web, le nombre de fichiers auxquels vous souhaitez réellement que les utilisateurs aient accès est bien inférieur au nombre de fichiers nécessaire pour alimenter ce site Web. Vous pouvez avoir de nombreux fichiers de fonction, fichiers de classe, fichiers de modèle, fichiers de configuration, etc., dont aucun ne devrait être accessible au public. La même chose est vraie pour les annuaires.

À l'aide de CHMOD, vous pouvez définir des autorisations sur divers fichiers et répertoires afin d'empêcher les utilisateurs indésirables d'accéder aux informations sensibles. Si un utilisateur avait accès à votre fichier de configuration, par exemple, il pourrait altérer vos paramètres WordPress et casser votre site Web. WordPress est vulnérable lorsque les fichiers et les répertoires de votre site Web ne sont pas sécurisés par des paramètres d'autorisation appropriés.

Alors que peux-tu faire? J'ai eu à faire face à ce problème récemment, et la solution n'est pas trop difficile. Assurez-vous que votre installation WordPress est conforme au système de permission WordPress..

4. Injections SQL et détournement

Les injections SQL ne sont pas propres à WordPress; En fait, il s’agit de l’une des formes les plus courantes (et destructives) d’attaques de serveurs Web dans le monde. Pas familier avec le terme? Donnez mon introduction à l'article d'injections SQL Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Qu'est-ce qu'une injection SQL? [MakeUseOf explique] Le monde de la sécurité Internet est en proie à des ports ouverts, des portes dérobées, des failles de sécurité, des chevaux de Troie, des vers, des vulnérabilités de pare-feu et une multitude d'autres problèmes qui nous tiennent tous sur le qui-vive tous les jours. Pour les utilisateurs privés,… Read More un rapide coup d'oeil pour vous donner une compréhension de base du problème.

Essentiellement, WordPress a connu quelques failles dans la sécurité de ses injections SQL au fil des ans. Certaines ont été corrigées, d'autres non découvertes ou non détectées. Si un pirate informatique parvient à accéder à l’un de ces trous, il peut injecter du code SQL malveillant dans votre base de données, ce qui peut être utilisé pour voler des données ou simplement pour les supprimer..

Alors que peux-tu faire? Eh bien, voici le problème: si vous n'êtes pas suffisamment équipé pour savoir comment vaincre les injections SQL, vous ne possédez probablement pas le savoir-faire technique nécessaire à la mise en place d'une protection. Vous pouvez probablement rechercher des plugins WordPress susceptibles de traiter des trous d’injection potentiels, mais la plupart des utilisateurs devront simplement attendre le prochain correctif de sécurité WordPress..

Plugins recommandés

  • Scan de sécurité WP - Ce plugin analysera la configuration de votre site Web et recherchera les failles de sécurité potentielles. Il couvre toutes sortes de domaines, des autorisations de fichiers aux trous de la base de données, en passant par la gestion des mots de passe, etc..
  • WordPress File Monitor Plus - au cas où quelqu'un aurait eu accès à la structure de fichier de votre site, ce plugin vous le fera savoir. Il surveille régulièrement les fichiers et les répertoires de votre système et prend note de toute anomalie..
  • WordPress Firewall 2 - ce plugin met en place un mur métaphorique autour de votre site, analysant toutes les données saisies et le trafic à des fins malveillantes. Il est très efficace pour prévenir les attaques telles que les injections SQL et autres attaques de bases de données..
  • Wordfence - Wordfence est un plug-in de suite de sécurité tout-en-un incluant une protection contre les attaques malveillantes, l'analyse antivirus, un pare-feu, etc. Vaut vraiment le coup d'essayer.

Conclusion

Bien que WordPress soit à la fois open source et très populaire, cela ne signifie pas qu’il n’est pas sans défauts. Les vulnérabilités de WordPress apparaissent de temps en temps et lorsqu'une d'entre elles est corrigée, une autre est généralement au coin de la rue. Grâce à une surveillance attentive et à des mesures préventives, vous pouvez minimiser les risques pour votre site WordPress..