Comment protéger un site Web? (guide complet de sécurité du site Web)
Sécurité du site? Pourquoi la sécurité du site Web est – elle importante? Comment protéger le site contre les pirates informatiques?
Qu’est – ce que la sécurité du site Web? Bien que vous preniez des mesures pour protéger votre site Web, il est important de reconnaître que la sécurité du site Web est un processus continu. Les hackers sont un groupe créatif, de sorte que la menace évolue. Comme vous le verrez dans l’article suivant, un bon plug – in de sécurité fera la plupart du travail lourd sur les logiciels malveillants, mais la prudence et la vigilance sont essentielles pour confirmer la sécurité du site. Comment protéger le site contre les pirates informatiques? Pour avoir un plan viable pour protéger votre site, la première étape consiste à comprendre comment le site a été détruit. Selon nos recherches, le site Web a été violé de trois façons principales:
Raison de la corruption du site 90 +% → vulnérabilité dans le plug – in ou le sujet 5 +% → nom d’utilisateur et \/ ou mot de passe compromis
Pas beaucoup de sites gênants <1% → Servizi di host web scadenti Questa distribuzione dovrebbe costituire la base di come pianifichi la sicurezza del tuo sito web e dove allocare la maggior parte del tempo e delle risorse. 1. Proteggi il tuo sito web dalle vulnerabilità Gli hacker sono costantemente alla ricerca di siti Web vulnerabili. Non importa se il sito web è grande o piccolo. Hanno molto da guadagnare hackerando qualsiasi sito web. Nella nostra esperienza, oltre il 90% di tutti gli hack avviene perché gli hacker hanno identificato una vulnerabilità e l'hanno sfruttata.
Diamo un'occhiata un po' più a fondo in cosa sono le vulnerabilità. Questo è fondamentale da capire, in modo da poter modellare consapevolmente la strategia di sicurezza del tuo sito web in futuro. Che cos'è esattamente una vulnerabilità? Il tuo sito web è composto da 3 componenti principali: WordPress, plugin e temi. Questi sono tutti fondamentalmente software e, come qualsiasi software, contengono bug che a volte causano malfunzionamenti. I bug possono avere una serie di conseguenze: alcuni causano il rallentamento del tuo sito Web o generano un errore quando qualcuno lo visita. Questi sono fastidiosi e problematici, ma quelli più seri consentono a utenti non autorizzati (cioè hacker) di accedere al tuo sito web. Questo tipo di bug è noto come vulnerabilità.
Tipi di vulnerabilità Le vulnerabilità possono essere riassunte, come abbiamo fatto nel paragrafo precedente, come bug nel codice. Tuttavia ci sono alcuni tipi specifici che emergono più frequentemente di altri: Software obsoleto: è importante mantenere aggiornati il core, i plugin e i temi. Scarsa gestione dei ruoli utente: non concedere a tutti gli utenti l'accesso completo come amministratore. Input non sanificati: i campi di input devono controllare l'input prima della memorizzazione e/o dell'esecuzione. Hack possibili su un sito Web non protetto Le vulnerabilità sono strettamente legate ai tipi di attacchi che consentono e spesso si parla in modo intercambiabile. Gli attacchi più comuni che WordPress sperimenta sono:
Iniezioni di codice: in cui il codice dannoso viene inserito tramite campi di input ed eseguito dal codice del sito Web o dal database. Una variante spesso vista di un'iniezione di codice in un'iniezione SQL, che è particolarmente eclatante per le applicazioni basate su database come WordPress Attacchi di scripting tra siti: questo tipo di vulnerabilità ruba i cookie degli utenti per impersonare o addirittura dirottare la sessione. L'accesso dell'utente mirato viene quindi utilizzato per attaccare il tuo sito web Attacchi di forza bruta: come suggerisce il nome, non c'è finezza in questo tipo di attacco. L'hacker bombarda la tua pagina di accesso con combinazioni di nomi utente e password nel tentativo di scoprire quella giusta. Spam SEO: tutto lo spam è serio, ma questo attacco colpisce dove fa più male al sito web: SEO. I proprietari di siti web spendono risorse lavorando sul loro SEO, solo per consentire a un hacker di trarre un vantaggio indebito inserendo pop-up e collegamenti a elementi illegali o del mercato grigio. Anche gli attacchi di spam SEO sono difficili da rilevare e spesso i siti Web subiranno gli effetti dannosi dello spam prima di rendersi conto di essere stati infettati. Attacchi di phishing: in questi attacchi, l'hacker tenta di impersonare un'entità legittima per indurre un utente a fornire le proprie informazioni volontariamente. Il phishing funziona in tandem tramite e-mail e un sito Web violato per ottenere queste credenziali.
