10 Little-Known, des conseils super efficaces pour sécuriser votre blog WordPress

Obtenir un blog piraté et perdre des années de travail de blogging du jour au lendemain est une triste réalité que les gens ont réellement traversé. En fait, la recherche montre que 37 000 sites Web sont piratés chaque jour, et avec WordPress alimentant environ 25, 4% de tous les sites Web, vous pouvez être sûr que beaucoup de blogs WordPress sont piratés tous les jours.

La sécurité WordPress est un jeu de balle entièrement différent; Une fois que vous possédez un blog WordPress, des astuces comme avoir un nom d'utilisateur difficile à deviner et un mot de passe aussi dur que le rock ne suffisent plus. Un seul thème buggé, un mauvais plugin ou un fichier mal protégé peut entraîner le piratage de votre blog pendant la nuit.

Si vous êtes inexpérimenté avec WordPress, ou si vous avez utilisé la plate-forme depuis son existence, cet article a 10 manières pratiques et efficaces de souper pour sécuriser votre blog WordPress que n'importe qui peut implémenter. Vous ne trouverez pas la plupart de ces conseils dans les articles populaires "comment sécuriser votre blog", mais ils pourraient très bien enregistrer votre blog un jour!

1. Désactiver l'éditeur de thèmes et de plugins WordPress

WordPress dispose d'une fonctionnalité pratique qui donne aux propriétaires de sites plus de flexibilité en leur permettant de personnaliser et modifier leurs thèmes et plugins directement à partir du tableau de bord WordPress, mais cette fonctionnalité a été la défaite de la plupart des blogs.

Avec cette fonctionnalité, une légère erreur peut bloquer votre site et vous bloquer sur votre propre site Web . Les pirates peuvent facilement insérer du code malveillant dans votre thème pour leur donner un accès de porte dérobée à votre site, ou même prendre en charge votre site complètement, en prenant le contrôle d'un compte disposant de suffisamment de privilèges pour utiliser le thème et l'éditeur de plugin.

Vous pouvez vous protéger en désactivant l'éditeur de plugin et de thème, rendant impossible la modification de vos thèmes et plugins sans accès FTP .

Pour ce faire, ajoutez le code suivant à votre fichier wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

2. Activer l'authentification à deux facteurs

L'authentification à deux facteurs devient rapidement l'un des moyens les plus fiables pour protéger vos comptes en ligne, et la plupart des sites Web fiables insisteront pour que leurs utilisateurs l'activent.

Bien que WordPress ne comporte pas nécessairement d'authentification à deux facteurs, vous pouvez activer l'authentification à deux facteurs sur votre blog en installant les plugins suivants:

• Google Authenticator
• Authy
• Clef
• Rublon

3. Limiter les connexions en fonction du nombre de tentatives infructueuses

Il y a plusieurs façons pirates tentent d'accéder à votre blog, et l'une des techniques les plus couramment utilisées est une attaque de force brute: un pirate tente une combinaison de noms d'utilisateur et mots de passe, encore et encore, jusqu'à ce qu'il / elle est en mesure d'accéder avec succès votre blog

Par défaut, WordPress n'est pas protégé contre cette attaque. En installant des plugins qui limitent les connexions après un certain nombre de tentatives infructueuses d'une adresse IP particulière, vous pouvez rendre beaucoup plus difficile l'accès à votre blog pour les pirates.

Le module d'extension Jetpack Protect Module peut également vous protéger contre les attaques par bruteforce.

4. Scannez régulièrement votre blog

Des fichiers thématiques, des plugins, des liens et d'autres éléments apparemment inoffensifs peuvent être utilisés pour accéder à votre blog. N'attendez pas que votre site Web soit entièrement infecté avant de prendre des mesures. Au lieu de cela, installez des plugins d'analyse de sécurité pour analyser régulièrement votre site Web et vous informer si vos fichiers ont été modifiés.

Un bon exemple d'un plugin d'analyse de sécurité est Wordfence. En plus de vous donner la possibilité d'analyser manuellement / automatiquement votre blog WordPress, il vous avertit instantanément lorsque des activités suspectes se produisent sur votre blog.

Il envoie également des informations sur les commentaires potentiellement malveillants, et il compare votre thème et fichiers de plugin WordPress avec le dépôt pour vous faire savoir si votre version d'un plugin ou un thème a été modifié et peut potentiellement servir comme porte dérobée pour les pirates à votre site.

D'autres plugins de sécurité qui peuvent vous aider à analyser votre blog à la recherche de logiciels malveillants et d'exploits sont:

• Scanner de sécurité Sucuri
• Acunetix WP Security
• iThemes Security (anciennement connu sous le nom de "Better WP Security")

5. Changez votre hôte

Bien que cela ressemble à un conseil simpliste, il a effectivement beaucoup de poids. La recherche montre que 41% des sites WordPress piratés ont été piratés par la vulnérabilité de sécurité sur leur plate-forme d'hébergement . C'est beaucoup plus que d'autres sources, y compris avoir un mot de passe faible.

