Les plats clés

• Prioriser la sécurité du serveur en choisissant un h?te en fonction de la sécurité et de la réputation, pas du prix. Assurez-vous que l'h?te exécute des versions stables des logiciels de serveur, permet un pare-feu au niveau du serveur, permet des sauvegardes et des restaurations fréquentes et a une détection d'intrusion.
• Mettez toujours à jour WordPress, thèmes et plugins aux dernières versions dès qu'elles deviennent disponibles. Utilisez un gestionnaire de mots de passe pour générer des mots de passe complexes et les stocker en toute sécurité.
• Empêcher les attaques de force brute en ajoutant une couche supplémentaire de protection au niveau de l'écran de connexion avec HTTP Auth, en surveillant les adresses IP qui tentent de se connecter, de les verrouiller et de modifier le nom d'utilisateur de l'administrateur de ?l'administrateur? à votre propre nom ou quelque chose sinon.
• Utilisez des plugins de sécurité WordPress qui sont régulièrement mis à jour et très bien évalués par la communauté WordPress. Retirez régulièrement les plugins inutilisés et remplacez ceux non pris en charge pour minimiser les vulnérabilités potentielles.

Il n'y a pas de contestation de la popularité de WordPress, qui alimente plus de 74,6 millions de sites dans le monde, avec 48% des 100 meilleurs blogs de Technorati gérés par la plate-forme. Dans le monde en ligne cependant, tout ce qui est populaire est plus ouvert à l'attaque et WordPress ne fait pas exception. Cependant, les types d'attaques qui ont tendance à frapper les sites WordPress - à moins que vous ne soyez une grande marque - sont généralement réalisées par des personnes sans énorme savoir-faire technique. Ceux-ci sont souvent mentionnés aux ?enfants de script? car ils utilisent du code, des techniques et des kits communs afin de pirater des sites cibles.

La bonne nouvelle à ce sujet est que cela signifie que souvent une attaque peut être traitée rapidement et facilement. Il n'est pas nécessaire de se rendre au stade où une attaque endommage cependant, car la plupart peuvent être empêchées en premier lieu. Donc, aujourd'hui, nous verrons comment vous pouvez sécuriser votre installation et éviter les hacks communs.

Commencez par le serveur

Avant de penser à sécuriser votre site, vous devez commencer à partir de zéro et cela signifie vous assurer que votre serveur d'hébergement est sécurisé en premier lieu. En commen?ant par les bases, vous devez choisir un h?te basé sur la sécurité et la réputation et non sur le prix. Alors que je suis s?r qu'il y a des h?tes bon marché décents, pour la plupart des hébergements qui vous co?tent 2 $ par mois ne va pas réduire la moutarde.

La plupart des services d'hébergement WordPress gérés ont la réputation d'hébergement sécurisé. Ils n'autorisent pas tous certains plugins liés aux performances, vous devez donc vérifier d'abord pour voir exactement quel accès et niveau de contr?le vous avez.

La plupart d'entre eux offrent:

• Hébergement WordPress géré
• Mises à jour de sécurité automatiques
• Sauvegardes quotidiennes
• Points de restauration en un clic
• CACHING AUTALE
• Sécurité de niveau supérieur

Quel que soit l'h?te que vous décidez de vous accompagner, vous devez vérifier qu'ils offrent ce qui suit:

• Exécutez des versions stables du logiciel et du correctif serveur si nécessaire
• Activer un pare-feu au niveau du serveur
• vous permettre de sauvegarder et de restaurer souvent et facilement (site et base de données)
• Détection d'intrusion

Les h?tes gérés (tels que Wpengine par exemple) utilisent la mise en cache qui est passé par un CDN, donc si vous ne voulez vraiment pas utiliser un h?te WordPress géré, envisagez d'implémenter un CDN aux c?tés d'un plugin de mise en cache tel que W3 total W3 Cache. Il s'agit d'un moyen simple de configurer votre site afin que tout le trafic passant par les caches CDN passe ensuite également par une couche de socket sécurisée (SSL / TLS). Si vous avez besoin d'une main en train de contourner ces technologies, je recommanderais les guides visuels suivants de MaxCDN. Dans l'intérêt de la divulgation complète, je travaille pour MAXCDN, mais je suis s?r que vous trouverez des ressources utiles:

• Qu'est-ce qu'un CDN?
• Comment fonctionne SSL
• Configuration de WordPress avec W3 Total Cache avec un CDN

Malheureusement, les installations WordPress sur les serveurs partagés, plut?t que celles d'un VPS ou d'un serveur dédié, sont généralement installées et configurées d'une manière la plus facile pour l'h?te, mais pas nécessairement la plus sécurisée.

