Depuis son introduction il y a plus de deux décennies, WordPress a grandi (et grandi) maintenant être nommé en toute sécurité comme le plus populaire au monde système de gestion de contenu. Aujourd'hui, plus d'un quart des sites Web existants sont exécutés sur WordPress.
Pourtant, depuis des temps immémoriaux, plus quelque chose est populaire, plus les gens veulent en tirer parti pour des moyens néfastes. Il suffit de regarder Microsoft Windows et le grand nombre de malwares, virus et autres exploits conçu pour cibler uniquement ce système d'exploitation spécifique.
Pourquoi votre WordPress blog est une cible précieuse?
Au cas où vous vous demanderiez pourquoi diable un pirate voudrait contrôler votre Wordpress blog, il y a plusieurs raisons dont;
- L'utiliser pour envoyer secrètement des spams
- Volez vos données telles qu'une liste de diffusion ou des informations de carte de crédit
- Ajouter votre site à un botnet qu'ils pourront utiliser plus tard
Heureusement, WordPress est une plateforme qui vous offre une multitude d'opportunités pour vous défendre.
Ayant moi-même participé à la configuration et à l'administration de plusieurs sites Web et blogs, j'aimerais partager avec vous certaines des choses les plus élémentaires que vous pouvez faire pour sécuriser votre WordPress site.
Voici des astuces de sécurité exploitables 10 que vous pouvez utiliser.
Sécurisez votre WordPress Page de connexion
La protection de votre page de connexion ne peut pas être accomplie par une technique spécifique, mais il existe certainement des étapes et des plugins de sécurité gratuits que vous pouvez suivre pour rendre les attaques beaucoup moins susceptibles de réussir.
La page de connexion de votre site est certainement l'une des pages les plus vulnérables de votre site Web, alors commençons à rendre votre WordPress page de connexion au site un peu plus sécurisée.
1. Choisissez un bon nom d'utilisateur administrateur
Utilisez des noms d'utilisateur inhabituels. Auparavant avec WordPress, vous deviez commencer avec un nom d'utilisateur administrateur par défaut, mais ce n'est plus le cas. Pourtant, la plupart des nouveaux administrateurs Web utilisent le nom d'utilisateur par défaut et doivent changer leur nom d'utilisateur. Vous pouvez utiliser Admin Renamer Extended pour changer votre nom d'utilisateur admin.
Le forçage brutal des pages de connexion est l'une des formes courantes d'attaques Web auxquelles votre site Web est susceptible d'être confronté. Si vous avez un mot de passe ou un nom d'utilisateur facile à deviner, votre site Web ne sera certainement pas seulement une cible, mais éventuellement une victime. Par expérience, la plupart des tentatives de piratage de site tentent de se connecter avec trois principaux choix de noms d'utilisateur. Les deux premiers sont toujours « admin » ou « administrateur », tandis que le troisième est généralement basé sur votre nom de domaine.
Par exemple, si votre site est crazymonkey33.com, le pirate peut essayer de se connecter avec 'crazymonkey33'.
2. Assurez-vous d'utiliser un mot de passe fort
À ce stade, vous penserez probablement que les utilisateurs sauront utiliser des mots de passe complexes et puissants pour protéger leur compte, mais nombreux sont ceux qui pensent que le mot de passe est excellent.
Splash Data a compilé une liste de mots de passe fréquemment utilisés en 2018. Mot de passe par rang en termes d'utilisation.
- 123456
- Mot de passe
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- ensoleillement
- QWERTY
- iloveyou
Si vous utilisez l'un de ces mots de passe et que votre site Web reçoit du trafic, votre site Web sera presque certainement supprimé tôt ou tard.
Un mot de passe fort comprend un mélange de:
- Caractères majuscules et minuscules
- Être alphanumérique (AZ et az)
- Inclure un caractère spécial (!, @, #, $, Etc.)
