Share
WordPress est open source, ce qui signifie que tout le monde, y compris les pirates informatiques mal intentionnés, peut parcourir le code source à la recherche de failles dans sa sécurité. C’est pourquoi je vais vous montrer quelques mesures de précaution à prendre pour vous protéger, votre WordPress et, plus important encore, vos utilisateurs..
Probablement, la meilleure chose à faire pour vous protéger est de commencer par changer / supprimer le superutilisateur admin. Quiconque utilise WordPress sait qu’il existe un utilisateur appelé admin disposant d’une autorisation de sécurité de niveau supérieur, en particulier des pirates. Si le nom d'utilisateur est admin, il peut être difficile de déchiffrer le mot de passe. Créez un nouveau compte administratif, mais cette fois-ci sous un nom différent, puis supprimez le compte administrateur..
En fait, ce que je recommanderais personnellement, c’est de créer un compte administratif avec un nom d’utilisateur et un mot de passe très complexes (quelque chose comme x7duEls91 *), de le stocker quelque part et de créer un autre compte pour vous permettre de publier du contenu portant votre nom sans compte exécutif. pouvoirs. Le compte administrateur n'est essentiellement nécessaire que pour gérer les thèmes, les plug-ins et d'autres aspects du site qui n'ont pas besoin d'être modifiés quotidiennement - un compte éditeur suffit..
?Traitez votre mot de passe comme votre brosse à dents. Ne laissez personne l’utiliser, et recevez-en un nouveau tous les six mois..?
~ Clifford Stoll
Quel que soit le type de site que vous utilisez, vous courez un risque d'attaque par la force brute. Lors de la première étape lorsque nous avons supprimé le nom d'utilisateur admin, cela a probablement dissuadé la plupart des pirates informatiques, mais il y en a toujours qui sont très persistants ou qui connaissent déjà votre nom d'utilisateur. La prochaine étape consiste à choisir un mot de passe très difficile et un mot de passe divers. Un bon moyen de déterminer si votre mot de passe est sécurisé est de le saisir dans un vérificateur de mot de passe en ligne tel que passwordmeter.com ou de générer un mot de passe aléatoire..
Aussi, je préfère prendre des précautions supplémentaires lors de la protection de mon blog, l'installation de plugins peut ajouter une couche de sécurité supplémentaire. Il existe de nombreux plugins pouvant gérer les mots de passe et les aspects de connexion de WordPress. Un plugin que je trouve très utile est Login LockDown; il enregistre l'adresse IP et l'horodatage de toutes les connexions ayant échoué, en plus du blocage IP après un certain nombre d'échecs de connexion. Ce plugin est particulièrement utile lorsqu'il s'agit de se défendre contre une attaque par force brute - la plupart des attaquants abandonnent leur site s'ils sont bannis toutes les 5 minutes alors qu'ils exécutent leur programme de force brute..
Comme je le disais plus tôt, WordPress est open source, ce qui en fait une cible plus facile pour les pirates. Près de 60 millions de sites utilisent WordPress. Lorsque Automattic publie une mise à jour, plus vous mettez votre site à jour rapidement, mieux c'est, car lorsqu'ils effectuent une nouvelle mise à jour, ils publient également les vulnérabilités qu'ils ont corrigées. En outre, la mise à jour de votre installation WordPress ne prend pas beaucoup de temps. Elle dure 5 minutes, selon WordPress..
Supposons que vous oubliez de mettre à jour votre installation WordPress ou que vous n’ayez tout simplement pas 5 minutes à perdre. Votre version de WordPress donne aux pirates une bonne idée de la façon dont ils peuvent pirater votre site, surtout s’il est périmé..
Par défaut, WordPress affiche la version, car ils le souhaitent pour que les statistiques puissent voir combien de personnes utilisent quelle version, etc.? Cependant, c'est comme si vous mettiez un signe rouge vif sur votre site en disant aux pirates quoi faire..
Si vous utilisez un thème premium, il est probable que le développeur se soit permis de le désactiver, mais il vaut toujours mieux en être sûr. Ouvrez votre fichier functions.php et déposez-le dans cette ligne de code.
Il est très important que vous disposiez des autorisations de fichiers appropriées pour assurer la sécurité de votre site. Je vous recommande de limiter les autorisations de votre fichier au strict minimum, valeur CHMOD de 744, ce qui le rend essentiellement en lecture seule pour tout le monde sauf vous..
