WordPress est l'un des systèmes de gestion de contenu les plus utilisés sur Internet. WordPress est devenu un système de gestion de contenu préféré en raison de ses riches fonctionnalités. Dans le même temps, il était également devenu le système de gestion de contenu préféré des pirates informatiques. Si vous exploitez un site WordPress et que vous vous souciez de la sécurité de vos données sur votre site WordPress, voici ce que vous devez faire.
Notez que les mesures de sécurité dont je vais parler ici sont les mesures de sécurité de base que chaque site devrait utiliser. Pour vous protéger des attaques de bots en durcissant votre wordpress. Et vous devez également compléter le fonctionnaliste de vos plugins sur votre site WordPress, c'est-à-dire que vous devez savoir ce qu'il va se passer sur votre site à partir de la mesure que vous prenez.
Voici quelques mesures de sécurité de base complètes que vous devez mettre en œuvre sur votre site WordPress pour vous protéger du piratage.
Avant de continuer à lire, assurez-vous que votre ordinateur / ordinateur portable que vous utilisez pour vous connecter à votre tableau de bord WordPress et à votre tableau de bord d'hébergement est totalement exempt de logiciels malveillants et de virus. Au moment où vous lisez cet article, vous avez peut-être installé des plug-ins de pare-feu et de sécurité sur votre placer. Veuillez parcourir les fonctionnalités du plug-in de sécurité et les fonctionnalités complètes de ce plug-in, car certaines des mesures mentionnées ci-dessous peuvent également être mises en œuvre par des plug-ins. Il est donc obligatoire pour vous de passer par votre plugin afin d'éviter les conflits.
Et assurez-vous de faire la sauvegarde complète de votre site WordPress.
Utilisez des mots de passe forts :
Il est toujours recommandé d'utiliser le mot de passe fort. Prenez toujours l'habitude d'utiliser un mot de passe aléatoire pour vos comptes sensibles. Si vous ne souhaitez pas utiliser de mot de passe aléatoire, vous devez choisir celui qui devrait être loin de deviner votre mot de passe. Si vous pensez que vous pouvez oublier le mot de passe. Alors mieux vaut utiliser les gestionnaires de mots de passe.
Et c'est aussi une bonne idée de protéger votre compte WordPress avec une double authentification. Vous pouvez activer la double authentification sur votre site WordPress le plugin de sécurité DUO WordPress, Clef et un autre nom de plugins,
N'utilisez pas le nom d'utilisateur d'administrateur :
Il est toujours fortement conseillé de ne pas utiliser le nom d'utilisateur par défaut Admin comme nom d'utilisateur de votre compte WordPress. Étant donné que ce nom d'utilisateur est le nom d'utilisateur par défaut, certains attaquants créent un bot essayant de se connecter avec un mot de passe différent sur ce nom d'utilisateur (attaque par force brute). Étant donné que la plupart des attaques par forces brutes prennent des valeurs par défaut, nous pouvons éviter quelques attaques de bots sur notre site en utilisant des valeurs autres que les valeurs par défaut. C'est la raison pour laquelle certaines sociétés d'hébergement comme SiteGround, BlueHost nous permettra d'obtenir le nom d'utilisateur souhaité avant de s'installer. . Si vous utilisez le nom d'utilisateur par défaut, consultez cet article sur le changement de nom d'utilisateur du compte WordPress PHPMYADMIN.
Mettez à jour votre WordPress : -
Vous ne devriez jamais arrêter de mettre à jour votre site WordPress. Si vous négligez la mise à jour de votre site WordPress, vous invitez des pirates informatiques avec un tapis rouge à pirater votre site. Les mises à jour WordPress ne contiennent pas seulement les fonctionnalités, elles contiennent également des mises à jour de sécurité.
Masquer la version WordPress : -
Vous devez masquer votre version de WordPress. Parce que si vous révélez votre numéro de venaison WordPress. Il sera plus facile pour les pirates informatiques de connaître les venluaribits de WordPress dans cette version et ils pourront facilement travailler sur cette vénérable pour jack votre site.
Pour supprimer la version WordPress, ajoutez simplement la fonction suivante
dans votre fichier functions.php qui sera dans votre fichier de thème.
