Une liste de contrôle en 16 étapes pour protéger votre site WordPress

On ne saurait trop insister sur l’importance de la sécurité du site. Alors que vous êtes pressé de respecter les délais, la protection adéquate de votre site WordPress n’est peut – être pas votre priorité, donc nous avons dressé une liste pour vous assurer que vous ne manquez aucun point. Dans l’océan de plus de 2 milliards de sites Web, il est compréhensible que beaucoup de gens ne pensent pas que leurs sites Web risquent d’être piratés. Si vous n’avez jamais été victime d’une agression, vous n’êtes peut – être pas aussi inquiet que vous devriez l’être.
Cependant, il est préférable d’avoir la bonne protection sans avoir besoin, plutôt que de regretter sans protection. Nous avons dressé une liste de 16 étapes que vous devrez peut – être prendre pour protéger votre site Web, dans l’espoir que cela vous facilitera l’Organisation de la sécurité. 1. Sélectionnez l’hébergement sécurisé 2. Masque votre URL de connexion 3. Utilisez le gestionnaire de mot de passe 4. Activer l’authentification à deux facteurs 5. Utilisation du délai d’accès 6. Configurer WAF 7. Utilisez le plug – in 8 pour améliorer votre sécurité. Utilisez le plug – in pour automatiser la tâche 9. Prendre des mesures pour prévenir les attaques DDOS 10. Vérification périodique des comptes non autorisés 11. Protégez votre fichier WP config 12. Obtenez un certificat SSL 13 pour votre site. Protection contre les connexions directes 14. Prévention des pourriels commentaires 15. Accès régulier à votre site Web 16. Considérer les sites statiques
Vous pouvez prendre toutes les autres étapes de cet article pour améliorer encore votre site, cependant, si vous utilisez un hôte partagé bon marché, c’est comme avoir une porte d’entrée en alliage de titane robuste et super durable et laisser une clé sous le tapis de porte. Ne jamais faciliter les visiteurs indésirables (désolé, devman!) L’hôte partagé présente de nombreux inconvénients, même si la sécurité n’est pas prise en compte.
Mais c’est un argument en soi. Consultez notre article sur le choix du meilleur type d’hébergement en fonction de vos besoins pour en savoir plus sur les avantages et les inconvénients de l’hébergement partagé.
Le plus grand inconvénient est peut – être le manque de sécurité. Une vulnérabilité sur le site d’une autre personne peut endommager le serveur et attaquer votre site, pas à cause de vous. Bien que l’entreprise d’hébergement tente de prendre toutes les précautions pour empêcher la propagation de telles attaques malveillantes, l’hébergement partagé n’est pas toujours possible parce que le site est hébergé sur le même serveur. Si vous ne voulez pas vous inquiéter de ce qui se passe sur le serveur du site, sélectionnez VPS ou un hôte dédié. L’hôte de développement wpmu vous fournit la mémoire dédiée, le processeur et le stockage SSD indépendamment de tout autre site, y compris les autres sites que vous hébergez avec nous!
Meilleur conseil: Choisissez un fournisseur d’hébergement connu pour sa grande sécurité. Ne soyez pas avare sur le prix: il vaut mieux dépenser un peu plus d’argent sur un bon hôte que d’être bon marché et piraté. Profitez des fonctionnalités fournies par l’hôte, telles que la sauvegarde automatique, WAF, ou la capacité de bloquer les adresses IP suspectes. La protection de votre page de connexion est rarement une tentative d’intrusion de renseignements personnels. Vous ne pouvez gérer qu’un petit site Web pour le club nautique dans le village local, mais cela ne signifie pas qu’il ne sera pas piraté. Les robots malveillants reniflent les trous dans les sites Web sur Internet sans discrimination. S’ils découvrent un chemin en dehors de votre page de connexion WordPress, ils infecteront vos fichiers avant de dire \
Vous pouvez prendre des mesures pour vous assurer que les pages de connexion ne sont pas vulnérables à ces types d’attaques. Masquer votre URL de connexion d’abord en utilisant un plug – in comme Defender
