Guide complet de sécurité WordPress

Le site WordPress est l’une des cibles les plus fréquentes sur Internet. Ils ont été piratés plus souvent que n’importe quel autre type de site. Si vous, vos amis ou quelqu’un que vous connaissez n’avez jamais eu l’expérience d’être « noirci» par un site WordPress, alors vous avez beaucoup de chance, ou d’avoir des gens exceptionnellement attentifs autour de vous dans votre vie. La sécurité est importante parce que les sites WordPress sont en ligne et peuvent exécuter des centaines de milliers de lignes de code. WordPress est une plate – forme assez commune pour être la cible d’un attaquant. Lorsque Microsoft Windows est une plate – forme relativement nouvelle et dominante avec des titres réguliers sur les questions de sécurité, ses défenseurs soulignent que le nombre d’attaques est une raison importante. Bien que Microsoft ait fait des erreurs de sécurité, il y a aussi un certain nombre d’erreurs de sécurité qui sont généralement utilisées en premier sur les plateformes Windows.
Il en va de même pour WordPress. WordPress possède environ 27% d’internet. C’est bien, mais cela signifie aussi que si quelqu’un découvre que tous les sites WordPress présentent une vulnérabilité de sécurité de base, voire une grande proportion, il peut facilement collecter des milliers de serveurs en quelques heures. C’est pourquoi WordPress est un si grand objectif et c’est pourquoi nous devons prendre la sécurité de WordPress au sérieux. C’est très important. Voulez – vous devenir un expert en sécurité WordPress? WordPress est sûr et fiable WordPress Security with confidence est notre guide complet sur la sécurité WordPress.
En commençant par les principes généraux de sécurité et en passant à des étapes pratiques très concrètes, nous expliquerons tous les détails que vous devez comprendre dans un langage clair et sans termes. C’est un partenaire essentiel pour la sécurité de WordPress. Devenez un expert absolu et gagnez confiance en la sécurité du bon fonctionnement de WordPress. Lire plus ce guide n’est pas vraiment complet; Pas de meilleure Liste
Avec quelques – unes des voix les plus importantes dans le domaine de la sécurité WordPress, écoutez leurs opinions divergentes sur le sujet et aidez à faire la distinction entre les bons et les mauvais conseils. \ La définition des termes est au cœur de la réponse à cette question. WordPress est un vaste écosystème avec une grande variété d’habitudes de pratique et de configurations. Il y a des sites WordPress aujourd’hui qui sont absolument dangereux et qui risquent d’être détruits dans les prochaines 24 ou 48 heures. Mais si nous parlons de “wordpress”, c’est le logiciel principal que vous avez inclus dans les fichiers Zip que vous avez téléchargés de WordPress. Org, je pense que c’est très sûr. Un jour, il y a une chance de 0.00001% qu’il n’y ait pas de problème de Patch en raison des attaques du logiciel WordPress dans le monde entier.
WordPress dispose maintenant d’une fonction de mise à jour automatique intégrée, et la plupart des hôtes sont en mesure de s’assurer que votre site est mis à jour en cas d’erreur. C’est essentiel, car WordPress 4.9.1 peut avoir un problème de sécurité que quelqu’un va découvrir dans les mois ou les années à venir. Mais les organisations WordPress seront informées de ces nouveaux problèmes et publieront des versions comme 4.9.2 ou 4.9.20 à temps pour les résoudre. Outils WordPress
Livraison en cours. Leurs raisons varient, mais les raisons les plus courantes pour détecter les sites WordPress sont: envoyer du trafic à leur site, contrôler votre classement de référencement, envoyer Google Juice à leurs pages pour la fierté ou des informations politiques télécharger des pilotes: laisser vos visiteurs de site télécharger des logiciels malveillants, et plus encore. Porte de derrière pour votre site afin d’accéder plus tard aux données de votre site: liste d’utilisateurs, historique d’achat, etc. Spamming: Si votre site WordPress peut envoyer des e – mails, ils peuvent également utiliser la méthode d’envoi d’e – mails pour effectuer des calculs utiles en utilisant les ressources du serveur (principalement CPU), probablement en creusant des cryptocommandes comme bitcoin. C’est exactement ce que j’ai pensé après un peu de réflexion et de recherche. Il est possible qu’un hacker intelligent ait plus à ajouter à la liste. J’espère que cette liste montrera clairement que l’obscurité relative de votre site n’est pas une protection. Bien sûr, vous n’avez peut – être pas de liste d’utilisateurs intéressante, mais vous avez un serveur que vous pouvez utiliser pour créer dogecoin ou envoyer des pourriels. Parce que chaque serveur a un processeur, la grande majorité peut envoyer des e – mails. La sécurité de WordPress est basée sur l’ensemble de la pile et non sur une seule chose. Une autre chose importante à savoir sur le site WordPress est que WordPress est vraiment au sommet des différentes technologies et d’autres parties de la pile peuvent être vulnérables. Par exemple, WordPress travaille sur PHP. Comme WordPress, les versions PHP contiennent parfois des vulnérabilités de sécurité. Si vous le mettez à jour régulièrement, je n’ai pas de problème. Sinon, ces problèmes de PHP peuvent nuire au site WordPress. D’autres contenus dans la pile de sécurité sous – jacente du site WordPress peuvent également être mal configurés.
