Publicité
Les botnets du monde entier ont détourné leur attention de l'envoi de spams au piratage systématique des installations WordPress; c'est une entreprise lucrative étant donné que WordPress alimente 40% de tous les blogs. Surtout étant donné que même nous en avons été victimes, il est grand temps que nous publions un article complet sur la façon exacte de protéger votre installation WordPress auto-hébergée.
Remarque: ce conseil ne s'applique qu'aux installations WordPress auto-hébergées. Si vous utilisez WordPress.com, vous n'avez généralement pas besoin de vous soucier de la sécurité, car ils s'occupent de tout pour vous.Quelle est la différence entre WordPress.com et WordPress.org? Quelle est la différence entre gérer votre blog sur Wordpress.com et Wordpress.org?Wordpress alimentant désormais 1 site Web sur 6, ils doivent faire quelque chose de bien. Pour les développeurs expérimentés et le novice complet, Wordpress a quelque chose à vous offrir. Mais juste au début ... Lire la suite
Installer l'authentificateur Google en deux étapes
Si vous avez déjà activé l'authentification en deux étapes pour votre compte Gmail ou d'autres services, vous pouvez utiliser la même application d'authentification avec ce plugin pour WordPress.
Heureusement, vous pouvez limiter l'authentification en deux étapes à utiliser uniquement sur les comptes de niveau supérieur afin de ne pas déranger tous vos utilisateurs.
Verrouillage de la connexion
Un ancien plugin, mais fonctionnant toujours comme prévu; Verrouillage de la connexion vérifie l'adresse IP des tentatives de connexion et bloque une plage d'adresses IP pendant une heure si elle échoue 3 fois en 5 minutes. Simple, efficace.
Prendre des sauvegardes régulières
Les pirates ne changeront pas seulement un fichier, mais placeront leur propre panneau de contrôle caché quelque part et d'autres backdoors cachés - de sorte que même si vous corrigez le hack d'origine, ils reviennent et font tout encore. Prenez des sauvegardes quotidiennes ou hebdomadaires afin de pouvoir facilement restaurer à un point où il n'y avait aucune trace du pirate - et assurez-vous de corriger tout ce qu'ils ont fait pour y entrer. Personnellement, je viens d'investir dans 150 $ Copain de sauvegarde licence de développeur - c'est la solution de sauvegarde la plus simple et la plus complète que j'ai trouvée à ce jour.
Empêcher l'indexation des dossiers
Vérifiez la racine de votre installation WordPress pour le fichier .htaccess (notez la période au début - vous devrez peut-être afficher des fichiers invisibles pour le voir) et assurez-vous qu'il a la ligne suivante. Sinon, ajoutez-le - mais faites d'abord une sauvegarde car ce fichier est assez crucial.
Options Tous -Indexes
Restez à jour
Ne commettez pas la même erreur que nous: mettez toujours à niveau WordPress dès qu'une mise à jour est disponible. Parfois, les mises à jour contiennent des corrections de bugs mineurs et non des correctifs de sécurité, mais prenez l'habitude et vous n'aurez aucun problème. Si vous avez plusieurs installations WordPress et que vous ne pouvez pas toutes les suivre, consultez ManageWp.com, un tableau de bord premium pour tous vos blogs qui inclut une analyse de sécurité.
Pas seulement les fichiers WordPress de base, mais aussi les plugins: l'un des plus gros hacks WordPress du passé impliquait une vulnérabilité dans un script de générateur de vignettes commun appelé timthumb.php, et il existe encore des thèmes qui utilisent l'ancienne version. Bien que les plugins aient été rapidement mis à jour, la mise à jour des thèmes est plus difficile, bien sûr - WordPress ne le dira pas vous si votre thème est vulnérable, et pour cela, vous aurez une sorte de plug-in de numérisation de sécurité - faites défiler jusqu'à la Plugins de sécurité section ci-dessous pour quelques suggestions.
Ne jamais télécharger de thèmes aléatoires
À moins que vous sachiez ce que vous faites avec le code PHP, il est très facile de tomber dans le piège de télécharger un joli thème aléatoire à partir de quelque part, seulement pour trouver qu'il contient du code désagréable - le plus souvent des backlinks que vous ne pouvez pas supprimer, mais le pire peut être a trouvé. Restez fidèle à des concepteurs de thèmes haut de gamme et bien connus (tel que Smashing Magazine ou WPShower), ou pour les thèmes gratuits, utilisez uniquement le répertoire des thèmes WordPress.
Supprimer les plugins et les thèmes inutilisés
Moins vous avez de code exécutable sur votre serveur, mieux c'est - supprimez les risques d'avoir du vieux code vulnérable en supprimant les thèmes et les plugins que vous n'utilisez plus. Les désactiver arrêtera simplement le chargement de leurs fonctionnalités avec WordPress, mais le code lui-même peut toujours être exécutable par un pirate.
