Share
C'est un cauchemar redoutable: un jour, vous ouvrez votre site Web et constatez que vous avez été piraté. Si vous utilisez un simple blog personnel, il peut s’agir d’un incident gênant. Si vous hébergez le site Web d'un client, votre journée risque de se transformer en une journée difficile et stressante. Si vous exploitez un site de vente en ligne très vendu, cela pourrait déclencher une attaque de panique. Quoi qu’il en soit, vous n’utiliserez pas d’emojis heureux pour partager l’actualité. Donc, vous avez besoin d'un plan de match pour prévenir les attaques avant qu'elles ne surviennent.
Et vous êtes au bon endroit. Dans cette mini-série en deux parties, je vais vous montrer le moyen de rendre vos projets WordPress aussi sécurisés que possible..
Pensez-vous que WordPress est sécurisé? C’est bien si vous ne le faites pas, car beaucoup de gens pensent que WordPress est un système de gestion de contenu peu sécurisé, mais c’est pourtant très loin de la vérité… du moins aujourd’hui.
Qu'est-ce que Microsoft Windows, Android, Google Chrome et WordPress ont en commun? Ce sont tous des logiciels extrêmement populaires et les utilisateurs y trouvent constamment des failles de sécurité. Bien qu'ils soient tous régulièrement corrigés contre les bugs et les failles de sécurité, le fait de ne pas avoir de sécurité les rend moins sûr?
Je suis désolé si vous pensez autrement, mais ce n'est pas le cas. Des correctifs fréquents ne signifient pas nécessairement qu'un logiciel est mal codé contre les menaces de sécurité. Le jeu du chat et de la souris entre développeurs et pirates informatiques continuera toujours, et les pirates informatiques trouveront toujours un moyen de pirater des logiciels. Et si le logiciel est extensible, comme WordPress, les chances de piratage vont augmenter aussi.
La chose importante ici est d’être réactif et préemptif, et c’est un domaine dans lequel WordPress excelle. Vous devrez attendre quelques jours pour que Google Chrome détecte une faille de sécurité, voire plusieurs semaines pour que Microsoft publie un correctif de sécurité, mais la vaste communauté de développeurs WordPress sera en mesure de corriger les failles de sécurité du jour zéro jour un. De plus, toute une équipe travaille à la sécurisation du noyau WordPress, nous sommes donc entre de bonnes mains avec celui-ci également. En ce qui concerne les thèmes et les plugins, il serait peut-être un peu plus facile de trouver des bugs et des failles et de prendre plus de temps pour les corriger, mais la communauté a le dos des développeurs.
Pourtant, rien n'est cent pour cent garantir. Nous vivons une époque où les scientifiques sont sur le point de déchiffrer le code dans nos cerveaux! Rien n'est impénétrable, y compris notre cerveau apparemment, et WordPress ne fait pas exception. Mais l'impossibilité d'une sécurité à 100% ne signifie pas que nous ne devrions pas aller à 99,999%.
D'après mon expérience personnelle et certaines recherches plus poussées, j'ai mis en place plusieurs mesures de sécurité que vous devriez prendre, si ce n'est déjà fait. Sans plus tarder, apprenons à les connaître dès maintenant!
Accentsconagua
.htaccess FichierCommençons doucement.
Si votre site Web WordPress est hébergé sur un serveur Web optimisé par Apache et que vous avez activé "Pretty permalinks" dans Réglages, WordPress générera un fichier nommé .htaccess pour stocker les instructions de base permalien WordPress. Si vous n'activez pas les jolis permaliens, le .htaccess le fichier ne sera pas généré par le noyau, mais les astuces que je vais montrer sont toujours applicables - il vous suffit de créer le fichier vous-même.
Nano-tip: Si vous allez créer le .htaccess fichier vous-même, mais rencontrez des difficultés pour créer un fichier sans nom mais avec le .htaccess extension, il suffit de télécharger un fichier vide avec n'importe quel nom (comme Untitled.txt) et changez le nom et l'extension dans votre client FTP.
La première chose qui me vient à l’esprit est de protéger le htaccess fichier. Et c’est la chose la plus facile à faire parmi les trucs et astuces que je vais vous montrer. Tout ce que vous avez à faire est d’ajouter les lignes suivantes au fichier:
# protège .htaccessordre permettre, nier refuser de tous
C'est un truc inoffensif pour protéger le htaccess fichier de quiconque (ou n'importe quoi) qui veut y accéder.
Ensuite, désactivons l'affichage du contenu des dossiers:
# désactiver la navigation dans les répertoires Options Tous -Indexes
Cela empêchera des inconnus de voir le contenu de vos dossiers quand ils voudront accéder, par exemple, myblog.com/wp-content/uploads/. Normalement, ils auraient pu voir les fichiers téléchargés ou naviguer dans les sous-dossiers du répertoire. / uploads / répertoire, mais avec ce petit truc, ils verront un 403 interdit réponse du serveur.