- Au moins une longueur de caractères 8
Plus votre mot de passe est aléatoire, plus il sera sécurisé. Essayez d'utiliser un gestionnaire de mots de passe pour générer un mot de passe aléatoire fort si vous rencontrez des difficultés pour en trouver un.
3. Mettre en œuvre un reCaptcha
reCaptcha a été conçu pour empêcher les outils automatisés de fonctionner sur un site. Bien sûr, étant donné la complexité des outils de piratage actuels, ceux-ci peuvent être facilement contournés, mais au moins, il existe une couche de sécurité supplémentaire.
Il y a une un certain nombre de plugins reCaptcha vous pouvez utiliser avec votre installation une solution prête à l'emploi.
4. Utilisez l'authentification à deux facteurs (2FA)
2FA est une méthode d'authentification qui nécessite une vérification de votre connexion. Par exemple, une fois que vous êtes connecté avec votre nom d'utilisateur et votre mot de passe, le système peut envoyer un SMS sur votre téléphone mobile ou vous envoyer un code avec le code que vous devez entrer pour vérifier votre identité.
Cette méthode d'authentification offre une bonne protection et est utilisée par de nombreuses banques et institutions financières aujourd'hui. Encore une fois, ce besoin peut facilement être satisfait avec un Plugin 2FA.
Découvrez comment miniOrange (un plugin 2FA) fonctionne avec WordPress connectez-vous dans la vidéo suivante.
T5. Renommez votre URL de connexion
La plupart des pirates tenteront de se connecter via la valeur par défaut wordpress page de connexion, qui est généralement quelque chose comme
sample.com/wp-admin.
Pour ajouter une autre couche de protection, modifiez l’URL de la page de connexion rapidement et sans effort avec un outil comme WPS Masquer Connexion.
6. Limitez le nombre de tentatives de connexion
Il s’agit d’une technique extrêmement simple pour arrêter les attaques par force brute sur votre page de connexion. Une attaque par force brute fonctionne en essayant d'obtenir votre nom d'utilisateur et votre mot de passe en essayant plusieurs combinaisons à plusieurs reprises.
Si l'adresse IP particulière qui perpétre l'attaque est suivie, vous pouvez alors bloquer les tentatives répétées de force brute et assurer la sécurité de votre site. C'est aussi pourquoi les attaques DDOS globales se produisent avec plusieurs adresses IP avec différentes origines d'attaque, pour lancer des services d'hébergement et la sécurité d'un site web au dépourvu.
Connexion LockDown et Solution de sécurité de connexion les deux offrent d'excellentes solutions pour protéger les pages de connexion de votre site Web. Ils suivent les adresses IP et limitent le nombre de tentatives de connexion pour protéger votre site Web.
Durcir le mur de sécurité du site
Nous avons discuté de diverses tactiques pour sécuriser votre WordPress page de connexion - les étapes mentionnées ci-dessus sont les bases que vous pouvez effectuer. Vous devez également savoir que certains hébergeurs imposent certaines de ces pratiques de sécurité à leurs utilisateurs. Il existe un certain nombre de autres pratiques de sécurité que vous pouvez mettre en œuvre sur vos sites.
7. Protégez votre répertoire wp-admin
Le répertoire wp-admin est le cœur de votre WordPress installation. Comme protection supplémentaire, protégez ce répertoire par mot de passe.
Pour ce faire, vous devrez vous connecter au panneau de contrôle de votre compte d'hébergement. Que vous utilisiez cPanel ou Plesk, l'option que vous recherchez est 'Répertoires protégés par mot de passe".
Alternativement, vous pouvez protéger un répertoire par mot de passe en ajustant votre .htaccess et les fichiers .htpasswds. Un guide détaillé étape par étape et un générateur de code sont disponibles gratuitement sur Lecteur dynamique.
Notez que la protection par mot de passe de votre dossier wp-admin briser AJAX public pour WordPress - vous devrez autoriser les autorisations pour admin ajax via .htaccess pour éviter toute erreur de site.