Supprimer Meta révélateur dans votre en-tête
Par défaut, WordPress diffuse sa version dans le monde entier dans le code de votre fichier d'en-tête - un moyen facile pour les pirates d'identifier les installations plus anciennes. Ajoutez les lignes suivantes à votre thème functions.php pour supprimer la version WordPress, les informations de Windows Live Writer et une ligne qui aide les clients distants à trouver votre fichier XML-RPC.
remove_action ('wp_head', 'wp_generator'); remove_action ('wp_head', 'wlwmanifest_link'); remove_action ('wp_head', 'rsd_link');
Supprimer le compte «admin»
La plupart des attaques par force brute sur WordPress impliquent d'essayer à plusieurs reprises le administrateur compte - la valeur par défaut pour toutes les installations WordPress - et un dictionnaire de mots de passe courants. Si vous vous connectez avec admin ou si le compte administrateur est répertorié dans votre tableau d'utilisateurs, vous êtes vulnérable à cela.
Deux façons de le corriger: soit utiliser plugin wp-optimise - un excellent plugin qui, entre autres, vous permet de désactiver les révisions de poste et d'effectuer l'optimisation de la base de données - pour renommer le compte administrateur. Ou créez simplement un autre compte avec des privilèges d'administrateur, connectez-vous en tant que nouvel utilisateur, puis supprimez le compte «admin» attribuez tous les messages à votre nouvel utilisateur.
Mots de passe sécurisés
Même si vous avez désactivé le compte administrateur, il peut être possible d'identifier le nom d'utilisateur de votre compte administrateur - auquel cas vous êtes à nouveau vulnérable à une attaque par force brute. Appliquez une politique de mot de passe fort de 16 caractères aléatoires ou plus comprenant des majuscules et des minuscules, de la ponctuation et des chiffres.
Ou utilisez simplement le reallyLongSentenceThatsEasyToRememberMethod.
Désactiver l'édition de fichiers dans WordPress
Pour ceux qui n'aiment pas se connecter via FTP, WordPress inclut un éditeur simple dans le tableau de bord d'administration pour les fichiers PHP de thème et de plugin - mais cela rend votre installation vulnérable si quelqu'un y accède. En fait, c'est ainsi que quelqu'un a réussi à injecter une redirection de malware dans notre en-tête. Ajoutez la ligne suivante au bas de votre wp-config.php (dans le dossier racine) pour désactiver toutes les fonctions d'édition de fichiers - et utiliser SFTP Qu'est-ce que SSH et en quoi il diffère du FTP [Explication de la technologie] Lire la suite pour vous connecter à votre serveur à la place.
define ('DISALLOW_FILE_EDIT', true);
Masquer les erreurs de connexion
Un mot de passe incorrect ou un nom d'utilisateur incorrect peut être identifié par les erreurs fournies lors de la connexion, qui pourraient être utilisées pour identifier les comptes pour le forçage brutal. Ce n'est pas bon, évidemment, alors tuez les erreurs avec cet ajout à votre thème functions.php fichier
function no_errors_please () {return 'Nope'; } add_filter ('login_errors', 'no_errors_please');
Activez Cloudflare
En plus d'accélérer votre site, CloudFlare empêche de nombreux botnets et scanners connus d'accéder à votre blog en premier lieu. Lis tout sur CloudFlare Protégez et accélérez votre site Web gratuitement avec CloudFlareCloudFlare est une start-up intrigante des créateurs de Project Honey Pot qui prétend protéger votre site Web contre les spammeurs, les robots et autres monstres Web maléfiques - ainsi que pour accélérer votre site quelque peu... Lire la suite ici. L'installation est en un clic si vous êtes hébergé chez MediaTemple, sinon vous aurez besoin d'accéder au panneau de configuration du domaine pour modifier les serveurs de noms.
Plugins de sécurité
- Meilleure sécurité WP implémente un grand nombre de ces correctifs pour vous et est la solution gratuite la plus complète qui soit.
- WordFence est un package premium qui analyse activement vos fichiers à la recherche de liens malveillants, de redirections, de vulnérabilités connues, etc. - et les corrige. Le prix commence à 18 $ / an pour 1 site.
- Solution de sécurité de connexion les deux limitent les tentatives de connexion et appliquent les mots de passe sécurisés.
- Sécurité BulletProof est un plugin complet mais complexe qui traite de certains des aspects les plus techniques comme l'injection XSS et les problèmes .htaccess. Une version Pro du plugin est également disponible qui automatise une grande partie du processus.
Je pense que vous conviendrez qu'il s'agit d'une liste assez complète d'étapes pour durcir WordPress, mais je ne vous suggère pas de mettre en œuvre tout d'eux. Si je devais faire tout cela pour tous les sites que j'ai créés, je les installerais maintenant. L'exécution de tout type de système présente un risque, et c'est finalement à vous de trouver l'équilibre entre les le niveau de sécurité que vous voulez et l'effort que vous voulez faire pour le sécuriser - rien ne va jamais à 100% sécurise. Les fruits bas suspendus ici sont:
- Tenir WordPress à jour
- Désactiver le compte administrateur
- Ajout d'une authentification en deux étapes
- Installer un plugin de sécurité
Faire cela seul devrait vous placer au-dessus de 99% de tous les autres blogs, ce qui est suffisant pour inciter les pirates potentiels à se diriger vers des cibles plus faciles.
Pensez-vous que j'ai raté quelque chose? Dites-moi dans les commentaires.
James est titulaire d'un BSc en intelligence artificielle et est certifié CompTIA A + et Network +. Il est le développeur principal de MakeUseOf et passe son temps libre à jouer au paintball VR et aux jeux de société. Il construit des PC depuis qu'il est enfant.