Ouvrez simplement votre programme FTP, cliquez avec le bouton droit de la souris sur le dossier ou le fichier, puis cliquez sur "Autorisations de fichier". Si c'est 777, vous avez beaucoup de chance de ne pas avoir déjà été piraté. Vous devez changer la valeur de CHMOD en 744, en donnant uniquement au propriétaire un accès complet..
Les listes blanches vous permettent de déterminer qui peut accéder à certaines parties de votre site Web. C'est comme si vous construisiez la Grande Muraille de Chine autour de votre dossier d'administration, de sorte que personne, à l'exception de vous, ne puisse accéder à ce dossier. Nous faisons cela en utilisant le fichier .htaccess.
Accédez au dossier / wp-admin /, puis vérifiez s’il existe déjà un fichier .htaccess. S'il n’en existe pas, créez-en un. S'il y en a déjà un, je vous suggère d'en faire une copie de sauvegarde avant d'effectuer des modifications.. Veuillez vous assurer que vous êtes dans le dossier wp-admin et non dans le dossier racine..
Collez le code suivant dans le fichier .htaccess:
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Contrôle d'accès Admin WordPress" AuthType Basicordre nier, autoriser nier de tous # Liste blanche Votre adresse IP permet de xx.xx.xx.xxx # Liste blanche L'adresse IP de votre bureau permet de xx.xx.xx.xxx # Liste blanche votre adresse IP lors de vos déplacements (Supprimez à votre retour Accueil) autoriser de xx.xx.xx.xxx
Remplacez les xx par votre adresse IP, que vous pouvez trouver sur WhatsMyIP.org. Maintenant, chaque fois que vous vous connectez depuis un endroit autre que les endroits que vous avez ajoutés dans votre fichier .htaccess, vous devez ajouter la nouvelle adresse IP avant de pouvoir l'utiliser..
Quel que soit le niveau de sécurité de votre site WordPress, il est judicieux de toujours sauvegarder votre site. Il y a plusieurs façons de le faire. Vous pouvez tirer parti des tâches cron, si votre hébergeur le fournit, en utilisant cette commande:
DBNAME = DB_NAME DBPASS = DB_PASSWORD DBUSER = DB_USER EMAIL = "vous@votre_email.com" "mysqldump --opt -u $ DBUSER -p $ DBPASS $ DBNAME> backup.sql gzip backup.sql DATE =" date +% Y% m% ré" ; mv backup.sql.gz $ DBNAME-backup- $ DATE.sql.gz echo 'SAUVEGARDE DE BLOGUE: votre sauvegarde est jointe' | mutt -a $ DBNAME-backup- $ DATE.sql.gz $ EMAIL -s "Sauvegarde MySQL" rm $ DBNAME-backup- $ DATE.sql.gz
Alternativement, vous pouvez utiliser VaultPress, un service de Automattic. Si vous souhaitez en savoir plus sur VaultPress, je vous recommande de consulter ce didacticiel..
Le moyen le plus simple consiste à ouvrir une session dans le panneau d'administration, à naviguer dans Outils, puis à cliquer sur Exporter. Cela vous simplifie la vie, en particulier lorsque vous devez reconfigurer votre WordPress..
Mettre un fichier d’index vierge dans votre dossier / wp-content / plugins / cachera tous vos plugins. Certains d'entre vous pensent probablement: "Qui se soucie si quelqu'un peut voir mes plugins?". Eh bien, les plugins peuvent dire aux pirates comment pirater votre site, ou au moins s’il est hackable.
Comme vous pouvez le constater, les plugins sont clairement visibles pour tous ceux qui naviguent dans le dossier / wp-content / plugins. Si un pirate informatique ne voit aucun plugin de sécurité, il sait immédiatement que ce sera un travail facile. Ajouter un fichier index.html vierge dans le dossier des plugins revient à placer un panneau de sécurité dans votre pelouse. Peu importe que vous disposiez du système de sécurité, mais tant que le pirate informatique ne le sait pas, il sera moins enclin à essayer. n'importe quoi.
Le meilleur outil de sécurité, quel que soit le plugin / logiciel que vous installez, est vous. Pour avoir la certitude que vous êtes complètement protégé, vous devez adopter une approche proactive de la sécurité de votre site Web. Trois fois par jour, je consulte les journaux de mon serveur et les analyses Web pour voir s’il existe un comportement inhabituel..
Maintenant, avec une installation WordPress sûre et sécurisée, vous êtes prêt à poster librement votre contenu sans avoir à craindre si vous êtes vulnérable au piratage.
Si vous avez des questions sur ce tutoriel, sur la sécurité WordPress ou sur la sécurité en général, laissez simplement un commentaire et je reviendrai vers vous dès que je pourrai..
Accentsconagua