WordPress Safety Best Checklist [Ultimate Guide]
Si vous voulez protéger votre site WordPress, vous trouverez beaucoup de conseils en ligne, dont certains sont bons et d’autres nuisibles, même pour de bonnes raisons. En ce qui concerne la sécurité WordPress, vous devez être en mesure de faire confiance à vos sources et de trouver des informations non seulement crédibles, mais aussi réalisables et applicables. Rien qu’en 2020, les attaques de logiciels malveillants ont augmenté de plus de 150%, et le nombre ne semble pas ralentir rapidement. La protection du site WordPress doit donc être votre priorité. La meilleure façon de protéger votre site WordPress est d’installer un plug – in de sécurité pour faire face à la lourde charge de travail. Cependant, même s’il n’y a pas de liste de contrôle de sécurité, vous pouvez encore protéger votre site dans une large mesure en suivant la liste de contrôle de sécurité WordPress dont il est question ci – dessous.
TL; Dr: Protégez votre site WordPress avec des logiciels malveillants et évitez la maintenance de sécurité régulière. La sécurité WordPress est un labyrinthe qui doit être comblé. Consultez notre liste de contrôle de sécurité wordpress pour vous assurer que vous ne manquez rien d’important. Contenu caché 1 la manière la plus simple de protéger les sites WordPress 2 la dernière liste de contrôle de sécurité WordPress 2.1 La sécurité quotidienne 2.2 La sécurité mensuelle 2.3 La sécurité à long terme 2.4 Les mesures ponctuelles de sécurité complète 3 pourquoi la sécurité des sites est importante 4 Considérations finales la façon la plus simple de protéger Comme nous l’avons dit, la meilleure façon de protéger les sites WordPress est d’utiliser des plugins de sécurité, en particulier des logiciels malveillants. Non seulement malcare gère automatiquement les listes de contrôle de sécurité de WordPress, mais vous n’avez pas à vous soucier de suivre chaque petit détail.
Malcare a plusieurs fonctions interactives pour protéger votre site. Mais ses trois principales caractéristiques garantissent que votre site reste libre
Logiciels malveillants: numérisation, pare – feu et nettoyage. Avec malcare, vous pouvez programmer un scan automatique sur le site WordPress et recevoir des alertes lorsque du contenu suspect est détecté. Malcare protège également votre site contre la plupart des attaques au moyen d’un pare – feu intelligent. Plus important encore, si votre site est piraté parce qu’aucun n’est absolument correct, malcare peut nettoyer votre site en quelques minutes en cliquant sur un bouton.
Pour la sécurité quotidienne, la sécurité du site Web est un processus continu et ne peut être un engagement ponctuel. Mais il y a des façons d’automatiser vos tâches quotidiennes. Ces activités assurent la protection de votre site contre les problèmes ou les menaces imprévus. Numériser votre site Web il est important de numériser quotidiennement les logiciels malveillants sur votre site Web. Toutes les 38 secondes, un site Internet est piraté, et vous êtes probablement l’un d’eux. La numérisation régulière de votre site vous permet de vous assurer que vous êtes au courant de toute menace ou de tout logiciel malveillant sur le site et vous aide à prendre des mesures avant qu’un attaquant ne cause un dommage à votre site.
Il y a un scan automatique tous les jours, donc vous n’avez pas à vous soucier que le scan soit perdu ou exécuté vous – même. Sauvegarde de votre site vous avez plusieurs raisons de sauvegarder votre site WordPress, mais surtout la sécurité. Si elles ne sont pas détectées en temps opportun, les logiciels malveillants peuvent causer la confusion sur le site WordPress, ce qui peut entraîner la perte de données ou la corruption du site. En général, si un site Web est infecté, l’hôte Web supprime le site de son serveur, à moins que vous n’ayez une sauvegarde indépendante du site, vous devez recommencer à zéro.