8. Utiliser SSL pour chiffrer les données
Outre le site lui-même, vous souhaiterez également protéger la connexion entre vous et le serveur. C'est ici que SSL entre pour crypter vos communications. Grâce à une connexion cryptée, les pirates ne pourront pas intercepter de données (telles que votre mot de passe) lors de la communication avec votre serveur.
En dehors de cela, il est également bon de mettre en œuvre SSL dès maintenant, car les moteurs de recherche pénalisent de plus en plus les sites qu’ils considèrent «non sécurisés».
Pour les blogueurs individuels et les petites entreprises, un SSL gratuit et partagé - que vous pouvez généralement obtenir auprès de votre hébergeur, Let's Encryptou Cloudflare - est généralement plus que suffisant. Pour les entreprises qui traitent le paiement des clients, il vaut mieux que vous acheter un certificat SSL dédié à partir de votre hôte Web ou d'une autorité de certification.
En savoir plus sur SSL dans notre complète Guide AZ pour SSL.
9. Utilisez un réseau de distribution de contenu (CDN)
Bien que cela n'empêche pas votre site d'être piraté, cela aide à atténuer les attaques malveillantes contre lui. Certains pirates visent à faire tomber des sites Web, les rendant inaccessibles au public. Un CDN aidera à amortir le coup d’un Distributed Denial of Service attaque sur votre site.
En plus de cela, cela aide également votre accélérer votre site un peu en mettant en cache du contenu. Pour explorer cette option, regardez vers Cloudflare par exemple. Cloudflare offre des services CDN à des niveaux de tarification à plusieurs niveaux, de sorte que vous pouvez même utiliser gratuitement les fonctionnalités de base.
En savoir plus sur comment Cloudflare travaux et les avantages d'utiliser le service.
10. Assurez-vous que TOUS vos logiciels sont à jour
Peu importe la qualité ou le coût des logiciels, il y aura toujours de nouvelles faiblesses qui pourraient les laisser ouvertes à l'exploitation. WordPress ne fait pas exception et l'équipe publie constamment de nouvelles versions avec des correctifs et des mises à jour.
Les pirates cherchent presque toujours à tirer parti de la faiblesse et un exploit connu qui reste sans solution consiste simplement à poser des problèmes. Cela vaut deux fois plus pour les plugins qui sont souvent créés par des entreprises beaucoup plus petites et disposant de moins de ressources.
Si vous utilisez des plugins, assurez-vous que les mises à jour sont publiées régulièrement ou envisagez de trouver plugins populaires avec des fonctionnalités similaires qui sont maintenues à jour.
Cela dit, je ne vous recommande PAS d'utiliser automatique WordPress et mises à jour des plugins, surtout si vous utilisez un site actif. Certaines mises à jour peuvent causer des problèmes, que ce soit en interne ou par un conflit avec d'autres plugins et paramètres.
Idéalement, créez un environnement de test qui reflète votre site actif et testez les mises à jour. Une fois que vous êtes certain que tout fonctionne correctement, vous pouvez appliquer la mise à jour au site en direct.
Les panneaux de contrôle tels que Plesk vous offrent la possibilité de créer un site Web cloner à cette fin.
11. Sauvegarde, sauvegarde et sauvegarde!
Quelles que soient les mesures de sécurité ou votre prudence, les accidents se produisent. Epargnez-vous des chagrins et des centaines d’heures de travail en vous assurant simplement que vous disposez des services de sauvegarde adéquats.
Normalement, votre hôte Web possède au moins des fonctionnalités de sauvegarde de base, mais si vous êtes paranoïaque comme moi, veillez toujours à effectuer vos propres sauvegardes indépendantes. La sauvegarde n’est pas aussi simple que de copier certains fichiers, mais vous devez également prendre en compte les informations de votre base de données.
Recherchez une solution de sauvegarde qui a fait ses preuves. Même un petit investissement vaut la peine d'économiser sur les larmes en cas d'urgence. Quelque chose comme BackupBuddy peut vous aider à tout sauvegarder, y compris votre base de données.
