Page d'accueil » WordPress » Renforcement de WordPress Security 25 Essential Plugins + Astuces

    Renforcement de WordPress Security 25 Essential Plugins + Astuces

    Si vous utilisez un site Web utilisant WordPress, sa sécurité devrait être votre principale préoccupation. Dans la plupart des cas, les blogs WordPress sont compromis car leurs fichiers et / ou plug-ins principaux sont obsolètes. les fichiers obsolètes sont traçables et c'est une invitation ouverte aux hackers.

    Comment garder votre blog à l'écart des méchants pour de bon? Pour commencer, assurez-vous d'être toujours à jour avec la dernière version de WordPress. Mais il y a plus. Dans le post d'aujourd'hui, j'aimerai partager avec vous quelques plugins utiles ainsi que des astuces pour renforcer votre sécurité WordPress.

    Liste complète après le saut!

    Des plugins pour une meilleure sécurité

    WP DB BackupWP DB Backup est un plug-in facile à utiliser qui vous permet de sauvegarder vos tables de base de données WordPress principales en quelques clics. En outre, il est si facile à utiliser que c’est l’un des plugins les plus utilisés pour sécuriser votre site web propulsé par WP.

    Scan de sécurité WPAvec ce plugin, numériser votre site propulsé par WordPress sera une tâche simple. Il trouve les vulnérabilités de votre site et offre des conseils utiles pour les supprimer..

    Demandez à Apache Password ProtectCe plugin ne contrôle pas WordPress et ne désorganise pas votre base de données. Il utilise plutôt des fonctionnalités de sécurité intégrées rapides et éprouvées pour ajouter plusieurs couches de sécurité à votre blog..

    Connexion furtiveLe plug-in Stealth Login vous aidera à créer des adresses URL personnalisées pour vous connecter, vous inscrire et vous déconnecter de WordPress..

    Login LockdownLogin Lockdown vous aidera à verrouiller les tentatives pendant un certain temps lorsque vous vous connectez à votre panneau d'administration après plusieurs tentatives..

    WP-DB ManagerCeci est un autre excellent plugin qui vous permet de gérer votre base de données WP. Il pourrait être utilisé comme une alternative au gestionnaire de sauvegarde WordPress.

    Admin SSL Secure PluginUn autre plugin pour garder votre panneau d'administration sécurisé. Il agit sur le cryptage SSL et est vraiment utile contre les pirates informatiques ou les personnes cherchant à obtenir un accès non autorisé à votre panneau. C'est le rival du plugin Chap Secure Login.

    Casier utilisateurSi vous voulez éviter le piratage brutal de votre site, le plugin User Locker est fait pour vous. Il fonctionne sur le même système que Login Lockdown, cependant, c'est un plugin WP noté 5 étoiles qui jouit d'une grande renommée parmi ses utilisateurs..

    Limiter les tentatives de connexionLimiter les tentatives de connexion empêche l’adresse Internet de faire de nouvelles tentatives après qu’une limite spécifiée de tentatives a été atteinte, rendant une attaque par force brute difficile ou impossible.

    Cryptage de connexionLogin Encrypt est un plugin de sécurité. Il utilise une combinaison complexe de DES et de RSA pour chiffrer et sécuriser le processus de connexion au panneau d'administration..

    Mot de passe à usage uniqueCe plugin unique vous aidera à définir un mot de passe à usage unique pour votre connexion, afin d’empêcher la connexion d’utilisateurs indésirables à partir de cybercafés ou autres..

    AntivirusAntivirus est un plugin de sécurité très populaire qui vous aidera à protéger votre blog contre les bots, les virus et les malwares..

    Mauvais comportementBad Behavior est le plug-in qui vous permet de lutter contre ces spammeurs agaçants. Le plugin vous aidera non seulement à éviter les spams sur votre blog, mais tentera également de limiter l'accès à votre blog, de sorte qu'ils ne pourront même pas le lire..

    Exploiter ScannerRecherchez dans les fichiers et la base de données de votre installation WordPress des signes pouvant indiquer que les fichiers ou la base de données ont été victimes de pirates informatiques malveillants. Même si c'est un autre plugin de scan, ça vaut le coup d'essayer.

    Suppresseur de spam utilisateurLe nom du plugin indique ses fonctions, un plugin populaire qui vous aidera à prévenir et à supprimer les spams indésirables..

    Bloquer les mauvaises requêtes Ce plugin tente de bloquer toutes les requêtes malveillantes tentées sur votre serveur et votre blog WordPress. Il fonctionne en arrière-plan, vérifiant les chaînes de requête excessivement longues (c'est-à-dire supérieures à 255 caractères), ainsi que la présence de "eval (" ou "base64" dans l'URI de la demande.

    8 conseils essentiels

    Changer les préfixes "wp_" par défaut

    Votre site Web pourrait être en jeu si vous utilisez les préfixes wp_ prévisibles de votre base de données. Le tutoriel suivant vous apprend à les changer via phpMyAdmin en 5 étapes simples.

    Vous pouvez également le faire avec le plugin WP Security Scan.

    Masquer les messages d'erreur de connexion

    Les messages d'erreur de connexion peuvent exposer les pirates informatiques et leur donner une idée s'ils ont obtenu un nom d'utilisateur correct / incorrect, et vice versa. Il est sage de le cacher de la connexion non autorisée.