Il est important de sauvegarder des sites Web de grande valeur tous les jours afin que rien d’important ne soit perdu. Cela est particulièrement vrai pour les sites Web woocommerce qui nécessitent une sauvegarde en temps réel. Des solutions pratiques comme blogvault peuvent rendre ce processus très simple. Blogvault vous permet de programmer des sauvegardes quotidiennes ou en temps réel au besoin et de les stocker sur un serveur externe afin que les sauvegardes restent sécurisées même si votre serveur de site est piraté. Pour les contrôles de sécurité mensuels, les hackers de journaux d’activités et l’installation de logiciels malveillants, adware ou d’autres types de logiciels malveillants sont généralement effectués en secret. En général, la seule piste visible est le Journal des activités du site, qui enregistre les activités exécutées et les changements apportés dans l’ordre chronologique. Par conséquent, il est préférable de vérifier le Journal des activités du site une fois par mois pour déceler toute activité incohérente ou suspecte. Il peut vous aider à suivre certains détails importants au cas où votre site serait piraté, comment l’adresse IP est impliquée, et ce qui pourrait arriver.
Magnifique, créant une vulnérabilité facile à exploiter. Assurez – vous ensuite que tous les sujets et plug – ins utilisés sont vérifiés une fois par mois et que ceux qui atteignent leurs objectifs sont supprimés.
Remarque: vérifiez également les faux plug – ins sur le site. Les logiciels malveillants sont généralement cachés dans le dossier des plug – ins, mais les faux plug – ins n’ont qu’un ou deux fichiers qui ne peuvent pas être détectés dans le dépôt WordPress et ont des noms étranges tels que “azzz” ou “tiff”. L’utilisation prolongée des mêmes justificatifs d’identité ou leur réutilisation dans plusieurs comptes est un risque important. Pour protéger votre site WordPress, mettez à jour votre mot de passe au moins une fois par mois. Cela garantit que tout hacker qui pourrait obtenir votre mot de passe ne peut pas l’utiliser et peut également vous déconnecter de votre compte sur tous les appareils. Bien qu’il soit un peu inconfortable, il assure que vous pouvez contrôler l’accès au site. Contrôler les rôles et les permissions des utilisateurs les comptes utilisateurs sur les sites WordPress sont aussi importants que les comptes administrateurs. Si un hacker accède à n’importe quel compte, il peut infecter votre site, mettre à jour ses permissions de rôle, et même vous verrouiller hors de votre site. Assurez – vous que chaque utilisateur du site n’a que les permissions nécessaires et que l’ancien compte utilisateur est supprimé. Vérifiez également si les droits de l’utilisateur sont renforcés sans votre permission, ce qui peut être un signe de logiciels malveillants. Bloquer l’IP malveillante bloquer ou restreindre l’IP malveillante peut grandement simplifier votre vie. Si vous êtes piraté, vous pouvez suivre l’adresse IP où elle s’est produite et simplement l’arrêter. Cela empêchera toute personne ayant cette adresse IP d’accéder à votre site. Cette méthode est utilisée pour combattre les hackers, arrêter les robots ou les trolls, et arrêter les utilisateurs non autorisés. Si vous utilisez un pare – feu, il bloque automatiquement l’IP qui vous est nuisible.