Qual è l'effetto di una vulnerabilità? Plugin e temi sono installati su diverse migliaia di siti Web, quindi l'effetto di questo difetto è notevolmente amplificato. Gli sviluppatori responsabili di plugin e temi si sforzano di colmare queste falle di sicurezza nei loro prodotti rilasciando aggiornamenti. Questo è in realtà un motivo chiave per cui consigliamo di optare per plug-in premium quando possibile. La manutenzione regolare del software non può essere sufficientemente enfatizzata in una strategia di sicurezza del sito web. Ottimo, quindi il bug è stato corretto. Siamo al sicuro ora, giusto? Beh, non proprio. La scoperta di una vulnerabilità è un momento pericoloso per i proprietari di siti web.
Cosa succede quando viene scoperta una vulnerabilità? Le vulnerabilità vengono spesso scoperte dai ricercatori di sicurezza. Rivelano le loro scoperte al plugin o allo sviluppatore del tema. Come abbiamo detto nella sezione precedente, gli sviluppatori responsabili correranno per risolvere il problema e rilasciare un aggiornamento. Quando la vulnerabilità viene risolta, il ricercatore di sicurezza pubblicherà i risultati. Lo sviluppatore ha rilasciato una correzione, quindi i siti Web sono sicuri, giusto? Non proprio. Gli hacker leggono anche della vulnerabilità e cercano siti Web che non hanno aggiornato le loro versioni. Le vulnerabilità pubbliche tendono ad attrarre hacker alle prime armi (noti anche come script kiddies) perché ora possono sfruttare i siti Web senza sforzo. Sanno con la massima precisione dove si trova il bersaglio.
Cosa devi fare per proteggere il sito dalle vulnerabilità Parliamo ora dei passi concreti che puoi intraprendere per garantire la sicurezza del sito Web e proteggere il sito dagli hacker. Questi passaggi possono sembrare semplici, tuttavia sono modi efficaci per proteggere il tuo sito web. 1. Fai i backup I backup sono la parte più sottovalutata di una strategia di sicurezza. Non possiamo sottolineare abbastanza l'importanza di eseguire backup regolari. Sono la tua rete di sicurezza, l'unica cosa su cui puoi fare affidamento quando le cose vanno male. I backup ti aiutano a rimetterti in piedi rapidamente.
Tuttavia, non tutti i plugin di backup sono costruiti allo stesso modo. Molti falliscono quando ne hai più bisogno: al momento del restauro. Ci sono diversi fattori per scegliere il plugin giusto. Tenendo ben presenti questi criteri, abbiamo esaminato i migliori plugin di backup di WordPress disponibili. 2. Tieni aggiornati plugin e temi Questo può sembrare molto ovvio, specialmente se leggi la sezione precedente sull'importanza degli aggiornamenti. Tuttavia, è molto facile ignorare la notifica rossa sul cruscotto, a favore di qualcosa di più urgente. Pertanto, lo ribadiamo. Gli sviluppatori di plugin e temi rilasciano aggiornamenti con correzioni di sicurezza. Anche se scegli di rimandare l'installazione degli aggiornamenti (ma per favore non farlo), fallo almeno dopo aver letto le note di rilascio. 3. Scegli plugin e temi di buona qualità A questo punto, abbiamo ampiamente illustrato come i plugin e i temi centrali sono per il tuo sito web. Sebbene sia improbabile che ci sia mai un software completamente infallibile, ci sono fattori chiave da tenere a mente durante la scelta dei plugin e dei temi giusti per il tuo sito web: Il plug-in viene aggiornato regolarmente : un plug-in o un tema costantemente gestito dal suo sviluppatore potrebbe ricevere una patch di sicurezza se viene scoperta una vulnerabilità. È il plugin popolare : questa è un'arma a doppio taglio. Un popolare plugin con milioni di installazioni sarà il bersaglio degli hacker. Ma questi plugin tendono anche ad essere più sicuri perché molte più persone li stanno monitorando. È un plug-in premium : i plug -in a pagamento supportano il lavoro degli sviluppatori e quindi hanno molte meno probabilità di essere abbandonati rispetto a un plug-in gratuito. Questo non vuol dire che il software open source non sia mai sicuro, tuttavia con un prodotto premium paghi per l'assistenza clienti e la qualità del prodotto. Non installare mai plugin e temi annullati : il software Premium disponibile gratuitamente è problematico su molti livelli. Il software annullato ha spesso malware o backdoor che consentiranno agli hacker di accedere al tuo sito Web una volta installato. 