Votre nom d’utilisateur, votre mot de passe et votre appareil mobile ne sont pas accessibles lorsque le hacker entre sur votre site. À long terme, mon site Web dédié à tester des plug – ins et des sujets a essayé de se connecter en moyenne 40 fois par jour. La seule tâche de ces robots est d’essayer des combinaisons aléatoires de mots de passe pour accéder à votre site Web. Tout ce dont vous avez besoin, c’est d’une de ces tentatives réussies, et vous risquez de perdre complètement l’accès au site. Je peux voir ces tentatives dans le journal de contrôle du défenseur. D’autres tentatives ratées, mais les robots n’abandonnent jamais! Bien que mon site soit très obscur et ne soit pas destiné au public, il est toujours dans la portée radar des robots malveillants. Même si mon mot de passe est sécurisé, je serais encore plus inquiet si je n’avais pas activé l’authentification à deux facteurs. Conseil: Si votre mot de passe est compromis, l’utilisation d’un mot de passe unique pour chaque compte peut également vous aider à identifier la source de l’attaque. Définissez une adresse e – mail de sauvegarde au cas où vous perdriez votre appareil mobile et ne seriez pas en mesure d’accéder à votre site Web. Si vous oubliez l’URL de connexion masquée, vous pouvez la récupérer dans la base de données. Pour plus de sécurité, vous pouvez utiliser un plug – in comme branda pour supprimer le lien de Réinitialisation du mot de passe de la page de connexion. Defender est équipé de quelques outils supplémentaires sur votre ceinture pour empêcher les intrus d’accéder à votre site.
Vous pouvez configurer la protection d’accès pour vous assurer que les pirates informatiques n’entrent pas brutalement dans votre compte en envoyant du spam à une combinaison de mots de passe. Sélectionnez le nombre maximum de tentatives de connexion autorisées pour une période donnée et affichez un message personnalisé à quiconque dépasse la limite. Vous pouvez également choisir de les bloquer temporairement ou définitivement! L’adresse IP peut être désactivée
Pour éviter toute forme d’attaque réussie, la meilleure solution est d’utiliser un bon plug – in de sécurité omnidirectionnel. Defender a beaucoup de fonctionnalités qui travaillent ensemble pour rendre votre site plus puissant. Je peux écrire un article complet sur toutes les façons dont Defender peut vous aider à protéger votre site, mais nous l’avons fait. Je voulais juste que tu goûtes. Voici quelques – unes de ses fonctionnalités: Double facteur authentification accès masqué accès bloqué détection 404 WordPress Security Firewall possibilité de désactiver Trackbacks et Pingbacks possibilité de mettre à jour les options recommandées pour le noyau et le serveur possibilité de désactiver l’éditeur de fichiers possibilité de masquer les rapports d’erreurs mettre à jour les jetons de sécurité Empêcher la divulgation d’informations empêcher PHP d’exécuter la plupart des fonctions de défenseur est en fait gratuit, donc visitez WordPress. Org, cliquez sur télécharger et commencez à bloquer ces attaques. Utilisez le plug – in pour effectuer des tâches automatisées: l’ordinateur n’oublie pas les choses. Qu’il s’agisse d’un site de sauvegarde ou d’un plug – in de mise à jour, rien n’est plus fiable qu’un processus automatisé. C’est pourquoi vous devriez confier ces tâches à des experts: quelques grands plugins WordPress! Les hackers aiment trouver des vulnérabilités dans les plug – ins et les sujets et les utiliser comme moyen de pénétrer les sites Web. Lorsque le développeur apprend qu’il y a une vulnérabilité potentielle dans son produit, il crée un correctif pour corriger la vulnérabilité. Si vous omettez de mettre à jour les plug – ins et les sujets lors de la publication de nouveaux correctifs, vous pourriez laisser une vulnérabilité pour les pirates informatiques. C’est pourquoi il est important de s’assurer que les mises à jour sont appliquées immédiatement après leur publication, ce qui est également la raison de l’automatisation. Exécution numérique
