Liste de contrôle de confidentialité: 10 conseils pour protéger les visiteurs du site WordPress

Les entreprises de toutes tailles (blogs, PME, entreprises de commerce électronique, grandes entreprises, etc.) comprennent l’importance d’avoir un site Web. Sans elle, une entreprise ne peut utiliser que les méthodes les plus laborieuses (sans parler du temps) pour accroître la visibilité de la marque et transformer les perspectives par des appels froids et le bouche à oreille. De plus, si votre marque n’a pas de site Web, vous pouvez vous fier aux commentaires des clients sur des sites comme yelp, glassdoor, les médias sociaux pour déterminer ce que les consommateurs pensent de vous. Tu ne veux pas faire ça. Le site Web est un élément important de l’identité de chaque entreprise. Comme toute partie de votre entreprise qui communique directement avec le public, vous voulez vous assurer qu’elle offre une expérience sûre, fiable et professionnelle. Votre site Web est une extension de votre identité en tant que marque, entreprise et fournisseur de services, il est donc important de contrôler entièrement votre identité en ligne.
La conception du site Web, les capacités mobiles et la réactivité sont des facteurs importants qui aident la marque à renforcer sa crédibilité auprès de son public. Cependant, tous les efforts que vous déployez pour créer un site Web attrayant peuvent être inutiles sans les mesures de sécurité appropriées. Si votre site Web est supprimé, si une vulnérabilité à la sécurité entraîne le vol d’informations clients, ou si votre site Web devient un outil d’attaque pour les pirates informatiques, vos efforts de conception et de développement ne seront plus importants, en particulier pour ceux qui font confiance à vos visiteurs.
Parce que le Web est sombre, plein de peur… L’équipe de sécurité de WordPress fait tout ce qui est en son pouvoir pour s’assurer que des CMS sécurisés sont disponibles pour la création et la gestion de sites Web pour les clients. L’équipe comprend des experts en sécurité qui sont prêts à agir lorsqu’il existe un risque potentiel pour la sécurité dans le logiciel de base de WordPress ou dans des outils tiers tels que les plug – ins et les thèmes. Vous avez peut – être remarqué.
Des mises à jour seront publiées occasionnellement pour corriger la vulnérabilité du système. Toutefois, cela ne signifie pas que la plate – forme est entièrement exempte de risques. En raison de la popularité des outils tiers utilisés avec wordpress, CMS n’est pas toujours aussi sûr qu’ils le souhaitent. Cependant, ce n’est pas une raison de commencer à se méfier des plug – ins, des sujets ou des fournisseurs de logiciels tiers. Cela signifie simplement que vous devez prendre des mesures pour vous assurer que si l’équipe wordpress ne détecte pas les risques potentiels pour la sécurité, vous avez les outils pour surveiller et protéger votre site et ses visiteurs.
Alors qui est en danger? Certains d’entre vous pourraient penser, \
Clarifier que « tout » ne se réfère pas seulement à votre marque ou à votre entreprise; « tout » désigne toute personne qui a visité votre site Web. Comme vous le verrez bientôt, les attaques contre les sites Web ne visent pas toujours à discréditer l’entreprise (bien qu’il s’agisse presque d’un résultat final garanti). Les pirates informatiques exploitent souvent les vulnérabilités du site pour accéder aux données des clients, sinon ils ne seront pas en mesure de les récupérer eux – mêmes. Il est important de se rappeler ce qui suit: ne vous sentez pas immunisé contre les attaques en raison de la taille ou de la visibilité de votre entreprise. Assurez – vous de comprendre les risques potentiels
Un attaquant qui contient du contenu nuisible.
Qu’est – il arrivé à la page de répétition (~ 5%)? Un attaquant crée une page d’hameçonnage qui ressemble à un module valide. Ils créeront ces pages d’imitation pour inciter les visiteurs du site à leur fournir des renseignements personnels. Qu’arrive – t – il à la distribution des logiciels malveillants (~ 3%)? Un attaquant peut accéder à votre site Web et ensuite distribuer des logiciels malveillants aux ordinateurs de tous les visiteurs pour récupérer leurs renseignements personnels. Que se passe – t – il lorsque l’information est reçue (environ 20%)? Si vous stockez des informations sensibles sur le client (informations de paiement, login, informations personnelles, etc.) sur le site, un attaquant peut les voler simplement en visitant votre site.