Utilisez uniquement le plugin et les thèmes de confiance : -
Il est toujours recommandé de toujours télécharger et utiliser les thèmes des plugins WordPress et la reproduction des thèmes. Vous ne devez jamais installer les plugins ou les thèmes (Nulled) à partir d'autres sources non restreintes. Habituellement, les gens ont tendance à utiliser gratuitement les thèmes et les plugins premium des sources non fiables. Il s'agit d'un piège des attaquants, ils prennent les plugins et thèmes premium et insèrent le code malveillant dans les plugins et les thèmes, ce qui envoie des informations précieuses de votre site à l'attaquant pour pirater votre site. N'utilisez donc jamais les plugins provenant de sources non fiables et rappelez-vous, avant d'utiliser des plugins ou des thèmes provenant d'autres ressources, vous pouvez tester les plugins sur votre site de démonstration WordPress et tester avec certains plugins de scanner qui fonctionnent de la même manière qu'un antivirus sur votre ordinateur. Voici quelques plugins que vous devriez utiliser sur votre site de démonstration pour analyser :
Le vérificateur d'authenticité de thème (TAC) obtient de ici
Le vérificateur d'authenticité de thème est un plugin gratuit qui vous aide à rechercher le code malveillant dans les thèmes.
Sucuri : -
Sucuri est l'un des meilleurs plugins de scanner pour votre WordPress qui analyse votre site WordPress complet pour obtenir un code malveillant sur votre site. Sucuri propose une version payante qui propose la suppression du code malveillant. Il existe une version gratuite de ce plugin, mais le plugin payant offre un excellent support à votre site.
Analyseur d'exploitation : - Si vous recherchez la meilleure alternative au Sucuri, vous devriez vous procurer l'Exploit Scanner.
Suppression des plugins et thèmes indésirables.
Même s'il n'y aura pas d'effet direct sur les performances de votre site WordPress, vous devez toujours supprimer les plugins et les thèmes indésirables et inutilisés sur votre site. Parce qu'il y a certaines situations qui ont été discutées sur les formulaires WordPress, ce site est piraté avant les plugins inutilisés .
Mise à jour des clés de sécurité WordPress
WordPress utilise certaines clés de sécurité qui sont un ensemble de lettres, de chiffres et de symboles aléatoires pour crypter les informations contenues dans les cookies. Voici comment mettre à jour les clés de sécurité WordPress sur votre site.
Obtenez d'abord le jeu de clés de sécurité à partir de ici.(Générateur de clé de sécurité WordPress officiel).
Dès que vous cliquez sur le lien, les clés seront générées. Copiez-les et placez-les dans le fichier wp-config.php. Si les valeurs sont déjà présentes dans le fichier, remplacez-les par les clés nouvellement générées.
Désactivez l'édition de fichiers : -
WordPress par défaut vous permet de modifier les fichiers php (des plugins et des thèmes) depuis votre tableau de bord WordPress. Ce qui est en fait une excellente fonctionnalité, mais cela peut être utilisé à des fins malveillantes si vous donnez accès à d'autres personnes (autorisant les inscriptions). Il est donc conseillé de désactiver cette fonctionnalité pour éviter des problèmes inutiles.
Vous pouvez simplement ajouter la ligne suivante
define ('DISALLOW_FILE_EDIT', vrai);
dans le fichier wp-config.php.
Notez que cela ne peut pas empêcher l'attaquant d'exécuter le code depuis le back-end, cela s'arrêtera au frontend. L'ajout de cette ligne à votre fichier supprimera toutes les capacités d'édition php pour chaque utilisateur.
Modifiez le préfixe de base de données WordPress par défaut : -
WordPress tandis que l'installation automatique crée une nouvelle base de données pour votre site WordPress. Par défaut, WordPress crée une nouvelle base de données avec wp_ comme préfixe de table. Cela permet à vos attaquants et robots de connaître facilement les tables de votre base de données sur lesquelles ils doivent attaquer. Ainsi, afin d'arrêter cela, nous devons changer le préfixe de la base de données de la valeur par défaut en préfixe généré de manière aléatoire. (Notez que certains hébergeurs remplacent automatiquement le préfixe de table par défaut, en ce sens qu'il n'est pas nécessaire de le modifier).