Cela diffère de l’obsolescence, mais a un effet similaire. Si vous n’êtes pas au courant de la configuration du serveur Web, vous pouvez apporter les changements nécessaires pour qu’il fonctionne correctement sans vous rendre compte que cela aura des effets négatifs considérables sur la sécurité. C’est plus fréquent que vous ne le souhaitez et c’est l’une des principales raisons pour lesquelles j’aime laisser la plupart des configurations non WordPress aux professionnels. Je ne dis pas que vous ne pouvez pas configurer votre serveur physique vous – même, ou acheter un VPS bon marché et le configurer avec les scripts de configuration des autres. Mais il est vraiment important de faire confiance aux configurations qui exécutent WordPress. Parce que si vous exécutez WordPress correctement, mais que vous n’exécutez pas MySQL correctement, de très mauvaises choses peuvent encore se produire. Conseils de sécurité WordPress non requis (mais communs). Avant de me joindre au Conseil d’administration, je voudrais que vous suiviez pleinement les recommandations que j’ai souvent vues ailleurs et qui, à mon avis, n’ont guère de sens. Si elle est exécutée, la plupart de ces conseils sont presque inoffensifs ou légèrement avantageux. Mais je ne le recommande pas parce que ses avantages, s’ils existent, sont trop faibles. De plus, il y a de fortes chances que passer du temps sur ces questions vous fasse perdre de vue des pratiques de sécurité plus précieuses. Vous pouvez faire ce que vous voulez, mais je ne pense pas qu’il vaut la peine de prendre le temps d’investir parce qu’ils ont un petit revenu. Ne vous inquiétez pas: cacher la version de WordPress nous permet de commencer par les conseils de sécurité les plus courants et inutiles: Vous devez cacher le numéro de version de WordPress ou le wordpress que vous utilisez. Le deuxième est difficile à prendre au sérieux, et le Premier ne vaut presque rien. Il est difficile de cacher WordPress que vous utilisez, et la plupart des gens essaient de le faire en éditant ou en supprimant des étiquettes Nel proprio sito S.A. Il n’y a pas de constructeur de Botnet raisonnable
Ordpress en a intégré un pour vous. Sinon, vous pouvez en acheter un vous – même à quelqu’un comme sucuri ou cloudflare. Cela devrait empêcher la possibilité d’une communication négative vers les paramètres de l’API, mais laisser passer les bonnes choses. Cela n’est pas garanti, mais c’est généralement une meilleure solution que de l’éteindre. Ne vous inquiétez pas: changer le préfixe de base de données WordPress la plupart des personnes configurées avec wordpress voient un champ texte qui nécessite un préfixe de base de données et voient la valeur WP qui y figure. WordPress stocke vos données – messages, commentaires, produits, etc – Dans une base de données dans un tableau commençant par ce préfixe. L’idée ici est que la valeur par défaut n’est pas très sûre et que vous devriez la définir à une valeur similaire à celle de jadfl \ uz, qui pourrait ne pas être disponible sur d’autres sites WordPress. Cette étape est peu susceptible de vous protéger. Lorsque vous le faites, vous êtes particulièrement à l’abri des attaques dites d’injection SQL. Peu de sites WordPress ont été détruits de cette manière, mais c’est certainement une façon de supprimer des sites. Mais pour ce faire, vous devez exécuter une version WordPress ou un plug – in qui est vulnérable à de telles attaques d’injection SQL. Ainsi, si vos plugins, thèmes et WordPress sont à jour, vous n’en tirerez pas beaucoup d’avantages supplémentaires. De plus, un attaquant peut facilement lister des tables de base de données s’il y a une vulnérabilité d’injection SQL dans le site. Ce n’est pas aussi rapide que de supposer aveuglément que les messages sont dans la table marquée WP _ posts, mais plutôt que c’est l’emplacement de votre table et ne vérifie pas que c’est peut – être le nombre d’attaquants parmi ceux qui sont assez intelligents pour effectuer l’attaque en premier. Je pense que si vous créez un nouveau site Web, ou si vous trouvez un moyen facile de changer le préfixe de la base de données, alors Continuez. C’était une victoire très légère.