Notez que les configurations suivantes sont destinées aux utilisateurs avancés qui connaissent des taches de codage ou de base. Si vous ne l'êtes pas, demandez à votre développeur Web de configurer cela pour vous.

Connects, mots de passe et plugins

Juste un mot rapide sur celui-ci qui porte la répétition étant donné que plus de 70% des installations WordPress sont vulnérables à l'attaque. Assurez-vous toujours que lorsque vous avez installé WordPress, vous mettez à jour vers la dernière version dès qu'elle sera disponible. Il en va de même pour votre thème et pour tous les plugins que vous utilisez. Il en va de même pour votre logiciel de serveur. Cela peut sembler évident pour beaucoup d'entre vous, mais les statistiques parlent d'elles-mêmes, il existe de nombreuses versions plus anciennes de la plate-forme installées.

En ce qui concerne les mots de passe, je rencontre quotidiennement les gens qui utilisent toujours quelque chose comme ?CompanyName123? comme mot de passe et ce sont des gens qui sont dans l'industrie de la technologie et devraient savoir mieux. Donc, pour vous-même et tous les autres utilisateurs, générez des mots de passe complexes et stockez dans un gestionnaire de mots de passe tels que LastPass, c'est plus s?r de cette fa?on.

Appliquer des mises à jour automatiques

Pour vous assurer que les mises à jour mineures et majeures se déroulent automatiquement dans WordPress, vous pouvez apporter une petite modification au code qui les appliquera. Cela supprime la nécessité pour vous de le faire manuellement (seules les mises à jour mineures sont appliquées automatiquement à WordPress V.3.7 et plus tard), mais vous devez vous assurer d'activer des sauvegardes automatiques et fréquentes en cas de problème et cela enlève votre site.

Pour activer les mises à jour, appliquez le code suivant à votre fichier wp-config.php:

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

Il est plus courant que vous rencontriez un problème avec les mises à jour automatiques si vous utilisez des plugins qui ne sont pas mis à jour raisonnablement fréquemment, alors essayez de vous assurer que les plugins que vous installez sont maintenus et que la prise en charge est disponible si possible.

Désactiver les rapports d'erreur PHP

Si un plugin ou un thème que vous utilisez lance une erreur, il est possible que le message d'erreur résultant affiche votre chemin de serveur qui à son tour pourrait être intercepté par les pirates. Dans cet esprit, vous devez désactiver les rapports d'erreurs en ajoutant le code suivant à votre fichier wp-config.php:

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

Alternativement, si vous n'êtes pas confiant lorsqu'il s'agit de modifier vos fichiers de configuration, vous pouvez demander à votre h?te Web de le désactiver pour vous.

Stop Brute Force Attacks

Si vous deviez surveiller le nombre de tentatives de connexion sur votre site WordPress chaque jour, vous seriez probablement choqué. Ce sont des attaques courantes qui sont évitables dans une certaine mesure en utilisant des mots de passe complexes. Les attaques de force brute proviennent généralement d'un botnet qui tente de deviner votre mot de passe administrateur. Vous pouvez atténuer le risque et arrêter la plupart des attaques de force brute en ajoutant une couche de protection supplémentaire au niveau de l'écran de connexion avec Http Auth.

Pour ce faire, vous devrez d'abord protéger le mot de passe votre répertoire en configurant la protection par mot de passe .htaccess. Une fois que vous avez fait cela, vous devez ajouter le code suivant à votre fichier .htaccess:

<span>#Protect wp-login
</span><span><files wp-login.php="">
</span>AuthUserFile <span>~/.htpasswd
</span>AuthName <span>"Private access"
</span>AuthType Basic
<span>require user mysecretuser
</span><span></files></span>

Cela évoquera la zone d'authentification qui vous invite à mettre votre nom d'utilisateur et votre mot de passe et vous devrez alors vous connecter sur l'écran de connexion WordPress normal - vous devez bien s?r utiliser différents mots de passe pour les deux.

Vous pouvez également empêcher les attaques de force brute en surveillant les adresses IP qui tentent de vous connecter, puis de les verrouiller. Ou, vous pouvez simplement modifier le nom d'utilisateur admin de ?admin? à votre propre nom ou autre chose, puis supprimer le profil utilisateur de l'administration par défaut. Vous et votre webmaster / développeur devriez vraiment être les seules personnes ayant des droits administratifs sur le site.

Exploits basés sur l'URL

Ce sont vraiment un coup de couteau dans l'obscurité pour les pirates qui tentent de trouver des points faibles sur le site en faisant des demandes d'URL qui devraient renvoyer une erreur mais qui sont parfois terminées.

