5 astuces pour renforcer votre sécurité de connexion WordPress
Quelle que soit la taille de votre site Web, la perte de ses données ou l'impossibilité d'accéder à votre propre site Web peut être une expérience éprouvante pour les nerfs. WordPress, qui exploite plus de 25% du Web, est l'un des sites Web les plus ciblés pour les pirates.
Dans nos précédents articles, nous vous avons montré un certain nombre de trucs et astuces qui couvraient déjà presque tout pour sécuriser votre site WordPress. Néanmoins, il y a toujours place à amélioration. Dans cet article, nous examinerons quelques astuces supplémentaires pour vous aider à rendre votre site WordPress plus difficile à violer..
1. Bcrypt Mot de passe de hachage
WordPress a été lancé en 2003, alors que PHP et le Web en étaient encore à leurs débuts. Facebook n'était pas encore disponible, PHP n'avait même pas d'architecture intégrée (programmation orientée objet); par conséquent, les héritages hérités de WordPress qui ne sont plus idéaux aujourd’hui, y compris crypte le mot de passe.
WordPress utilise encore MD5 à ce jour hachage. Fondamentalement, il s’agit de transformer votre 123456
mot de passe dans quelque chose comme e10adc3949ba59abbe56e057f20f883e
.
Cependant, comme les ordinateurs sont maintenant plus sophistiqués qu’il ya 10 ans, cela haché mot de passe peut maintenant être facilement inversé dans sa forme nue presque instantanément.
PHP a cryptage natif depuis la version 5.5 et si votre WordPress tourne sous PHP 5.5 ou plus, il existe un plugin pratique appelé wp-password-bcrypt qui vous permet d’embrasser cet utilitaire natif en PHP.
Installez et activez le plugin via Composer ou MU-Plugins. Ré-enregistrez votre mot de passe et vous êtes tous ensemble.
2. Activer WordPress.com Protéger
La force brute est une tentative de piratage courante dans laquelle des attaquants tentent de se connecter à votre site Web en tentant de deviner de nombreux mots de passe possibles, généralement des mots contenus dans le dictionnaire. C’est la raison pour laquelle vous devriez définir un mot de passe difficile à deviner..
Automattic, le fondateur de WordPress.com, a acquis l’un des plugins WordPress les plus populaires permettant de contrer les attaques par force brute. Il s’appelle BruteProtect et est intégré à Jetpack..
Sur la base de notre expérience, il a nous a énormément aidé combattre les attaques par force brute plus de près d'un million fois.
Pour l'obtenir, vous devez installer la dernière version de Jetpack et connecter votre site web à WordPress.com. Puis activez le “Protéger” module, et liste blanche de votre propre adresse IP ainsi.
Maintenant, vous devriez vous sentir un peu plus en sécurité.
3. Cachez votre URL de connexion
WordPress est très connu pour la page de connexion, wp-login.php
. Les pirates savent donc quelle page exacte diriger leurs attaques par force brute. Vous pouvez leur rendre la tâche plus difficile en Déguiser votre URL de connexion WordPress.
Heureusement, quelques plugins fournissent cet utilitaire:
- iThemes Sécurité
- WPS Masquer Connexion
4. Désactiver “Mot de passe oublié”
le “Mot de passe oublié” L’utilitaire dans le formulaire de connexion est un moyen pour les attaquants, qui passent généralement par une injection SQL pour obtenir leurs informations de connexion. Si seules quelques personnes ont accès à la zone d'administration, il peut être préférable de la désactiver..
Pour ce faire, créez un nouveau fichier téléchargé - nommez-le Mot-de-passe-oublié.php
.
Nous changeons d'abord l'URL du mot de passe perdu:
function lostpassword_url () return site_url ('wp-login.php'); add_filter ('lostpassword_url', 'lostpassword_url');
Supprimer le lien. Malheureusement, WordPress ne fournit pas un crochet approprié pour le faire parfaitement à travers un add_filter
une fonction. Donc, nous le faisons avec JavaScript à la place.
fonction lostpassword_elem ($ page) ?>Enfin, nous redirigeons le “Mot de passe perdu” URL vers l'écran de connexion.
function lostpassword_redirect () if (isset ($ _GET ['action']))) if (in_array ($ _GET ['action']], array ('motdepasse', 'mot_retape'))) wp_redirect ('/ wp- login.php ', 301); sortie; add_action ('init', 'lostpassword_redirect');5. Activer HTTPS
HTTPS donne à votre site une couche supplémentaire de sécurité avec la transmission de données. Cela pourrait également vous donner un coup de pouce dans les classements de recherche Google. Et maintenant, vous pouvez obtenir un certificat HTTPS valide gratuitement à travers l'initiative communautaire Let's Encrypt.
Pour les sites Web WordPress, vous pouvez facilement obtenir un Cryptons certificat avec WP Encrypt. Il n'y a donc aucune raison pour que vous ne déployiez pas aujourd'hui le protocole HTTPS sur votre site Web..
Emballer
J'aime juste vous laisser avec le rappel que malgré toutes ces tentatives, nos sites Web pourrait toujours être l'objet d'attaques, de piratages et d'être compromis par des pirates par des moyens au-delà de notre compréhension. Même les grandes entreprises comme Dropbox et LinkedIn sont la proie de menaces de sécurité.
En dernier recours, n'oubliez pas de sauvegarder régulièrement les fichiers et la base de données de votre site Web quand tu peux.