Mais c’est une victoire. Cependant, si votre site fonctionne déjà avec le préfixe WP surtout si vous n’êtes pas un développeur, ne perdez pas de temps à essayer de le faire. Ne vous inquiétez pas: la dernière astuce pour renommer l’url de connexion WordPress que je ne pense pas qu’il vaut la peine de faire est de supprimer l’url de connexion de l’échantillon. Connexion com \/ WP. Un exemple similaire à PHP. L’URL com \/ my secret est utilisée pour l’inscription des chiots. Certains plug – ins de sécurité rendent cela facile, mais ce n’est pas une perte de temps totale. Si un attaquant ne trouve pas votre page de connexion, il ne peut même pas attaquer violemment votre mot de passe, et je ne peux pas être en désaccord avec ce point de vue. (nous en reparlerons plus tard.) Le problème avec ce Conseil est que si un attaquant a de la difficulté à trouver la page de connexion de votre site, vous (ou un collègue, etc.) ne le trouverez pas. Si vous avez un moyen sûr et fiable d’ajouter des signets aux pages que vous trouvez faciles à utiliser, faites – le par tous les moyens possibles. Il présente des avantages modestes en matière de sécurité. Mais si vous faites autre chose de la bonne façon, les avantages ne sont pas si grands. Si vous vous assurez que tous les comptes de votre site ont de bons mots de passe, il est peu probable que l’attaque de devinette de mot de passe réussisse. De plus, si vous avez un moyen de limiter le nombre de tentatives de connexion à votre compte en peu de temps, vous pouvez encore réduire les chances de succès des attaques de connexion. Un bon mot de passe combiné à des restrictions d’accès défaillantes est plus précieux qu’une URL sombre pour accéder à votre site sans ces protections. Meilleures pratiques générales en matière de sécurité WordPress Si vous voulez garder WordPress en sécurité, vous devez faire quelque chose de commun. Bien que je pense qu’il y a beaucoup de possibilités, ce sont des choses que vous devriez faire souvent. Ils ne sont pas là.
Un ordre plus précis, mais ils sont plus ou moins dans un ordre d’importance relative, et je pense que vous les donnerez. J’ajouterai que si vous n’exécutez que le premier de ces sites, vous bénéficiez d’un avantage de 50% sur les sites WordPress en ligne. Si vous êtes dans le top 5, il est peu probable que votre site WordPress ait des problèmes de sécurité irrécupérables. Si vous avez fait tout cela, je serais surpris si votre site était endommagé. Ce n’est pas une garantie, c’est juste mon idée. Faire: fournir un bon mot de passe pour WordPress la façon de base sur Internet que n’importe quel site WordPress peut être attaqué est simple: presque tous les robots sur les sites WordPress devine régulièrement le mot de passe du compte. Vous avez un mauvais mot de passe et vous risquez de perdre votre compte, donc votre site Web. Certains mots de passe sont manifestement faux: mot de passe p455w0rd [nom du site] Charlie iscarino il existe de nombreuses écoles différentes sur la façon de créer un bon mot de passe. Mais presque tout le monde est d’accord pour dire que ce n’est pas bon. Tout cela n’est pas bon parce que les devineurs de mot de passe peuvent facilement les trouver. Le mot de passe et ses variantes, et même les substitutions de caractères intéressantes et intelligentes, sont toujours en haut de la liste des scripts pour deviner le mot de passe. Le nom du site est également facile à deviner. Par \
Ordpress a été attaqué par un piratage notoire, et un robot pourrait essayer d’utiliser des problèmes connus dans les anciennes versions du logiciel sur votre site Web. Bien que ces vulnérabilités soient maintenant très anciennes, il est fort probable qu’un Robot essaie de les utiliser pour attaquer le site WordPress. C’est pourquoi vous devez mettre à jour WordPress. Non seulement le cœur de WordPress, mais aussi tous les plugins et thèmes que vous utilisez. Aujourd’hui, les vulnérabilités de sécurité des plug – ins sont plus courantes que celles des noyaux ou des thèmes WordPress, mais il y a des vulnérabilités de sécurité dans les trois plug – ins. Lorsque des chercheurs externes ou des développeurs internes se rendent compte qu’il y a des problèmes de sécurité avec certains codes dans leurs affaires, leur approche la plus responsable est de créer une nouvelle version qui n’a pas cette vulnérabilité. La plupart des joueurs de l’écosystème WordPress sont doués pour cela. C’est pourquoi vous devez faire votre part. Lorsqu’ils fournissent des mises à jour avec des corrections de bogues ou des correctifs de sécurité, vous devez les installer à temps. Vous pouvez demander à WordPress d’installer ces mises à jour pour vous, de le faire vous – même ou d’utiliser des plugins de gestion à distance WordPress tels que managewp. Les Hôtes WordPress hébergés résoudront ce genre de problèmes