L'URL peut ressembler à ceci: http://yourwebsite.com/your/files/%3g/config

Généralement, un pirate utilisera un support d'ouverture dans l'URL donc tout d'abord, pour surmonter cela, il est nécessaire de générer une page 403 interdite pour arrêter toute demande contenant le support. Pour ce faire, collez simplement la ligne suivante dans votre fichier .htaccess:

<span>#Enable all core updates, including minor and major:
</span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>

Pour créer un ensemble de règles plus complexe, vous n'avez pas besoin d'écrire vous-même tout le code. Si vous êtes familier avec le travail avec .htaccess et que votre site est sur un serveur Apache, vous pouvez utiliser le pare-feu 5G qui est une liste noire pour les exploits communs. Vous n'avez pas non plus à utiliser toutes les lignes, car il est modulaire, et dans le cas où il produit des erreurs, vous pouvez supprimer la ligne par ligne jusqu'à ce que vous découvriez le problème.

Vous pouvez protéger le fichier .htaccess lui-même en ajoutant la ligne suivante au fichier:

<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>

Plugins de sécurité WordPress

Vous pouvez bien s?r utiliser l'un des plugins de sécurité qui sont également disponibles pour WordPress. Avant l'installation, vous devez vérifier que tout plugin que vous utilisez est pris en charge et mis à jour fréquemment. Si c'est le cas, vous devez également consulter les notes et les critiques pour déterminer ce qui est considéré comme le meilleur par la communauté WordPress.

N'oubliez pas non plus que si vous avez beaucoup de plugins sur votre installation, pour supprimer périodiquement tout ce que vous n'utilisez pas. Demandez-vous si la fonctionnalité que tout plugin donné vous permet est vraiment nécessaire et coupez celles dont vous pouvez faire. Pour les plugins que vous avez désactivés, vous devez également les supprimer car ils fournissent un moyen potentiel pour un pirate. Si les plugins ne sont plus pris en charge, vous devriez rechercher une alternative car elle est forcément à créer une vulnérabilité à un moment donné, si elle ne l'a pas déjà fait.

Pour la plupart, WordPress Security consiste à utiliser le bon sens et à comprendre que la plupart du temps, les hacks et les logiciels malveillants peuvent être mis aux erreurs par l'utilisateur final. Pour la plupart, les pirates entrent via des exploits dans les logiciels, donc si vous vous assurez que vous avez toujours les dernières versions, vous ferez du bon travail à vous protéger. Les pirates recherchent l'itinéraire le plus simple à moins qu'ils ne vous ciblent spécifiquement, alors resserrez votre site et ne leur facilitez pas la tache.

lecture plus approfondie

Si vous êtes intéressant de lire plus, voici une sélection d'articles précédents liés à la sécurité WordPress sur SitePoint qui méritent d'être jetés:

• ce que vous ne savez peut-être pas sur les plugins de sécurité WordPress
• Comment vous protéger des plugins WordPress voyous
• Le guide définitif de la maintenance WordPress
• Hébergement WordPress géré: les avantages et contre
• Vérification en 2 étapes pour WordPress à l'aide de Google Authenticator
• Découvrir les vulnérabilités WordPress avec facilité
• Un guide pour mettre à jour WordPress, plugins et thèmes
• Empêcher les attaques de force brute contre les sites Web WordPress

Les questions fréquemment posées sur la sécurisation WordPress des pirates et des attaques DDOS

Quelles sont les meilleures pratiques pour sécuriser mon site WordPress à partir de pirates?

Pour sécuriser votre site WordPress à partir de pirates, il est crucial de garder votre noyau, thèmes et plugins WordPress et vos plugins vers les dernières versions. Ces mises à jour incluent souvent des correctifs de sécurité qui peuvent protéger votre site contre les vulnérabilités connues. De plus, utilisez des mots de passe solides et uniques pour votre compte d'administration WordPress et limitez les tentatives de connexion pour empêcher les attaques de force brute. L'installation d'un plugin de sécurité réputé peut également fournir une couche supplémentaire de protection en scannant des logiciels malveillants et en bloquant l'activité suspecte.

Comment puis-je protéger mon site WordPress contre les attaques DDOS?

Les attaques DDOS peuvent être atténuées En implémentant un pare-feu d'application Web (WAF) qui peut filtrer le trafic malveillant. Des services comme CloudFlare et SucUri offrent des WAF qui peuvent protéger votre site contre les attaques DDOS. De plus, l'utilisation d'un réseau de livraison de contenu (CDN) peut aider à distribuer le trafic sur plusieurs serveurs, ce qui réduit l'impact d'une attaque DDOS. La sauvegarde régulière de votre site peut également vous assurer que vous pouvez rapidement récupérer en cas d'attaque.