Utilisez ce plugin Changer le préfixe DB pour changer le préfixe de votre base de données depuis votre tableau de bord WordPress
Désactiver la navigation dans le répertoire:-
Vous devez désactiver la navigation dans les répertoires sur votre site WordPress. Si vous activez la navigation dans les répertoires de votre site, le monde entier peut voir les répertoires présents sur votre site, ce qui révèle la structure de votre site et des informations précieuses aux attaquants. Vous pouvez arrêter cela en ajoutant un fichier index.html ou index.php vide dans chaque fichier. Cette méthode est utile pour les petits sites avec moins de répertoires. En cas de gros, le processus prend du temps, nous pouvons donc ajouter cette petite ligne au fichier .htaccess.
options de -Indexes
Protégez votre wp-config.php
La protection du fichier wp-config.php du monde extérieur est indispensable car ce fichier contient une grande quantité d'informations sensibles sur votre site. Donc, donner accès à ce fichier au monde extérieur, c'est simplement les inviter avec un tapis rouge à pirater votre site.
Voici comment vous pouvez protéger votre fichier wp-config.php. Ajoutez les lignes suivantes à votre fichier .htaccess.
<Files wp-config.php/>
order allow,deny
deny from all
</Files>
Protégez votre fichier .htaccess
Protéger le fichier .htaccess si important. Vous pouvez protéger le fichier .htaccess du monde extérieur en ajoutant les lignes suivantes à votre fichier .htaccess
<Files .htaccess/>
order allow,deny
deny from all
</Files>
Ne plus afficher les messages d'erreur : -
Vous devez arrêter d'afficher les messages d'erreur sur votre page de connexion. Parce que lorsque vous entrez des informations d'identification non valides sur votre page de connexion, WordPress affiche un exemple de message d'erreur générique lorsque vous entrez un mauvais nom d'utilisateur, vous obtenez un message d'erreur comme suit : ERREUR: Nom d'utilisateur invalide et lorsque l'attaquant entre le nom d'utilisateur correct et le mauvais mot de passe, le message d'erreur sera Mot de passe invalide pour le mot de passe donné. Ici, il donne un indice complet à l'attaquant pour gagner du temps. Donc évitez cela nous pouvons simplement ajouter la fonction suivante au fichier functions.php (présent dans votre thème actuel)
add_filter('login_errors',create_function('$a', "return null;"));
Ajouter une liste noire 5G : -
L'ajout de la liste noire 5G à votre site offre une protection supplémentaire à votre site contre les mauvaises demandes et les activités malveillantes sur votre site.
Voici une liste complète de la liste noire 5G, ajoutez ce script à votre fichier .htaccess. Ce script de Jeff de perishablepress est totalement sûr à utiliser. Si vous rencontrez un problème après avoir ajouté ce script, veuillez envisager de le supprimer ou d'en trouver la raison.
# 5G BLACKLIST/FIREWALL (2013) # @ http://perishablepress.com/5g-blacklist-2013/ # 5G:[QUERY STRINGS] RewriteEngine On RewriteBase / RewriteCond %{QUERY_STRING} ("|%22).*(< |>|%3) [NC,OR] RewriteCond %{QUERY_STRING} (javascript:).*(;) [NC,OR] RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|% 3) [NC,OR] RewriteCond %{QUERY_STRING} (|../|`|='$|=%27$) [NC,OR] RewriteCond %{QUERY_STRING} (;|'|"|%22). *(union|select|insert|drop|update|md5|benchmark|or|and|if) [NC,OR] RewriteCond %{QUERY_STRING} (base64_encode|localhost|mosconfig) [NC,OR] RewriteCond %{QUERY_STRING} ( boot.ini|echo.*kae|etc/passwd) [NC,OR] RewriteCond %{QUERY_STRING} (GLOBALS|REQUEST)(=|[|%) [NC] RewriteRule .* - [F]
Voilà, ce sont les quelques mesures de sécurité de base WordPress que vous devez prendre sur votre site.
