WordPress Core est en sécurité: ne dites rien d’autre
Mise à jour: 01 \/ 10 \/ 2016 il est temps de clarifier une fois pour toutes le débat sur la sécurité WordPress. Malgré tous les doutes, WordPress Core est sans aucun doute l’une des plateformes les plus sûres sur lesquelles vous pouvez choisir de placer votre site. Période Depuis le 24 janvier 2013, aucune vulnérabilité majeure n’a été décelée dans le noyau de WordPress. Cela signifie qu’aucune vulnérabilité n’a été décelée dans le noyau de WordPress à chaque installation WordPress mise à jour de chaque société d’hébergement Internet. C’est sans précédent dans les logiciels libres. Si vous êtes sceptique, c’est raisonnable. Il est parfois difficile d’ignorer les rumeurs. Mais je ferai de mon mieux pour approfondir et espérer changer d’avis. J’ai travaillé en étroite collaboration avec l’équipe de sécurité de dreamhost et j’ai passé une bonne partie de ma vie dans le hacker de la région métropolitaine de Los Angeles. J’aime aussi installer et exécuter des exploits et des attaques contre mon site Web pendant mon temps libre. Je connais les détails de sécurité de WordPress.
Avant d’entrer dans le contexte du débat sur la sécurité, je voudrais souligner combien il est important de se rappeler que la sécurité est une responsabilité partagée entre vous, les utilisateurs et WordPress. WordPress fera sa part, mais vous devez aussi faire votre part. Les propriétaires de sites Web doivent suivre trois mesures simples mais nécessaires pour assurer une sécurité optimale: toujours exécuter la dernière version, définir des mots de passe complexes et être prudents en matière de sécurité. Tant que vous vous occupez de ces trois choses, vous pouvez être assuré que votre site WordPress sera bloqué. Rompons.
Lancez la dernière version. La première et la plus simple étape pour protéger le site WordPress est de le mettre à jour à la dernière version. Le processus de mise à jour WordPress est simple et rapide et est nécessaire pour aider à réparer vulne
Sécurité Avec la sortie de chaque nouvelle version de WordPress, les dernières corrections de vulnérabilité de sécurité et les détails qui sous – tendent les vulnérabilités seront rendus publics. Lorsqu’il est mis à jour, le tableau de bord est automatiquement mis à jour. Les versions antérieures de WordPress sont obsolètes car elles n’ont pas accès aux derniers correctifs de sécurité.
Il en va de même pour les plug – ins; Le plug – in doit être mis à jour chaque fois qu’une nouvelle version est disponible. Si vous avez un plug – in que vous n’utilisez pas, retirez – le du tableau de bord. Définissez un mot de passe complexe. L’une des erreurs les plus courantes de WordPress en termes de mots de passe est que les gens pensent que l’utilisation du mot de passe d’administrateur WordPress généré par WordPress pendant l’installation (En fait, ce mot de passe est fort) peut protéger leur site contre les attaques. Mais ce n’est pas parce que ce mot de passe spécial est fort que votre site Web est maintenant entièrement protégé.
Pour assurer la sécurité du mot de passe, vous devez également vous assurer que le mot de passe FTP \/ cpanel du domaine est sécurisé. Le mot de passe FTP \/ cpanel du domaine est aussi important que le mot de passe de l’Administrateur. Si quelqu’un a accès à votre cpanel, il peut supprimer votre base de données WordPress de la base de données cpanel > bases de données > MySQL. C’est pas bon. En fin de compte, utilisez des mots de passe complexes pour tous les points d’entrée. Nous recommandons également que le mot de passe contienne au moins 12 caractères et soit modifié à tout moment. Une autre considération est l’authentification à deux facteurs. Cela crée une deuxième défense. Utilisez le plug – in pour la configuration. Mes deux préférés sont clef two factor et Google authenticator.
Attention à la sécurité. En ce qui concerne la surveillance de la sécurité, vous pouvez faire quelque chose. Un bon plug – in de sécurité est le notifiant de mise à jour WP. Une fois installé et activé, le notifiant de mise à jour WP détectera
Toute mise à jour du noyau, du plug – in ou du sujet vous sera notifiée par courriel. À ce stade, vous pouvez choisir de mettre à jour le site ou ses composants au besoin. Vous pouvez également consulter le blog de sucuri sur wordpress pour connaître la meilleure façon de rester vigilant. Si vous voulez aller plus loin, vous pouvez regarder wpsecure pour voir si votre plug – in préféré apparaît.
Le débat sur la sécurité WordPress: comment les rumeurs ont commencé il y a quelques années, vers l’été 2009, WordPress a été durement touché dans la communauté de l’édition en ligne, car de nombreux supports de sécurité ont été utilisés. Au fur et à mesure que l’internet commence à prendre conscience du potentiel réel de wordpress pour devenir énorme, il y a eu quelques critiques bien intentionnées visant à améliorer la sécurité de WordPress. À bien des égards, la critique est ce qu’internet dit: « Hé, WordPress, nous savons que vous êtes ambitieux et nous vous aimons, mais nous devons savoir que votre sécurité est à l’épreuve des balles pour vos utilisateurs finaux avant que vous ne deveniez populaire.»
