10 astuces peu connues et super efficaces pour sécuriser votre blog WordPress
Obtenir un blog piraté et perdre des années de travail de blogueur du jour au lendemain est une triste réalité que les gens ont réellement vécue. En fait, les recherches montrent que 37 000 sites Web sont piratés chaque jour et avec WordPress, qui représente environ 25,4% du total des sites Web, vous pouvez être sûr que bon nombre de blogs WordPress sont piratés chaque jour..
La sécurité de WordPress est un jeu de balle complètement différent. Une fois que vous possédez un blog WordPress, des conseils comme avoir un nom d'utilisateur difficile à deviner et un mot de passe aussi dur que rock ne suffit plus. UNE thème buggy unique, mauvais plugin ou fichier mal protégé peut entraîner le piratage de votre blog du jour au lendemain.
Que vous soyez inexpérimenté avec WordPress ou que vous utilisiez la plate-forme depuis son existence, cet article a 10 moyens pratiques et efficaces de sécuriser votre blog WordPress que n'importe qui peut mettre en œuvre. Vous ne trouverez pas la plupart de ces conseils dans des articles populaires sur la sécurisation de votre blog, mais ils pourraient très bien sauver votre blog un jour.!
1. Désactiver l'éditeur de thèmes et de plugins WordPress
WordPress possède une fonctionnalité pratique qui donne plus de flexibilité aux propriétaires de sites en leur permettant de personnaliser et d'éditer leurs thèmes et plug-ins directement à partir du tableau de bord WordPress, mais cette fonctionnalité a été la défaite de la plupart des blogs..
Avec cette fonctionnalité, un une légère erreur peut planter votre site et vous verrouiller hors de votre propre site. Les pirates peuvent facilement insérer du code malveillant dans votre thème pour leur donner un accès détourné à votre site, voire même le reprendre complètement, en prenant le contrôle d'un compte disposant de suffisamment de privilèges pour utiliser l'éditeur de thème et de plugin..
Vous pouvez vous protéger en désactivant le plugin et l'éditeur de thème, rendant impossible la modification de vos thèmes et plugins sans accès FTP.
Faites cela en ajoutant le code suivant à votre fichier wp-config.php:
define ('DISALLOW_FILE_EDIT', true);
2. Activer l'authentification à deux facteurs
L’authentification à deux facteurs est rapidement en train de devenir l’un des moyens les plus fiables de protéger vos comptes en ligne, et la plupart des sites Web fiables insisteront pour que leurs utilisateurs le permettent..
Bien que WordPress ne comporte pas nécessairement une authentification à deux facteurs, vous pouvez activer l'authentification à deux facteurs sur votre blog en installant les plugins suivants:
- Google Authenticator
- Authy
- Clef
- Rublon
3. Limiter le nombre de connexions en fonction du nombre de tentatives infructueuses
Les pirates informatiques tentent d’accéder à votre blog de nombreuses façons. L’une des techniques les plus couramment utilisées est une attaque en force brutale: un pirate informatique essaie sans cesse de combiner noms d’utilisateur et mots de passe, jusqu’à ce qu’il puisse accéder avec succès. votre blog.
Par défaut, WordPress n'est pas protégé contre cette attaque. En installant des plugins qui limitent le nombre de connexions après un certain nombre de tentatives infructueuses d'une adresse IP donnée, il est beaucoup plus difficile pour les pirates d'accéder à votre blog..
Le plugin Jetpack Protect Module peut également vous protéger contre les attaques brutales.
4. Scannez régulièrement votre blog
Vous pouvez utiliser des fichiers de thème, des plug-ins, des liens et d'autres éléments apparemment inoffensifs pour accéder à votre blog. N'attendez pas que votre site Web soit complètement infecté avant de prendre des mesures. Installez plutôt des plug-ins d'analyse de sécurité pour analyser régulièrement votre site Web et vous avertir en cas de modification de vos fichiers..
Wordfence est un bon exemple de plugin d'analyse de sécurité. En plus de vous donner la possibilité d’analyser manuellement / automatiquement votre blog WordPress, il vous avertit également instantanément de l’activité suspecte sur votre blog..
Il envoie également des informations sur les commentaires potentiellement malveillants, et compare vos fichiers de thème et plugin avec le référentiel WordPress à vous faire savoir si votre version d'un plugin ou d'un thème a été modifiée et peut potentiellement servir de porte dérobée pour les pirates sur votre site.
Les autres plug-ins de sécurité pouvant vous aider à analyser votre blog à la recherche de logiciels malveillants et d'exploits sont:
- Scanner de sécurité Sucuri
- Acunetix WP Sécurité
- iThemes Security (anciennement "Better WP Security")
5. Changer votre hôte
Bien que cela ressemble à un conseil simpliste, il a en réalité beaucoup de poids. La recherche montre que 41% des sites Web WordPress piratés étaient piraté à travers la vulnérabilité de sécurité sur leur plate-forme d'hébergement. C'est beaucoup plus que d'autres sources, y compris avoir un mot de passe faible.