12. Votre hébergeur compte!
Bien que traditionnellement, les sociétés d'hébergement Web nous offraient simplement de l'espace pour héberger nos sites Web, les temps ont changé. Fournisseurs d'hébergement Web, comprendre les vulnérabilités, se sont mobilisés pour augmenter la sécurité avec de nombreux services à valeur ajoutée pour compléter leur hébergement Web.
Prends pour exemple HostGator, l'un des noms les plus établis du jeu. En dehors de la base Cloudflare fonctionnalités, HostGator (au prix de 10 $ + / mois) est également livré avec une protection anti-spam, une suppression automatisée des logiciels malveillants, des sauvegardes automatisées, la confidentialité du domaine et plus encore.
Géré WordPress hébergement fournisseur, Kinsta, construisez des pare-feu matériels et surveillez activement leurs serveurs contre les logiciels malveillants et les attaques DDoS grâce à son système personnalisé.
Si cela ne vous concerne pas encore, je vous encourage vivement à examiner les fonctions de sécurité fournies par votre hôte et à les comparer à celles actuellement disponibles.
Pour une liste complète, vous pouvez consulter Compilation des meilleurs hébergeurs Web par WHSR ici.
Maintenant quoi?
Avant de vous déchaîner et de commencer à parcourir Internet paniqué à la recherche de solutions de sécurité d'un million et une, prenez une profonde respiration. Comme pour tout le reste, quelqu'un vous aura déjà aidé à paniquer et à chercher une solution.
Même si vous implémentez autant de solutions de sécurité que vous pouvez trouver, êtes-vous sûr Tu es en sécurité?
Voici où quelque chose comme Ninja de sécurité entrez, ce qui vous permet de rechercher des faiblesses sur votre site.
Il existe plusieurs raisons impérieuses d’utiliser quelque chose comme Security Ninja, mais laissez-moi vous dire que c’est un outil que je vous recommanderais d’utiliser à différentes étapes de votre parcours pour sécuriser votre site.
Commencez par l’exécuter sur votre site Web "en l’état" - avant d’apporter des modifications. Laissez le plugin poke et prod votre site avant de vous donner les résultats.
Ensuite, en fonction de ces résultats, veillez à sécuriser votre site. Security Ninja effectue plus que des tests 50 pour sonder vos défenses. Même après avoir effectué vos modifications, exécutez-le à nouveau (et chaque fois qu'il y a des modifications sur le site ou des mises à jour de plug-ins) juste pour tester votre site.
Si cela vous semble un peu trop de travail, Security Ninja est également livré avec une foule de modules supplémentaires (version pro, site unique $ 29) qui peut vous aider à résoudre les problèmes rencontrés.
Parmi les autres fonctionnalités clés de ces modules, citons:
- Analyser les fichiers principaux de WP pour identifier les fichiers problématiques
- Restaurer les fichiers modifiés en un seul clic
- Correction des mises à jour automatiques de WP cassées
- Interdire 600 millions de mauvaises adresses IP collectées sur des millions de sites attaqués
- Liste des mises à jour automatiques, pas besoin de maintenance ou de travail manuel
- Protégez le formulaire de connexion des attaques par force brute
Conclusions Finales
Bien que tout cela puisse sembler un peu excessif à la moyenne WordPress utilisateur, je vous assure que tout cela (et plus) est nécessaire. Ignorant les statistiques mondiales de piratage et autres pendant un certain temps, permettez-moi de partager avec vous quelques informations personnelles sur l'un des sites les plus obscurs que j'aide à gérer.
A l'origine commencé comme un simple site biographique, j'ai créé www.timothyshim.com. De toute évidence, c’était juste quelque chose que j’avais configuré et que la plupart du temps je laissais seul, simplement comme point de référence. Sur chaque période d'un mois, ce site qui essentiellement ne fait rien et ne collecte aucune donnée, visages sur les attaques 30 - une combinaison de force brute et de forces complexes.
Tout ce qu’il faut, c’est que l’un d’eux réussisse et j’aurais un vraiment mauvais jour.