4. Usa un firewall Non esiste un modo infallibile per impedire agli hacker o ai bot che progettano di attaccare siti Web come il tuo. Tuttavia possiamo ridurre considerevolmente la probabilità installando un firewall. Ecco un elenco dei migliori firewall WordPress tra cui scegliere. 2. Proteggi il tuo nome utente e password Abbiamo scoperto che circa il 5% dei siti Web compromessi era vulnerabile agli attacchi a causa di password deboli. Questo può sembrare un numero esiguo rispetto a un'attività dannosa, ma è comunque abbastanza significativo da attirare la tua attenzione. Perdere la password di amministratore del tuo sito è come perdere le chiavi di casa o della macchina. Con la chiave, il ladro ha il controllo completo sui tuoi beni preziosi. Allo stesso modo, con la password, gli hacker hanno accesso completo al tuo sito web. A questo punto, nemmeno un firewall o un plug-in di sicurezza possono impedire agli hacker di danneggiare il tuo sito web. La necessità di password complesse continua a essere fortemente sostenuta, ma a causa delle difficoltà ad essa associate, viene spesso ignorata dagli utenti del sito web. Prima di entrare nei meccanismi per avere credenziali solide, rispondiamo ad alcune domande comuni che le persone hanno su di loro. Come è possibile rubare una password? La risposta potrebbe sorprendere: l'hacker cerca di indovinare la password. Con questo, non intendiamo che stiano provando varie password manualmente, ma ci sono dei bot per farlo. Questo è anche noto come attacco di forza bruta o, se il bot sta indovinando le parole, un attacco del dizionario. Questi attacchi funzionano molto bene per diversi motivi: Password facili da indovinare: parole comuni, parole brevi, la stessa parola "password" in diverse permutazioni Dati di precedenti hack: c'è un motivo per cui le persone consigliano di utilizzare password diverse per servizi e siti Web diversi Come proteggersi dal furto di password
Serveur Cela se produit rarement, mais une fois qu’il se produit, il s’agit d’un grave accident qui met en danger des milliers de sites Web. L’installation d’un certificat SSL Secure Sockets Layer, communément appelé SSL, est un protocole sécurisé qui crypte toutes les communications avec un site Web. Une fois installé, il apparaît comme un verrou au début de l’URL du site. Les avantages de l’utilisation d’un certificat SSL sont les suivants: toutes les données entrant et sortant du site sont chiffrées, ce qui est un signe de confiance dans le site. En fait, la plupart des navigateurs marquent les sites sans SSL comme « dangereux » dans la barre d’adresse. Google aime les sites qui ont des certificats SSL et offre des récompenses même si le classement est plus élevé. Installez facilement un certificat SSL sur votre site Web. Cela ne prendra que très peu de temps et en vaudra la peine. Bonnes pratiques en matière de sécurité des sites Web comme nous l’avons dit au début, la sécurité des sites Web est une pratique continue. Dans cette section, nous énumérerons les pratiques qui devraient être intégrées dans la politique globale de sécurité du site. Une fois que vous vous y habituerez, votre petit investissement de temps et d’énergie sera récompensé plusieurs fois sur un site Web sécurisé. 1. Changez souvent le mot de passe nous savons que le réglage des mots de passe difficiles à deviner est compliqué, en particulier parce qu’ils sont souvent synonymes de difficulté à se souvenir. Nous pouvons également imaginer à quel point nous sommes frustrés quand on nous demande de changer régulièrement ce bon mot de passe. La raison en est que le mot de passe est le maillon le plus faible de la sécurité; Surtout si vous utilisez le même mot de passe pour plusieurs comptes. Même si un site Web est endommagé, vous pouvez être assuré que tous vos comptes peuvent être menacés. Des violations sont signalées toutes les quelques semaines et ce ne sont que des rapports. Quelque chose à retenir. Souvent, cela signifie des choses différentes pour différentes personnes. Un peu.