Ra zone géographique si vous souffrez de multiples attaques de cette zone. Si le pire arrive et que votre site WordPress ne fonctionne pas correctement, vous pouvez compter sur vos sauvegardes pour le faire fonctionner à nouveau. Mais vous devez aussi vous assurer que vos sauvegardes sont sécurisées. Si vos sauvegardes ont été corrompues, il ne sera pas utile de les récupérer. Encore une fois, vous devez vérifier qu’ils fonctionnent correctement, sinon vous récupérerez le site endommagé. Si vous utilisez blogvault et assurez – vous qu’il est fiable, vous pouvez facilement tester les sauvegardes. WordPress utilise le sel dans le cadre du processus de cryptage. Salt est une chaîne aléatoire ajoutée au mot de passe avant le chiffrement. La chaîne résultante est un hachage du contenu stocké dans la base de données. De cette façon, si le hacker peut extraire le mot de passe haché de la base de données et le décrypter, il ne sait toujours pas quelle partie du mot de passe est le vrai mot de passe et ce qu’est le sel. La seule façon de savoir est s’ils ont accès au sel et aux clés de sécurité dans le profil. Ceci est similaire à la façon dont le mot de passe est stocké dans un cookie de navigateur. La raison pour laquelle vous pouvez rester connecté à n’importe quel site est que les informations de session sont stockées dans un cookie. Mais si les mots de passe en texte clair sont stockés là, ce serait dangereux. WordPress stocke donc les versions Salty et Hash. L’accès au sel ne signifie pas que le hachage peut être décrypté, mais réduit le niveau de sécurité. Il est donc important de mettre à jour régulièrement les Salts WordPress. Pour les contrôles de sécurité à long terme, SSL SSL est un Protocole de sécurité qui crypte toute communication avec le serveur du site. Cela empêche l’attaquant d’accéder, de lire ou de modifier les informations transmises. D’habitude, tu te protèges.
Utilisez SSL pour accéder au site lorsque vous obtenez un plan de domaine ou d’hébergement. Cependant, les certificats SSL expirent environ tous les deux ans et vous devez vous assurer qu’ils sont renouvelés le plus rapidement possible. Cela est particulièrement important si un utilisateur effectue une transaction sur votre site Web, car toute vulnérabilité en matière de sécurité peut entraîner la divulgation des détails de votre carte de crédit ou de votre compte bancaire. Si vous oubliez de mettre à jour votre programme d’hébergement à temps, votre compte WordPress sera suspendu. Cela peut causer de nombreux problèmes. Le trafic sur votre site sera durement touché, vous perdrez des clients et peut – être même des données. La vérification périodique des services gérés vous permet également d’analyser le trafic du site et l’utilisation du serveur. L’utilisation excessive de serveurs est un symptôme courant d’attaques violentes, qui sont plus susceptibles d’être évitées si elles sont saisies en premier. Lorsque vous recevez une alerte avant une attaque violente, vous pouvez prendre des mesures et protéger votre site avant qu’un hacker n’y accède. Mesures ponctuelles pour une sécurité totale bien que la sécurité de WordPress nécessite un examen constant, certaines mesures peuvent être prises une seule fois sans mise à jour constante. Investir dans un pare – feu puissant protège les sites WordPress contre l’infection de votre site en filtrant le trafic malveillant et en bloquant la plupart des attaques. Il existe plusieurs types de pare – feu, tels que les pare – feu d’application Web, les pare – feu réseau ou les pare – feu en nuage. Un puissant pare – feu pour les applications Web comme malcare vous permet de filtrer le trafic du site et de bloquer les visiteurs en fonction du nombre de tentatives de connexion ou de l’emplacement géographique. Mise en oeuvre de l’authentification http l’authentification http est un protocole qui ne permet l’accès aux ressources Web qu’aux personnes qui ont l’intention d’y accéder. L