Sur les sites WordPress, la mise à jour manuelle de tous les plug – ins et thèmes peut prendre beaucoup de temps, ce qui signifie que parfois cette activité peut se dérouler en arrière – plan. Automatic détecte automatiquement quand votre site Web exécute des plug – ins obsolètes, des thèmes ou des plug – ins WordPress, et met automatiquement à jour votre site Web pour exécuter la dernière version. Mieux encore, il peut également avoir besoin de sauvegarder votre site avant d’installer des mises à jour en cas de problèmes de compatibilité qui pourraient causer des problèmes. Consultez notre documentation pour un tutoriel complet sur la façon de configurer l’automatisation. Bien sûr, le plan est d’éviter d’être piraté. Cependant, si le pire se produit, le site de sauvegarde peut l’éviter. Il n’y a pas de meilleure façon (à mon humble avis!) Utilisez un plug – in de sauvegarde fiable, comme un instantané. Il suffit de sélectionner la fréquence et l’heure de la sauvegarde pour compléter la sauvegarde. Ne vous inquiétez plus de perdre vos sauvegardes! Cet article donne un aperçu de la configuration et de la gestion des sauvegardes à l’aide de Snapshots. Conseil: en plus de mettre à jour régulièrement les plug – ins et les sujets, assurez – vous de vous concentrer sur les nouvelles versions de PHP et SQL qui devraient être mises à jour dès que possible après la publication. Il est toujours bon de faire régulièrement des sauvegardes manuelles et de les sauvegarder localement: en termes de sécurité du site, vous ne serez jamais trop en sécurité! Protection DDOS une attaque de déni de service distribué (DDOS) se produit lorsque le trafic sur le site Web cause une interruption de service. Il fonctionne sur des réseaux informatiques (parfois des ordinateurs de membres du public insouciants infectés par des logiciels malveillants). Un attaquant utilise ces appareils pour former un « Botnet » qui peut indiquer qu’il attaque une cible particulière. Le but de ces attaques était
Ato SSL vérifie que le site Web que vous atteignez est la destination prévue en vérifiant les justificatifs d’identité de son certificat. Cela aide à prévenir la spoofing de domaine et d’autres attaques similaires. Les connexions utilisant des certificats SSL sont plus fiables, plus sûres et donnent une meilleure impression aux clients. Ceci est dû au fait que le certificat SSL convertit une connexion http en une connexion https: le \
Outrepasser la condition% {http _ referer} ^ $
Outrepasser la condition% {http _ referer} ^ Http (s)?: \/ \/ (www)? Exemples Com [Chine]
Outrepasser la condition% {http _ referer} ^ Http (s)?: \/ \/ (www)? Google. Com [Chine]
Outrepasser la condition% {http _ referer} ^ Http (s)?: \/ \/ (www)? YouTube. Com [Chine]
Outrepasser les règles. (JPG | JPEG | PNG | GIF) $- [F] C’est le Code requis pour un site fonctionnant sur un serveur Apache. Position ~. (GIF | PNG | JPEG | JPG | SVG) ${
Valid _ referers none Blocked ~. Google. Bing. Yahoo! Votre domaine. Com *. Votre domaine. Format commun de noms de domaine;
If ($invalid _ referer) {
Retour 403;
}
}
Utilisez ce code si le site fonctionne sur un serveur ng
Ou principalement pour partager de l’information, plutôt que des boutiques de commerce électronique ou des blogs occupés, la conversion en site statique peut être utile. Pour ce faire, vous devez créer une copie du fichier et le grouper en. Nettoyer zip qui peut être stocké sur le serveur. Cela signifie que l’installation réelle de WordPress peut être cachée en toute sécurité et hors de portée des robots et des hackers. Ce n’est pas la bonne façon pour de nombreux sites, mais si vous souhaitez approfondir votre recherche, n’hésitez pas à consulter des services tels que Strategic ou simply Static. Nous savons que la mise en oeuvre de tant d’étapes différentes peut sembler fastidieuse, mais heureusement, une fois que vous avez coché la plupart d’entre elles de la liste, elles s’en occupent elles – mêmes. Les plug – ins fonctionnent silencieusement en arrière – plan et font un travail difficile pour vous, de sorte qu’une fois que vous avez mis en place toute la sécurité pour votre nouveau site, vous n’avez pas besoin de beaucoup d’entrées manuelles continues. La sécurité peut être placée en arrière – plan quand vous devez vous inquiéter d’autres aspects du site, mais… C’est une bonne chose après coup. Prenez le temps de mettre en œuvre les bonnes procédures de sécurité pour votre site Web maintenant, et espérons que vous ne serez jamais frustré par le piratage de votre site, et que vous n’avez jamais pris de précautions auparavant. Y a – t – il des plug – ins ou des recommandations sur lesquels vous comptez pour mettre en place la sécurité sur votre nouveau site? Dites – nous dans le commentaire!