Et enfin, je voudrais faire référence à une excellente "liste noire" de Perishable Press: La liste noire 5G. Cette liste noire protège votre site Web contre de nombreux types d'activités malveillantes, des chaînes de requête nuisibles aux mauvais agents utilisateurs..
Voilà pour le htaccess des trucs. Passons maintenant à wp-config.php des trucs.
wp-config.php Fichier et Son contenule wp-config.php Le fichier est probablement le fichier le plus important de l’ensemble de votre installation WordPress, en termes de sécurité. Et il y a beaucoup à faire pour renforcer votre site Web.
Commençons par un truc intéressant: saviez-vous que vous pouvez placer votre wp-config.php déposer un niveau dans votre racine WordPress? Si cela ne vous dérange pas, allez-y et faites-le maintenant. La plupart du temps, j'installe WordPress dans public_html les répertoires et j'aime placer le wp-config.php fichier dans le répertoire racine de l'utilisateur. Je ne sais pas si c'est une recette à base d'huile de serpent ou pas, mais au moins ça se sent plus sécurisé. Quelques personnes à Stack Exchange ont eu un bon débat sur ce sujet.
Au fait, revenons à la racine .htacccess fichier et ajoutez les lignes suivantes pour interdire l’accès au wp-config.php fichier:
# protect wpconfig.phpordre permettre, nier refuser de tous
Voici une idée intéressante: que diriez-vous de supprimer l'autorisation de modifier des fichiers de thèmes et de plug-ins? Il suffit d’ajouter la ligne suivante à la liste wp-config.php fichier:
define ('DISALLOW_FILE_EDIT', true); Se sentir encore plus paranoïaque? Collez la ligne suivante sous celle ci-dessus pour désactiver complètement les installations et les suppressions de thèmes et de plug-ins:
define ('DISALLOW_FILE_MODS', true); Deux autres astuces pour renforcer WordPress: modifiez le préfixe de la base de données et ajoutez des clés de sécurité (ou sel clés) dans le wp-config.php fichier.
La première est simple: vérifiez si vous avez défini le préfixe de la base de données comme valeur par défaut en recherchant cette ligne:
$ table_prefix = 'wp_';
Si c'est réglé sur wp_, vous devriez le changer pour autre chose que cette valeur par défaut. Vous n'avez pas besoin de vous en souvenir, vous pouvez donc taper n'importe quoi. J'aime utiliser des combinaisons comme wp_fd884vg_ pour le garder à la fois sûr et lisible.
Changer les clés de sécurité est également très facile. Vérifiez si les clés sont vides en localisant les lignes suivantes:
/ ** # @ + * Authentification Clés et sels uniques. * * Changez-les en différentes phrases uniques! * Vous pouvez les générer à l'aide du @link https://api.wordpress.org/secret-key/1.1/salt/ service de clé secrète WordPress.org *. Vous pouvez les modifier à tout moment pour invalider toutes les informations existantes. biscuits. Cela obligera tous les utilisateurs à se reconnecter. * * @since 2.6.0 * / define ('AUTH_KEY', 'mettez votre phrase unique ici'); define ('SECURE_AUTH_KEY', 'mettez votre phrase unique ici'); define ('LOGGED_IN_KEY', 'mettez votre phrase unique ici'); define ('NONCE_KEY', 'mettez votre phrase unique ici'); define ('AUTH_SALT', 'mettez votre phrase unique ici'); define ('SECURE_AUTH_SALT', 'mettez votre phrase unique ici'); define ('LOGGED_IN_SALT', 'mettez votre phrase unique ici'); define ('NONCE_SALT', 'mettez votre phrase unique ici'); S'ils disent tous 'mettez votre phrase unique ici', cela signifie qu'ils ne sont pas encore définis. Dans ce cas, rendez-vous simplement sur cette URL (qui est également référencée dans les commentaires de code) et modifiez les lignes générées dans cette page avec les lignes ci-dessus..
Nano-conseil: Si vous vous interrogez sur la nature de ces "clés de protection", WPBeginner propose un excellent article sur les avantages de cette mesure de sécurité..
Voilà pour le wp-config.php des trucs! Appelons cela un jour aujourd'hui.
J'espère que vous avez apprécié ces .htaccess et wp-config.php astuces aujourd'hui. Dans la prochaine partie de cette mini-série, nous examinerons quelques plugins de sécurité et d’autres astuces cruciales pour renforcer WordPress. Si vous avez des questions ou des commentaires, n'hésitez pas à les visionner dans la section Commentaires ci-dessous..
On se voit dans la prochaine partie!