L’authentification http limite l’accès en demandant un nom d’utilisateur et un mot de passe lorsqu’une page Web particulière est demandée. Bien sûr, vous ne pouvez pas le faire sur l’ensemble du site, mais le fait de le faire sur le tableau de bord de l’administration ou sur la page d’atterrissage peut réduire considérablement le nombre d’attaques bot. Authentification à deux facteurs l’authentification à deux facteurs est une méthode qui exige que l’utilisateur fournisse deux clés distinctes pour accéder au compte. Par exemple, si vous tentez d’accéder à un courriel, vous devrez généralement fournir un nom d’utilisateur et un mot de passe, mais vous devrez également fournir une clé créée en temps réel, comme un mot de passe temporel ou un NIP, lors de la mise en oeuvre de l’authentification à deux facteurs. Cela réduit le nombre de tentatives de connexion et ne surcharge pas le serveur du site en raison des demandes de connexion. Il protège également votre site contre les attaques violentes. Vous pouvez utiliser des plug – ins comme 2fa pour activer l’authentification à deux facteurs pour votre site. Limiter les tentatives de connexion nous avons discuté de la façon de limiter les tentatives de connexion. Par défaut, WordPress permet des tentatives illimitées de connexion, ce qui donne aux hackers une chance mûre de tenter de se connecter à votre compte WordPress par des attaques violentes. La façon la plus simple de limiter les tentatives d’accès est d’utiliser un plug – in de sécurité comme malcare, ou vous pouvez ajouter du code personnalisé à une fonction de fichier. Php. Désactiver XML – RPC est similaire à l’api WP rest, et XML – RPC est une fonctionnalité WordPress qui vous permet de publier du contenu à distance. Cela peut être très utile si vous utilisez une application WordPress ou si vous avez besoin d’activer trackback et Pingback, mais les hackers peuvent l’utiliser pour accéder à votre site par des attaques violentes. La solution la plus simple ici est d’utiliser un plug – in ou de le désactiver manuellement. Désactiver la navigation du Répertoire lorsque le serveur ne trouve pas le fichier index pour s
Ito Web, qui affiche un index du contenu du Répertoire. Si les hackers ont accès à cette information, ils peuvent vérifier s’il y a des fichiers vulnérables sur votre site. Cela peut exposer votre site à de graves risques pour la sécurité. Pour éviter cela, vous pouvez désactiver la navigation du Répertoire en ajoutant une ligne de code au fichier. Htaccess. Suivez ces étapes pour désactiver la navigation des répertoires sur les sites WordPress. Télécharger le fichier. Htaccess accède à votre site via un client FTP. Ouvrez le fichier et ajoutez le code suivant au bas du fichier: options All – Index enregistre maintenant le fichier et le recharge. Vous devez d’abord supprimer le fichier original du site. Restreindre les permissions de fichiers les permissions de fichiers sur un site Web déterminent qui peut accéder à quelles parties du site et qui peut les modifier. En général, l’hôte Web configure toutes ces informations pour vous. Cependant, il est bon de comprendre les permissions des fichiers et de s’assurer qu’elles sont configurées de la meilleure façon possible. Si vous souhaitez savoir comment les permissions de fichiers fonctionnent et comment les optimiser pour assurer la sécurité de votre site, consultez notre guide de démarrage détaillé. Masquer les profils WP les profils WP de votre site Web sont remplis d’informations sensibles telles que les mots de passe, les clés et le sel. Si les hackers ont accès au fichier, c’est comme mettre un tapis rouge sur le site. Par défaut, le fichier de configuration Wp est situé dans le dossier public _ HTML, de sorte que le hacker sait où le trouver. Cependant, vous pouvez changer l’emplacement du fichier, qui fonctionne toujours correctement et cache efficacement les informations sensibles. Désactiver les hackers d’exécution PHP dans des dossiers spécifiques permet de télécharger des fichiers PHP déguisés en fichiers WordPress primaires sur votre site et d’accéder à votre site. Certains dossiers, comme les téléchargements WP, ne devraient pas avoir de fichiers PHP du tout. Que feriez – vous dans ces circonstances? Vous pouvez désactiver l’exécution PHP ici
Si votre site n’utilise pas de plug – ins, plusieurs contrôles de sécurité doivent être effectués périodiquement. Vous devez scanner le site, faire des sauvegardes, trouver des comportements suspects dans le Journal d’activité du site, et nettoyer manuellement tout logiciel malveillant qui pourrait être détecté. Il y a de nombreuses façons pour les pirates d’accéder à votre site Web, et la seule façon de protéger votre site sans être constamment vigilant est d’utiliser des plug – ins de sécurité.