Les développeurs de WordPress Core ont répondu aux critiques et ont ajouté des correctifs au cours des prochains mois pour renforcer la sécurité dans son ensemble. Le résultat de ce travail acharné est qu’aujourd’hui WordPress a été installé plus que tout autre type de site, publié plus de 64000000 et est l’un des CMS les plus sûrs que vous pouvez choisir pour votre site. Quels problèmes de sécurité spécifiques ont été relevés au cours de l’été 2009 et comment ont – ils été résolus? L’équipe WordPress Core a commencé à publier de nombreux correctifs de sécurité. En fait, l’équipe examine rapidement et ferme systématiquement les autres vecteurs de sécurité du projet. À la fin de l’été, le Code WordPress avait commencé à ressembler à Fort Knox.
La première question est la suivante:
Tunno, avant la sortie de WordPress 2.8.5, l’équipe a travaillé pendant la majeure partie des mois de septembre et octobre. Il s’agit d’une version améliorée qui renforce encore la sécurité grâce aux améliorations apportées à WordPress 2.9, activement développé dans la Direction générale des rapports 2.8. X. le patch d’automne est plus qu’une simple attaque préventive par rapport à la réactivité des rejets estivaux. WordPress apprend à rester vigilant et à faire un ou deux pas avant le Code malveillant. Enfin, quelques semaines avant Thanksgiving 2009, WordPress 2.8.6 a été publié pour corriger une vulnérabilité qui permet aux utilisateurs enregistrés (voir: personnes ayant un compte sur le site mais pas nécessairement un administrateur) d’éditer des fichiers à travers la pile. Cette mise à jour rend leurs droits d’utilisateur plus stricts. Correction et opinion publique, répétons – le. En seulement 34 jours, WordPress 2.8 a publié quatre mises à jour de sécurité. Cela signifie que tout le monde qui dirigeait WordPress à l’époque mettait à jour son site presque une fois par semaine pour éviter d’être piraté. Cela s’est produit avant que l’hébergement ou les outils de gestion WordPress rendent l’installation et la maintenance relativement faciles. À ce moment – là, si vous possédez un site Web, vous devez vérifier régulièrement les mises à jour. Ces mises à jour corrigent de nombreuses vulnérabilités de sécurité, mais il y a encore un grand nombre d’utilisateurs de WordPress sur 2.8. X violé. Je sais, parce que j’ai fait la plupart du nettoyage en 2009. C’est l’une des raisons pour lesquelles les leaders de la pensée dans les domaines de la sécurité de l’information et du développement web insistent sur l’importance de garder votre site Web à jour et pourquoi les hôtes d’hébergement mettent automatiquement à jour les sites Web des clients. La responsabilité de la mise à jour du site Web incombe directement au propriétaire.
Je viens du site. Peu importe s’ils mettent à jour automatiquement ou s’ils comptent sur un hôte géré pour gérer les mises à jour. Il le faut. Après des mois de silence détendu, deux mises à jour de sécurité ont eu lieu à 23 jours d’intervalle. Bien que ces mises à jour soient plus éloignées que les mises à jour précédentes, on s’inquiète de plus en plus du fait que les mises à jour continues ne font que « suivre l’évolution des choses ». Si vous gérez plusieurs sites en 2,8 jours, toute la série de mises à jour est aussi intéressante qu’une file d’attente DMV ou un traitement du canal racinaire. Bien sûr, les mises à jour de base intégrées de WordPress ont été ajoutées il y a quelques mois, ce qui a presque éliminé la nécessité de déployer les mises à jour plus manuellement, mais être administrateur de WordPress reste une énorme perte de temps. Qu’il s’agisse d’erreurs commises par des célébrités ou de tentatives de hackers ennuyeux pour s’amuser, Internet rend tout encore plus sensationnel et WordPress a soudainement acquis une réputation de plate – forme qui a toujours besoin d’être mise à jour, à tort ou à raison. En effet, à la fin de 2009, WordPress était devenu assez sûr pour ses utilisateurs finaux, et ces correctifs ont jeté les bases de la sécurité de WordPress, qui peut être installée des dizaines de millions de fois sur de petits blogs personnels, de grands sites comme le New York Times et allthingsd. Beaucoup de choses ont changé au fil des ans depuis WordPress 2.8. Mais ce n’est pas ce que certains pensent de la sécurité WordPress. C’est dommage, surtout compte tenu de la rapidité des changements technologiques. Toute personne qui vit de la technologie a besoin de temps pour se tenir au courant des tendances et des développements majeurs. WordPress est la plateforme logicielle la plus populaire sur Internet. Rien d’autre n’a accès à av.
Elle a grandi. Dans l’histoire d’internet, WordPress s’est taillé une réputation pour sa sécurité. Il est temps d’agir.