Votre hôte peut jouer un rôle majeur pour savoir si vous serez piraté ou non; assurez-vous de ne choisir que des hébergeurs fiables qui ont résisté à l'épreuve du temps et qui respectent les meilleures pratiques de l'industrie .

6. Cacher votre numéro de version WordPress

Par défaut, WordPress affiche votre numéro de version WordPress; cela permet à WordPress de garder une trace du nombre de blogs WordPress actifs dans le monde. Cependant, cela peut aussi être une source énorme de problème; Les pirates informatiques et les robots peuvent scanner le web pour trouver des blogs utilisant un numéro de version WordPress avec une vulnérabilité connue, ce qui fait de vous une cible facile.

Vous pouvez facilement résoudre ce problème en cachant votre numéro de version WordPress . Pour masquer votre numéro de version WordPress, ajoutez simplement le code suivant à votre fichier functions.php:

add_filter( 'the_generator', '__return_null' );

7. Désactiver les rapports d'erreur PHP

Quand un plugin ou un thème ne fonctionne pas bien sur votre blog WordPress, les rapports d'erreurs PHP peuvent vous aider en vous montrant un message qui révèle la cause de l'erreur. Cependant, cet avantage présente un inconvénient: lorsque l'erreur PHP est signalée, elle inclut le chemin d'accès complet au serveur de l'erreur, révélant des informations que les pirates peuvent utiliser contre vous.

Vous pouvez vous protéger en désactivant les rapports d'erreurs PHP . Ajoutez simplement le code suivant à votre fichier wp-config.php:

 error_reporting (0); @ini_set ('display_errors', 0); 

8. Travailler sur vos autorisations de fichier WordPress

Quand il s'agit d'empêcher votre site WordPress contre les exploits de sécurité, il est essentiel de vous assurer que vous avez les permissions de fichiers appropriées . Cela rend difficile pour un hacker de manipuler des plugins, des thèmes ou des fichiers sur votre serveur pour prendre le contrôle de votre site Web.

Assurez-vous que les autorisations de dossier WordPress sont définies sur 755 ou 750; les autorisations de fichier sont définies sur 640 ou 644; et que l'autorisation wp-config.php est définie sur 600.

9. Assurez des sauvegardes régulières

Même les grands sites web avec une équipe d'experts en sécurité et de consultants sont piratés, et bien que les meilleures pratiques puissent rendre votre site Web plus fort que 99, 9% des sites Web, les choses peuvent encore casser.

La meilleure sécurité que vous avez contre les attaques de piratage WordPress est une bonne sauvegarde; assurez-vous de faire des sauvegardes de votre site sur une base régulière - si possible tous les jours. De cette façon, si votre site est piraté, vous avez vos fichiers en place et pouvez restaurer les choses immédiatement .

Voici quelques-uns des meilleurs plugins de sauvegarde WordPress:

• BackUpWordPress
• Prêt! Sauvegarde
• VaultPress
• BackupBuddy

10. Limiter l'accès à votre page de connexion

Lorsque la poussée vient à pousser, vous pourriez avoir à prendre des mesures drastiques. Un moyen très fiable de protéger votre blog contre les tentatives de piratage est de bloquer entièrement l'accès à votre page wp-admin et wp-login.php .

Ceci n'est recommandé que si vous utilisez une adresse IP qui ne change pas (vous ne voulez pas vous exclure de votre blog!). Vous pouvez toujours utiliser cette option si vous utilisez plus d'une adresse IP mais gardez une trace de ces adresses.

Pour limiter l'accès à votre page de connexion, ajoutez le code suivant à votre fichier .htaccess:

 RewriteEngine on RewriteCond% {REQUEST_URI} ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% {REQUEST_URI} ^ (. *)? Wp-admin $ RewriteCond% {REMOTE_ADDR}! ^ Votre adresse IP 1 $ RewriteCond de% {REMOTE_ADDR}! ^ Votre adresse IP 2 $ RewriteCond de% {REMOTE_ADDR}! ^ Votre adresse IP 3 $ RewriteCond de% {REMOTE_ADDR}! ^ Votre adresse IP 4 $ RewriteCond de% {REMOTE_ADDR}! ^ Votre adresse IP 5 $ RewriteRule ^ (. *) $ - [R = 403, L] 

Veillez à modifier votre adresse IP 1 jusqu'à votre adresse IP 5 avec les différentes adresses IP auxquelles vous souhaitez donner accès; vous pouvez simplement ajouter ou supprimer une ligne pour autoriser ou empêcher plus d'adresses IP d'accéder à votre site.

Conclusion

Bien sûr, vous ne devriez pas ignorer les conseils de sécurité de base comme ne pas utiliser un nom d'utilisateur prévisible, avoir un mot de passe fort, mettre régulièrement à jour votre installation WordPress, etc. Cependant, les conseils de sécurité ci-dessus sont souvent ignorés. WordPress blog juste un peu plus sécurisé.

Note de l'éditeur : Ce billet d'invité est écrit pour Hongkiat.com par John Stevens . John est un expert WordPress et d'hébergement. Il est le fondateur et PDG de HostingFacts.com , un portail où il examine et évalue les hébergeurs en fonction de la performance.