Qu’est – il arrivé à la plateforme d’attaque (~ 2%)? Encore une fois, un attaquant peut utiliser votre site Web comme source de confiance pour accéder et attaquer d’autres sites Web en utilisant votre serveur. Qu’est – il arrivé au ransomware (environ 2%)? Comme son nom l’indique, ransomware est un logiciel attaquant qui s’implante dans votre site Web et vous empêche d’y accéder à nouveau. Leur espoir est que vous n’avez pas de sauvegarde ou d’autres moyens de revenir, et à leur tour, vous êtes prêt à payer une « rançon » pour cela. Qu’est – il arrivé à l’hôte de contenu (~ 1%)? Un attaquant peut accéder à votre serveur où il héberge ses fichiers malveillants.
Que se passe – t – il lorsque vous citez des pourriels (~ 1%)? Si vous avez déjà consulté la liste des sources recommandées par Google Analytics pour votre site Web, vous pouvez remarquer des sites qui semblent étranges. Ceci est dû à la mise en place d’un robot sur votre site Web. Ainsi, lorsque le trafic est acheminé de votre site vers une autre source, ils ne verront pas votre URL dans l’analyse, mais plutôt de faux sites de référence. Comme vous pouvez le voir, les accessoires peuvent être de différentes formes et tailles. Certains hackers veulent profiter de la bonne réputation de votre site à leurs propres fins,
D’autres veulent accéder aux renseignements personnels de tous les visiteurs d’une seule façon. Quel que soit le type d’attaque, il est clair que si les hackers découvrent des faiblesses dont ils peuvent bénéficier, ils ne feront pas de distinction entre les types d’activités qu’ils attaqueront.
Assurer la protection de la vie privée des visiteurs du site, quel que soit le type ou la taille de votre entreprise, il est important de prendre conscience des risques auxquels sont exposés les visiteurs du site lorsqu’ils visitent votre site. Ils croient que l’accès à votre site Web et la transmission de leurs renseignements personnels seront traités en toute sécurité. Par conséquent, si vous voulez maintenir la confiance de vos clients et leur confiance dans votre marque, vous devez prendre les mesures appropriées pour protéger votre site. 1. Investir dans un bon hébergement pour héberger le site WordPress sur le serveur d’un fournisseur fiable est la première étape vers la protection du site et de la vie privée des visiteurs. Un service d’hébergement de qualité vous assurera une grande sécurité du site, y compris une surveillance 24 heures sur 24, des sauvegardes régulières du site et un hébergement personnel (car le partage avec d’autres comptes peut causer des dommages à votre site). Si vous n’êtes pas certain que votre fournisseur d’hébergement actuel ou les autres fournisseurs que vous recherchez offrent un environnement sécurisé, consultez leurs commentaires. S’ils ont des problèmes de sécurité persistants ou s’ils ont de l’expérience avec des problèmes de mauvaise gestion causés par des clients, nous vous recommandons de trouver quelqu’un d’autre. 2. En utilisant le rnc à ce stade, vous pouvez vous demander pourquoi nous vous recommandons d’investir dans des services d’hébergement supplémentaires si vous avez déjà payé pour un fournisseur d’hébergement fiable. Eh bien, le CDN (réseau de distribution de contenu) n’est pas vraiment un service hébergé. Le CDN est situé au – dessus de l’hôte et aide à fournir du contenu non statique sur le site
Les touristes, où qu’ils soient dans le monde. Les CDN sont généralement associés à des vitesses de chargement plus élevées sur le site, mais bon nombre d’entre eux, comme cloudstore, offrent des contrôles de sécurité supplémentaires pour votre site. Maxcdn est un CDN populaire avec 19 serveurs dans 18 villes du monde entier. SSL (Secure Sockets Layer) est absolument nécessaire pour tout site Web traitant des informations sensibles. Une fois que vous avez trouvé un fournisseur d’hébergement en qui vous avez confiance, vérifiez qu’il fournit également des certificats SSL (de nombreux fournisseurs fournissent des certificats SSL). S’ils ne le font pas, d’autres personnes peuvent délivrer gratuitement des certificats valides, comme le cryptage Let’s. L’objectif principal de SSL est de créer une couche de protection supplémentaire (chiffrée) pour les informations des visiteurs afin qu’elles ne soient pas accessibles à des tiers. De plus, le chiffrement SSL offre des avantages supplémentaires pour un meilleur référencement. Comme Google et d’autres moteurs de recherche tentent de localiser le trafic vers une source valide et fiable, votre certificat SSL en est la preuve. Parmi les menaces à la sécurité mentionnées ci – dessus, nous avons discuté de la façon dont un hacker peut envahir votre site pour attaquer un autre site. Il s’agit essentiellement du DDOS (déni de service distribué). Les hackers utiliseront de nombreuses méthodes pour diriger une grande quantité de trafic vers le site dans l’espoir de forcer le site à geler et donc de refuser l’accès aux visiteurs du site. Si votre entreprise est une grande entreprise et \/ ou si vous avez traité un grand nombre de transactions, investir dans des services d’atténuation des DDO n’est pas une mauvaise idée. Le coût de la descente du site et de l’arrêt de toutes les activités peut avoir des conséquences désastreuses pour l’entreprise, de sorte que ce niveau de protection supplémentaire doit être envisagé. De nombreuses entreprises offrant des services rnc, comme incapsula, offrent également une protection DDOS.