    Pour masquer les messages d'erreur de connexion, il suffit de placer le code suivant dans functions.php

    add_filter ('login_errors', create_function ('$ a', "return null;"));

    [La source]

    Garder le répertoire wp-admin protégé

    Garder le dossier "wp-admin" protégé ajoute une couche supplémentaire de protection. Quiconque tente d'accéder à des fichiers ou à un répertoire après "wp-admin" sera invité à se connecter.

    La protection de votre dossier "wp-admin" avec un identifiant et un mot de passe peut être réalisée de différentes manières:

    • Plugin WordPress - Utilisation du plugin WordPress AskApache Password Protect.
    • cPanel - Si votre hébergement prend en charge la connexion d’administrateur cPanel, vous pouvez configurer facilement la protection sur n’importe quel dossier via cPanel. Répertoires de protection par mot de passe interface utilisateur graphique. En savoir plus sur ce tutoriel.
    • .htaccess + htpasswd - La création d'un dossier protégé par un mot de passe peut également être réalisée facilement en définissant les dossiers que vous souhaitez protéger. .htaccess et les utilisateurs autorisés à accéder à l'intérieur .htpasswd. Le tutoriel suivant vous montre comment procéder en 7 étapes..

    Maintenir les sauvegardes

    Conserver des copies de sauvegarde de l’ensemble de votre blog WordPress est aussi important que de protéger le site des pirates informatiques. Si ce dernier échoue, vous avez au moins les fichiers de sauvegarde corrects à restaurer..

    Nous avons précédemment couvert une liste de solutions pour sauvegarder vos fichiers WordPress et votre base de données, y compris des plugins utiles et des services de sauvegarde..

    Empêcher la navigation dans les répertoires

    Une autre grande faille en matière de sécurité est que vos répertoires (et tous ses fichiers) soient exposés et accessibles au public. Voici un test simple pour vérifier si vos répertoires WordPress sont bien protégés:

    • Entrez l'URL suivante dans le navigateur, sans les guillemets. "http://www.domain.com/wp-includes/"

    Si le champ est vide ou si vous êtes redirigé vers la page d'accueil, vous êtes en sécurité. Cependant, si vous voyez un écran similaire à l’image ci-dessous, vous n'êtes pas.

    Pour empêcher l’accès à tous les répertoires, placez ce code dans votre .htaccess fichier.

    # Empêcher la navigation dans les dossiers Options Tous -Indexes

    Maintenir les fichiers et plugins WordPress essentiels à jour

    L'un des moyens les plus sûrs de protéger votre site WordPress est de vous assurer que vos fichiers sont toujours mis à jour à la dernière version. Voici quelques façons (pratiques) que vous pouvez faire:

    • Connectez-vous souvent au tableau de bord - Une notification jaune apparaîtra en haut du tableau de bord si la mise à jour est disponible. Connectez-vous souvent et restez à jour avec la dernière copie des fichiers principaux de WordPress.
    • Désactiver et supprimer les plugins inutilisés - Un plugin inutilisé finira par devenir obsolète et peut poser un risque de sécurité. Si vous ne l'utilisez pas, supprimez-le.
    • Abonnez-vous à WordPress Releases RSS.

    Choisissez un mot de passe fort

    Votre mot de passe est-il sécurisé? Un mot de passe fort et sûr est plus que juste quelque chose de mémorable avec des chiffres (par exemple, john123). Pour commencer, il devrait contenir plus de 12 caractères, avec une combinaison de chiffres et d’alphabets en lettres majuscules et minuscules..

    Voici quelques applications qui vous permettent de générer un mot de passe fort:

    • GoodPassword
    • Multiciens
    • KeePass
    • Dernier passage
    • PcTools
    • 1Password

    Sinon, vous pouvez également vérifier la force (et la sécurité) de votre mot de passe actuel avec howsecureismypassword.net..

    Supprimer l'utilisateur admin

    Une installation typique de WordPress est fournie avec un utilisateur par défaut nommé "admin". Si tel est le nom d'utilisateur de votre site WordPress, vous simplifiez déjà 50% la vie des pirates informatiques. L'utilisation de l'utilisateur "admin" doit être évitée à tout moment.

    Une approche plus sûre pour vous connecter en toute sécurité à votre administrateur consiste à créer un nouvel administrateur et à supprimer "admin". Et voici comment vous le faites:

    1. Connexion au panneau d'administration WordPress
    2. Aller à Utilisateurs -> Ajouter un nouveau
    3. Ajouter un nouvel utilisateur avec Administrateur rôle, assurez-vous que vous utilisez un mot de passe fort.
    4. Déconnectez-vous de WordPress, reconnectez-vous avec votre nouvel utilisateur admin..
    5. Aller à Utilisateurs
    6. Supprimer l'utilisateur "admin"
    7. Si "admin" a des publications, n'oubliez pas d'attribuer toutes les publications et les liens au nouvel utilisateur.

    Ressources plus utiles:

    • Durcissement de WordPress (WordPress)
    • FAQ sur la sécurité de WordPress (WordPress)
    • Que faire si votre site est piraté (WordPress)
    • Comprendre .htaccess et .htpasswd (Apache)
    • Comprendre .htaccess et .htpasswd (Javascriptkit.com)
    • Protéger le répertoire wp-admin (nicolaskuttler.com)
    • Nettoyage d'une installation WordPress piratée (Blogsblogsblogs.com)