Les institutions financières telles que les banques exigent que les mots de passe soient remplacés tous les 90 jours. L’utilisation du gestionnaire de mot de passe est la voie à suivre. 2. Examiner les utilisateurs du site et suivre les nouveaux utilisateurs de l’Administrateur les hackers laissent généralement les utilisateurs de l’Administrateur afin qu’ils puissent visiter à nouveau le site. Par conséquent, un examen périodique des utilisateurs administratifs peut améliorer la sécurité du site. Deuxièmement, les collaborateurs du site peuvent changer. Si les utilisateurs n’ont plus besoin d’accès, il est préférable de supprimer leurs droits d’accès. Il y a deux raisons: vous ne voulez pas que les utilisateurs apportent d’autres modifications à votre site Web; Leurs comptes inactifs peuvent être piratés. Au fil du temps, nous continuerons d’ajouter de nouveaux utilisateurs à notre site Web au fur et à mesure que nous construirons notre site Web avec le contenu et la conception les plus récents. Nous devrions examiner régulièrement ces utilisateurs. Vous pouvez suivre de bonnes pratiques de sécurité vous – même, mais nuire à d’autres utilisateurs peut nuire à votre site. Lorsque vous ajoutez des utilisateurs, n’offrez que le niveau d’accès nécessaire dans la mesure du possible. Par exemple, si quelqu’un écrit un article, ne lui donnez pas les privilèges d’administrateur. 3. Créer un journal d’activités sur votre site Web nous aimons beaucoup créer un journal d’activités sur notre site Web. Il nous a sauvés plusieurs fois. Les hackers n’utilisent pas l’api de base de wordpress pour éditer des sites Web, de sorte que bon nombre des changements que vous faites ne seront pas reflétés dans le Journal des tâches. Cependant, ils peuvent laisser des traces, comme la création d’un compte Administrateur pour accéder au site. Ces opérations inattendues peuvent aider à détecter le piratage. Inversement, si le changement a été fait par un contributeur, le Journal des activités peut aider à éviter une panique inutile lorsque vous voyez les changements apportés au site. 4. Bloquer PHP un entier C dans le dossier de téléchargement
La classe de vulnérabilité (plus précisément, l’exécution de code à distance) permet aux pirates informatiques de télécharger des fichiers PHP malveillants dans le dossier uploads. Les hackers peuvent l’utiliser pour exécuter tout code qu’ils veulent sur votre site. En d’autres termes, ils ont un contrôle total sur votre site. Si vous arrêtez d’exécuter des fichiers PHP dans le dossier uploads, vous pouvez efficacement éliminer l’attaque. Ne t’inquiète pas. Empêcher le téléchargement de fichiers PHP dans le dossier est sûr parce qu’ils ne devraient pas être là en premier lieu. Le dossier de téléchargement est l’endroit où les fichiers médias sont stockés, pas les scripts. Si vous utilisez le plug – in de sécurité malcare, vous pouvez bloquer l’exécution PHP dans le dossier téléchargements en cliquant sur un bouton. Pour les sites Apache \/ litespeed, nous pouvons ajouter des règles à htaccess pour appliquer cette protection. Choses à éviter lors de la protection d’un site une recherche rapide sur Google vous donnera de nombreux conseils et stratégies pour protéger votre site. Plusieurs plug – ins de sécurité offrent également d’autres options pour protéger votre site contre le craquage de mot de passe. La protection de votre site Web est très importante pour ce que vous devez faire; Cependant, il y a des choses que vous devriez éviter. Les raisons de chacun des points dont nous discuterons ci – dessous sont différentes, mais fondamentalement, vos mesures devraient avoir des avantages évidents en matière de sécurité, en particulier lorsque vous demandez à vos utilisateurs de sauter d’autres questions de sécurité. Par exemple, si vous appliquez à la fois CAPTCHA et authentification à deux facteurs, l’accès à votre site devient une tentative, avec peu d’autres avantages. En appliquant toutes les options disponibles, vous pouvez obtenir un sentiment de sécurité supplémentaire, mais ces options ne sont pas importantes dans l’analyse coûts – avantages. Masquer la page d’ouverture de session de WP vous pouvez voir sur de nombreux forums: changer la page d’ouverture de session de WP en URL personnalisée du site. La logique est que si un hacker