pour vous (nous utilisons et aimons siteground – pour plus d’informations, voir nos commentaires siteground). Si vous ne pouvez pas être dérangé, vous pouvez aussi engager quelqu’un pour le faire. Mais si vous prenez la sécurité de WordPress au sérieux, vous devez vraiment le faire. Ce que vous devez faire: Assurez – vous de créer des sauvegardes WordPress régulières et automatisées l’une des meilleures choses que vous pouvez faire pour protéger votre site est de vous assurer que vous avez la sécurité des données en cas d’erreur. Cela signifie que vous devriez avoir une sauvegarde à jour d’au moins un site pour reconstruire ou restaurer en cas d’erreur. Vaultpress est une solution de sauvegarde populaire et je pense que l’inclusion de vaultpress dans jetpack est la seule façon de sauvegarder
Les dernières sauvegardes fiables de votre site sont effectuées automatiquement. Comme nous sommes humains et donc sujets aux erreurs, si vous avez besoin de 1 à 10 clics sur le site WordPress pour mettre à jour la sauvegarde, vous pouvez parfois sauter cette étape. C’est pourquoi vous devriez essayer d’utiliser le plug – in de sauvegarde. Idéalement, il devrait également sauvegarder deux fichiers (photos, PDF, etc.) À propos de la base de données. Idéalement, il pousse ces données hors du serveur que vous hébergez, car cela maximisera la garantie que les pirates informatiques ne supprimeront pas facilement vos sauvegardes. Comme il s’agit d’un billet sur la sécurité WordPress et non sur la sauvegarde, je ne vais pas vous donner une liste complète de toutes les options et de leurs compromis. Mais je pense que updraft plus, jetpack \/ vaultpress et Backup Buddy sont ce à quoi je pense. Faire: vérifier régulièrement votre site WordPress n’empêche pas vraiment la première mauvaise chose de se produire sur votre site. En fait, la raison pour laquelle il est important de garder le site en état est principalement d’empêcher que quelque chose de pire ne se produise. Lorsque vous voyez des choses étranges sur votre site, il est plus facile de les réparer à l’avance. Les acquisitions de sites Web peuvent avoir le moins d’impact négatif possible, comme Google alertant les visiteurs de vos informations. Si vous ne visitez pas régulièrement votre site Web pour les mettre à jour, vous devriez au moins vous assurer que la partie publique de celui – ci est bien affichée régulièrement. Si vous ne pouvez pas le faire, vous devriez au moins vous assurer qu’un service externe (comme pingdom) rend le site Web en ligne. Ce que vous ferez pour vous assurer que vous pouvez restaurer la sauvegarde dans une nouvelle itération sur le site Live si quelque chose de mal ou d’étrange semble se produire. Ce n’est pas aussi bon que l’absence de mauvaises choses, mais c’est essentiel à la santé à long terme du site. Ce qu’il faut faire: éviter les codes WordPress peu fiables
Ou piratage Il est facile de trouver des pointeurs vers des thèmes WordPress piratés. Tu ne devrais pas faire ça. Ce n’est pas important pour la plupart des gens. La plupart d’entre nous n’utilisons que des logiciels WordPress. Org, un développeur que nous employons \/ coopérons, ou un développeur d’un autre fournisseur de confiance. Si tu fais tout ça, tu n’as pas à t’inquiéter. Cela s’adresse principalement à ceux qui tentent d’économiser de l’argent en piratant des plug – ins, des thèmes, etc. Ou quelqu’un qui essaie d’économiser de l’argent en obtenant du Code d’un \
Vos identifiants de connexion (ou de carte de crédit, etc.) Ils sont plus en sécurité. Par exemple, il est peu probable que quelqu’un regarde autour du wifi dans un café pour voir votre mot de passe. Par conséquent, vous devriez certainement obtenir un certificat HTTPS. Mais ne pensez pas qu’il protège de quelque manière que ce soit votre installation WordPress réelle sur le serveur, car ce n’est pas le cas. Une autre bonne mais un peu inconfortable étape consiste à utiliser l’authentification à deux facteurs sur le site. Lorsque vous le faites, vous aurez besoin de trois façons d’y accéder, pas deux. Nous utilisons habituellement votre nom d’utilisateur (ou votre adresse e – mail) et votre mot de passe pour nous connecter au site Web. Avec 2fa, vous avez aussi besoin de \
OST fait environ 5000 mots de long. C’est beaucoup de mots. J’espère que vous avez beaucoup appris si vous avez bien sauté ou (mieux) lu attentivement. Comme je l’ai dit au début, je ne pense pas que ce soit le Guide de sécurité WordPress complet. Mon cours s’appelle WordPress Security with confidence. Mais je pense que nous avons couvert la plupart des meilleures pratiques des propriétaires de sites WordPress. Si vous êtes un développeur, vous devez connaître d’autres types de meilleures pratiques de sécurité WordPress. Vous pouvez obtenir beaucoup de détails gratuitement dans mon article \