Votre hôte peut jouer un rôle majeur dans le fait que vous soyez piraté ou non. assurez-vous que optez pour des hébergeurs fiables qui ont résisté à l'épreuve du temps et cela se conformer aux meilleures pratiques de l'industrie.
6. Cachez votre numéro de version WordPress
Par défaut, WordPress affiche votre numéro de version WordPress; Cela permet à WordPress de garder facilement une trace du nombre de blogs WordPress actifs dans le monde. Cependant, cela peut aussi être une énorme source de problèmes; les hackers et les bots peuvent rechercher des blogs sur le Web en utilisant un numéro de version WordPress avec une vulnérabilité connue, vous faire une cible facile.
Vous pouvez facilement résoudre ce problème en cacher votre numéro de version WordPress. Pour masquer votre numéro de version WordPress, ajoutez simplement le code suivant à votre fichier functions.php:
add_filter ('the_generator', '__return_null');
7. Désactiver les rapports d'erreur PHP
Lorsqu'un plugin ou un thème ne fonctionne pas bien sur votre blog WordPress, les rapports d'erreur PHP peuvent vous aider en vous montrant un message qui en révèle la cause. Cependant, cet avantage présente un inconvénient: lorsqu’une erreur PHP est rapportée, elle inclut le chemin d'accès complet du serveur de l'erreur, révélant des informations que les pirates peuvent utiliser contre vous.
Vous pouvez vous protéger par désactiver les rapports d'erreur PHP. Ajoutez simplement le code suivant à votre fichier wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Travailler sur vos autorisations de fichiers WordPress
Pour protéger votre site WordPress contre les attaques de sécurité, il est essentiel de: assurez-vous que vous avez les droits de fichiers appropriés. Cela rend difficile pour un pirate informatique de manipuler des plugins, des thèmes ou des fichiers sur votre serveur pour prendre en charge votre site Web.
Assurez-vous que WordPress dossier les autorisations sont définies sur 755 ou 750; fichier les autorisations sont définies sur 640 ou 644; et que l'autorisation wp-config.php est définie sur 600.
9. Assurer des sauvegardes régulières
Même les grands sites Web dotés d'une équipe d'experts en sécurité et de consultants sont piratés. Bien que le respect des meilleures pratiques puisse rendre votre site Web plus fort que 99,9% des sites Web, les choses peuvent quand même casser..
La meilleure sécurité que vous avez contre les attaques de piratage WordPress est une bonne sauvegarde. assurez-vous d'effectuer régulièrement des sauvegardes de votre site, si possible quotidiennement. De cette façon, si votre site Web est piraté, vous avez vos fichiers en place et peut restaurer les choses immédiatement.
Voici quelques-uns des meilleurs plugins de sauvegarde WordPress:
- BackUpWordPress
- Prêt! Sauvegarde
- VaultPress
- BackupBuddy
10. Limiter l'accès à votre page de connexion
Lorsque les choses se gâtent, vous devrez peut-être prendre des mesures radicales. Un moyen très fiable de protéger votre blog contre les tentatives de piratage est de: bloquant entièrement l'accès à vos pages wp-admin et wp-login.php.
Ceci n'est recommandé que si vous utiliser une adresse IP qui ne change pas (vous ne voulez pas vous isoler de votre blog!). Vous pouvez toujours utiliser cette option si vous utilisez plusieurs adresses IP mais que vous gardez une trace de ces adresses..
Pour limiter l'accès à votre page de connexion, ajoutez le code suivant à votre fichier .htaccess:
RewriteEngine on RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OU] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Votre Adresse IP 1 $ RewriteCond% REMOTE_ADDR! ^ Votre adresse IP 2 $ RewriteCond% REMOTE_ADDR! ^ Votre adresse IP 3 $ RewriteCond% REMOTE_ADDR! ^ Votre adresse IP 4 $ RewriteCond% REMOTE_ADDR! ^ Votre adresse IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Assurez-vous de modifier Votre adresse IP 1 à travers Votre adresse IP 5 avec les différentes adresses IP auxquelles vous souhaitez donner accès; vous pouvez simplement ajouter ou supprimer une ligne pour autoriser ou empêcher plusieurs IP d'accéder à votre site.
Conclusion
Bien sûr, vous ne devez pas ignorer les astuces de sécurité de base comme ne pas utiliser de nom d'utilisateur prévisible, avoir un mot de passe fort, mettre à jour votre installation WordPress régulièrement, etc. Cependant, les conseils ci-dessus sont des astuces de sécurité peu connues et souvent ignorées qui peuvent rendre votre Le blog WordPress un peu plus sécurisé.
Note de l'éditeur: Cet article d'invité est écrit pour Hongkiat.com par John Stevens. John est un expert WordPress et hébergement. Il est le fondateur et PDG de HostingFacts.com, un portail où il passe en revue et évalue les hôtes Web en fonction des performances.