S’ils ne trouvent pas la page de connexion, ils ne peuvent pas utiliser la violence pour accéder à votre site. Il y a quelques défauts dans ce domaine: WordPress vous permet également de vous connecter en utilisant XML – RPC, ce qui rendra votre site difficile à utiliser. Si vous oubliez l’URL spéciale que vous avez créée pour vous – même au lieu d’un login WP, il est difficile de la récupérer. Si vous utilisez l’URL publique ou l’URL par défaut fournie par le plug – in de sécurité, le hacker est encore facile à deviner et a complètement perdu son utilité. Cacher cette page implique l’application de paramètres complexes à votre site, ce qui peut entraîner d’autres effets indésirables. Cela ne nous paraît donc pas utile. Une autre mesure de sécurité couramment utilisée est le blocage géographique. Il se peut que vous n’ayez pas besoin ou que vous ne vous attendiez pas à un trafic légal en provenance de certains pays, puis que vous décidiez de restreindre l’accès. Malcare supporte cette fonctionnalité, mais nous ne le recommandons pas parce que l’IP de la zone est imparfaite et peut contenir des erreurs. Si vous êtes coincé par erreur, il sera difficile de le récupérer. Vous pourriez finir par empêcher de bons robots comme Google de détruire votre site. Un bon pare – feu peut et protégera votre site contre les robots malveillants et le trafic inutile. Nous avons discuté des avantages des pare – feu dans la section précédente. 3. Protection par mot de passe répertoire WP admin le dossier WP admin est l’un des dossiers les plus importants de votre site Web. Bien sûr, il a attiré l’attention de nombreux hackers. Il semble donc sage de le protéger par un mot de passe, mais c’est contre – productif. Le mot de passe qui protège le répertoire WP admin interrompt la fonctionnalité Ajax sur le site WordPress. Ajax est une technique d’encodage qui charge une partie d’un site Web à partir d’un serveur sans changer la page actuellement vue. Si cela ressemble à un gobbledegook, cela signifie essentiellement qu’il vous donne de l’énergie
Administrateur. Nous l’avons déjà dit dans cet article, mais les hackers créent des comptes d’administrateur pour ré – accéder aux sites Web qu’ils ont piratés au cas où des logiciels malveillants seraient découverts. Changez tous les mots de passe: en supposant que vos identifiants aient été compromis, changez le mot de passe. J’espère que vous n’utiliserez pas le même mot de passe pour différents produits et services, sinon vous devriez également changer ces mots de passe. Modifier les identifiants DB (si possible): profil WP. Php contient les identifiants que le site WordPress utilise pour se connecter à la base de données du site. Dans de nombreux cas, l’accès à la base de données est limité même si les justificatifs d’identité de la base de données sont compromis. Cependant, pour certains hôtes, les pirates informatiques peuvent utiliser cette information pour modifier directement la base de données. Cela peut entraîner une réinfection du site. Modifier la clé de sécurité: WordPress utilise la clé de sécurité pour gérer les sessions des utilisateurs connectés. Pour en savoir plus sur ce qu’ils sont et sur la façon d’assurer la sécurité du site en les éditant. Configurer le pare – feu WordPress: Nous en avons discuté en détail dans cet article. Le pare – feu WordPress est la meilleure défense contre les robots malveillants et le trafic malveillant. Conclusion: Nous commençons par cet article sur la façon de protéger un site Web avec un logo clair: la première étape consiste à considérer la sécurité du site de la bonne façon. C’est un processus continu. Toute organisation dispose d’une pratique exemplaire normalisée, à savoir des contrôles réguliers de la sécurité des sites Web. La situation de la menace évolue et les hackers trouveront des moyens plus créatifs de vaincre la défense. Les spécialistes de la sécurité sont restés vigilants et c’est le principal résultat de tout ce que nous avons appris au fil des ans de recherche: ne vous contentez pas de cela. Avez – vous des idées à partager? Écrivez – nous ou contactez – nous sur les médias sociaux. J’aime écouter vos pensées. FAQ ch
Visites 6. Voir périodiquement les rôles des utilisateurs 7. Définir le Journal des tâches