Prenez donc le temps de chercher pour voir si vous pouvez regrouper vos services de sécurité sous un parapluie (ce qui permet d’économiser de l’argent). 5. Installez un pare – feu votre fournisseur d’hôtes devrait avoir installé un pare – feu pour votre serveur. Bien que les pare – feu soient un bon moyen d’empêcher les visiteurs indésirables d’entrer, de nombreux hackers ont maintenant trouvé des moyens créatifs de contourner les pare – feu. Pour des raisons de sécurité, ajoutez un pare – feu au site pour fournir une protection supplémentaire. Le Service configserver fournit un service gratuit que vous pouvez utiliser. Si vous n’êtes pas sûr de la façon de l’installer vous – même, consultez votre fournisseur d’hébergement pour voir s’il peut vous aider. Si vous êtes sur un serveur partagé, ils devraient être en mesure de le faire pour vous sans aucun problème. Plugins de contrôle la plupart des vulnérabilités du site WordPress proviennent de plugins. L’équipe de sécurité de WordPress examine tous les outils tiers soumis, mais inévitablement, un peu d’insécurité conduit à la soumission, et les plug – ins sont le cas le plus courant. Il y a trois choses pour s’assurer que le plugin est sous contrôle: lire les informations recueillies par WordPress sur tous les plugins. Vérifiez la compatibilité de la version WordPress (indiquant que le plug – in est à jour avec les mises à jour de sécurité WP), des dernières mises à jour (indiquant le développeur responsable de la maintenance du plug – in), de l’installation active (indiquant le nombre d’autres utilisateurs de confiance du plug – in) et de La notation. Lisez plus en détail les cotes négatives pour voir si des problèmes de sécurité ont été signalés dans le passé. Vérifiez le script plug – in pour vous assurer qu’il ne contient pas de code malveillant. Remarque: cela nécessite une connaissance PHP. Si vous avez besoin d’aide pour visionner des scripts ou du Code, Defender peut scanner votre site pour trouver des vulnérabilités. C’est ça.
Lugin anti – splog. 9. Appliquer des paramètres d’accès plus forts vous devez traiter deux types d’accès sur le site Web: votre accès et l’accès des visiteurs. Chaque fois qu’une personne est autorisée à accéder à votre site Web (au recto ou au verso), elle augmente le risque que d’autres personnes entrent ou obtiennent des renseignements personnels de mauvaise foi. C’est – à – dire qu’il existe plusieurs façons de s’assurer que des critères d’ouverture de session spécifiques sont appliqués (il suffit de s’assurer que vous les respectez également): le chiffrement du mot de passe d’un utilisateur à l’aide d’un hachage bcrypt protège le répertoire WP admin (qui contient les informations d’Ouverture de session de chaque personne) en demandant un nom d’utilisateur et un mot de passe supplémentaires pour accéder au dossier. Ajoutez le plug – in Google authenticator pour l’authentification à deux facteurs. Demandez à l’utilisateur de choisir un mot de passe complexe qui contient des lettres, des chiffres et des symboles. Limitez les tentatives de connexion et Bloquez toute personne qui surmonte un certain nombre de tentatives de connexion. Limiter l’accès à votre site Web signifie non seulement empêcher les pirates informatiques d’y accéder, mais aussi s’assurer que tout utilisateur auquel un accès spécifique est accordé respecte ces utilisations. Voici quelques restrictions que vous devriez programmer: le fichier de configuration WP. Php contient beaucoup d’informations précieuses. Pour protéger ce fichier, déplacez – le au niveau supérieur de votre installation WordPress. Cela garantit que quiconque tente d’y accéder recevra un message d’erreur. Mettez à jour régulièrement vos jetons de sécurité. Notre plug – in Defender résout ce problème pour vous en un seul clic. Vous devez également désactiver la fonction d’édition de l’utilisateur administrateur. Cela forcera quiconque à essayer d’accéder à vos fichiers PHP (tels que les sujets, les plug – ins, etc.) Accès FTP. Gérez soigneusement les rôles et les droits d’accès des utilisateurs dans WordPress afin qu’ils n’aient accès qu’à la zone du site à laquelle ils doivent accéder.