Qu'est-ce qu'un pare-feu d'application Web (WAF) et comment protège-t-il mon site WordPress?

A Le pare-feu d'application Web (WAF) est une mesure de sécurité qui surveille, filtre et bloque le trafic HTTP vers et depuis une application Web. Il protège votre site WordPress en identifiant et en bloquant les modèles d'attaque courants, tels que l'injection SQL et les scripts inter-sites (XSS). En mettant en ?uvre un WAF, vous pouvez protéger votre site contre divers types d'attaques, y compris les attaques DDOS.

Comment puis-je m'assurer que mes mots de passe WordPress sont forts et sécurisés?

pour vous assurer que votre WordPress Word Les mots de passe sont solides et sécurisés, utilisez une combinaison de lettres, de chiffres et de caractères spéciaux en majuscules. évitez d'utiliser des mots ou des phrases courants et n'utilisez jamais d'informations personnelles telles que votre nom ou votre date de naissance. Envisagez d'utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes. De plus, modifiez régulièrement vos mots de passe et n'utilisez jamais le même mot de passe pour plusieurs comptes.

Quels sont les avantages de l'utilisation d'un réseau de livraison de contenu (CDN) pour mon site WordPress?

Un réseau de livraison de contenu (CDN) peut améliorer les performances et la sécurité de votre site WordPress. En distribuant le contenu de votre site sur plusieurs serveurs à travers le monde, un CDN peut réduire la charge sur votre serveur principal et fournir du contenu aux utilisateurs plus rapidement. Cela peut améliorer la vitesse et l'expérience utilisateur de votre site. De plus, un CDN peut aider à protéger votre site contre les attaques DDOS en distribuant du trafic sur son réseau.

Comment puis-je limiter les tentatives de connexion à mon site WordPress?

limiter les tentatives de connexion à votre site WordPress peut aider à prévenir les attaques de force brute. Vous pouvez le faire en installant un plugin de sécurité qui fournit cette fonctionnalité. Ces plugins peuvent bloquer une adresse IP après un certain nombre de tentatives de connexion ratées. Vous pouvez également définir la durée du verrouillage et personnaliser le nombre de tentatives de connexion autorisées.

à quelle fréquence dois-je sauvegarder mon site WordPress?

La fréquence des sauvegardes dépend de la fréquence à laquelle vous mettez à jour votre site. Si vous ajoutez ou mettez régulièrement le contenu, vous devriez envisager des sauvegardes quotidiennes. Si votre site ne change pas souvent, les sauvegardes hebdomadaires ou mensuelles peuvent être suffisantes. Quelle que soit la fréquence, assurez-vous de stocker vos sauvegardes dans un emplacement sécurisé et envisager d'utiliser un service de sauvegarde qui propose des sauvegardes automatiques.

Quels sont les plugins de sécurité réputés pour WordPress?

Il y en a plusieurs Plugins de sécurité réputés pour WordPress, y compris WordFence, Succuri et Ithemes Security. Ces plugins offrent une gamme de fonctionnalités, telles que la numérisation des logiciels malveillants, la protection contre le pare-feu et la sécurité de connexion. Ils peuvent également vous envoyer des alertes s'ils détectent une activité suspecte sur votre site.

Comment puis-je surveiller la sécurité de mon site WordPress?

La surveillance de la sécurité de votre site WordPress peut être effectuée à travers diverses méthodes. Les plugins de sécurité fournissent souvent des fonctionnalités de surveillance, vous alertant sur toute menace potentielle ou activité suspecte. La révision régulière des journaux d'accès de votre site peut également aider à identifier tout comportement inhabituel. De plus, envisagez d'utiliser un service qui fournit une surveillance et des alertes en temps réel.

Que dois-je faire si mon site WordPress est piraté?

Si votre site WordPress est piraté, la première étape consiste à identifier et supprimer les logiciels malveillants. Cela peut être fait à l'aide d'un plugin de sécurité ou d'un service de suppression de logiciels malveillants professionnels. Une fois le logiciel malveillant supprimé, mettez à jour tous vos noyaux, thèmes et plugins WordPress vers les dernières versions. Modifiez tous les mots de passe et révisez les comptes d'utilisateurs pour s'assurer qu'aucun comptes non autorisé n'a été créé. Enfin, restaurez votre site à partir d'une sauvegarde propre et surveillez étroitement votre site pour toute autre activité suspecte.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!