Dans les instructions, assurez – vous de supprimer l’accès FTP dès que l’utilisateur a terminé le travail nécessaire dans l’accès FTP. Désactivez la navigation des répertoires afin que les pirates informatiques et les utilisateurs non autorisés ne puissent voir aucun fichier sur votre site. Documents. Htaccess sera votre meilleur ami pour contrôler l’accès au site. Définir des règles pour restreindre automatiquement l’accès et l’accès au site Web. Il convient également de noter que toutes ces recommandations sont particulièrement importantes pour les sites de commerce électronique qui traitent de l’échange de données financières. Pour assurer la conformité à l’ICP, vous devez avoir un système spécifique pour vous assurer que vos renseignements sur les clients sont protégés. N’oubliez pas que l’objectif premier de votre utilisation de services de sécurité plus fiables et de normes de site plus strictes est de protéger l’information des visiteurs. S’ils commencent à penser que votre site nuit à leur sécurité, ils l’abandonneront et chercheront quelqu’un d’autre pour leur donner ce sentiment de sécurité. Si vous avez plus de questions sur la façon de protéger votre site, consultez le Guide de sécurité WordPress ultime. Si votre site Web est piraté, il y a plusieurs façons de déterminer si votre site Web est piraté: Google Search Alert Google Webmaster Tool détecter les fournisseurs d’hébergement de logiciels malveillants laisser votre site Web hors ligne Google Analytics montre que les clients vous disent (vous devez éviter à tout prix) que le trafic est grave et permanent baisse La sécurité du site WordPress n’est pas toujours une question de sécurité, mais il y a des mesures que vous pouvez prendre pour vous assurer que l’impact d’une attaque n’est pas durable ou ne cause pas de dommages irréparables à votre marque. Consultez le Guide wordpress pour savoir comment réagir au piratage. Reprise
Accès instantané et clés pour WordPress, cpanel, FTP et d’autres bases de données. Vérifiez la liste des utilisateurs du site. Les personnes que vous ne connaissez pas devraient être révoquées. Parlez à votre fournisseur d’hébergement, surtout si vous utilisez un hôte partagé et qu’une attaque contre votre site a mis d’autres personnes en danger. Numérisez sucuri ou wordfence sur votre site Web (ou utilisez votre propre fournisseur de plug – ins de sécurité). Scannez l’ordinateur. Demandez à tous les autres webmestres de faire de même. Voir vos fichiers. Configuration htaccess et WP. PHP pour trouver tout code ou script incorrect. Nettoyer tout dommage. Pour tout fichier, plug – in ou sujet qui pourrait contenir des risques potentiels pour la sécurité, supprimer et réinstaller la version de sécurité si nécessaire. Si votre site ne fonctionne pas correctement ou si vous avez besoin de trop de remaniement pour supprimer du contenu malveillant, Remplacez votre site par une version de sauvegarde. Une fois la menace identifiée et éliminée, aviser toutes les parties susceptibles d’être touchées afin qu’elles puissent prendre des précautions de sécurité. Si vous l’avez raté l’année dernière, regardez ce qui est arrivé à Jenny McKinnon lors de la navigation sur la sécurité du site WordPress et comment elle s’est finalement rétablie. Il y a de bonnes leçons à tirer de votre expérience. Si votre site Web présente des vulnérabilités en matière de sécurité, cela signifie que votre entreprise subira d’énormes pertes de revenus, de temps, de référencement, de réputation de marque et de confiance du public. Vous ne pouvez pas attendre que quelque chose se produise pour protéger votre site Web. Faites preuve de diligence raisonnable pour vous assurer que vous avez les outils de sécurité appropriés; Vous travaillez avec un tiers de confiance; Et vous ne stockez pas d’informations sensibles sur votre entreprise, vos utilisateurs ou vos visiteurs sur le site. Votre site Web