Publicité
L'exécution d'un site Web basé sur WordPress est souvent un plaisir, vous permettant de vous concentrer sur le contenu et d'établir des relations avec les lecteurs et d'autres sites Web.
Cependant, tout le monde sur le Web n'est pas aussi sympathique que vous. Quelque part, il y a une liste avec le nom de votre blog, où il se trouve, en attente d'être ciblé par des pirates. Lorsqu'ils se déplaceront sur votre blog, ils essaieront diverses tactiques pour y accéder, peut-être dans le but de vendre des drogues légales ou d'infecter les ordinateurs de vos visiteurs avec des logiciels malveillants.
Heureusement, il existe différentes façons de protéger votre blog WordPress contre les pirates.
Mettre à jour régulièrement WordPress
L'une des solutions les plus puissantes mais souvent ignorées pour protéger WordPress des pirates consiste à s'assurer qu'il est régulièrement mis à jour.
De toute évidence, il y a un inconvénient à cela - certains de vos meilleurs plugins WordPress Les meilleurs plugins WordPress Lire la suite
pourrait cesser de fonctionner si WordPress est mis à jour - mais en même temps, il devrait être considéré comme une opportunité de actualisez vos plugins, trouvez des remplacements qui sont eux-mêmes sécurisés et fiables et resserrez votre site Web ou blog. S'en tenir aux plugins qui se trouvent dans le répertoire WordPress est également un bon moyen de garder les choses sous contrôle.La mise à jour de WordPress est possible à partir du tableau de bord, mais faites toujours une sauvegarde de votre base de données avant de le faire.
Gardez des sauvegardes régulières
Une procédure importante pour tous les propriétaires de blogs WordPress consiste à s'assurer que les sauvegardes sont effectuées régulièrement et qu'elles peuvent facilement être restaurées en cas de pire.
Les solutions sont nombreuses, mais Cloudsafe365 est l'une des plus puissantes, combinant la sauvegarde cloud (Dropbox peut être utilisée) avec divers outils de protection sécurisés contre des techniques telles que l'écriture de scripts intersites, l'injection SQL et même la surveillance du contenu vol.
Cloudsafe365, disponible sur le Site des plugins WordPress, se décline en trois saveurs. Une option gratuite couvre les éléments énumérés ci-dessus, tandis que les options payantes offrent d'autres fonctionnalités telles que la protection contre l'injection de code et les attaques par force brute.
Installer un plug-in de connexion crypté
La protection de l'acte réel de connexion à votre site Web WordPress est mieux effectuée en utilisant un plug-in de connexion crypté, car le logiciel du site Web ne dispose pas de cette fonctionnalité par défaut. Probablement la meilleure solution pour cela - parfaite pour protéger les informations de connexion de votre blog contre les renifleurs de paquets sur les réseaux sans fil - est Connexion sécurisée Chap, qui utilise l'algorithme SHA-256 pour protéger votre nom d'utilisateur et votre mot de passe.
Pendant ce temps, le Verrouillage de la connexion Le plugin est un moyen utile de bloquer les adresses IP qui enregistrent les tentatives infructueuses répétées d'accéder à votre site.
D'autres étapes de protection de connexion que vous pouvez prendre incluent l'installation d'un plugin CAPTCHA puissant. RetinaPost est un plugin particulièrement impressionnant, obligeant les utilisateurs à saisir les caractères en surbrillance d'une phrase plutôt que d'essayer de déchiffrer des images de texte foirées ou de relever des défis mathématiques. Toute tentative de perturber votre blog en utilisant le système de commentaires peut être considérablement réduite en utilisant ce plugin.
Masquer «Propulsé par WordPress»
Les pirates ont une tactique différente pour chacun des différents types de logiciels de site Web utilisés, mais vous pouvez rendre les choses plus difficiles pour eux en ne annonçant pas le fait que votre site Web est "Propulsé par WordPress ».
Par défaut, ces informations se trouvent dans le fichier footer.php, accessible en accédant au tableau de bord de votre blog, en sélectionnant Apparence> Editeur à modifier dans la fenêtre du navigateur. Différents thèmes nécessiteront différentes méthodes pour supprimer ce texte, vous devez donc vérifier en ligne pour trouver la meilleure approche (si du texte brut est utilisé pour afficher la légende, supprimez-le; si du code PHP est utilisé, soyez prudent sauf si vous savez ce que vous faites).
Changer le nom d'utilisateur de l'administrateur
Une façon dont les pirates peuvent trouver un moyen d'accéder à votre site est d'utiliser un logiciel de force brute qui tentera plusieurs connexions utilisant des mots et expressions courants comme mots de passe, associées à une sélection de noms d'utilisateur.
Le nom d'utilisateur de l'administrateur dans WordPress peut être sélectionné lors de la configuration du logiciel, mais dans la précipitation pour faire avancer les choses, de nombreux utilisateurs le laissent au choix par défaut «admin». Comme les noms d'utilisateur évidents vont, cela vient en haut de la liste, c'est pourquoi le changer est important.
Il existe deux façons de modifier le nom d'utilisateur administrateur. Tout d'abord, vous pouvez créer un deuxième compte administrateur avec un nom d'utilisateur qui n'est pas évident, puis supprimer l'utilisateur d'origine. Notez cependant que cela peut avoir un effet sur tous les articles écrits sous le compte administrateur (ils seront peut-être non publiés jusqu'à ce qu'un nouveau nom soit défini, ou afficher une erreur sur la page de publication).
Le moyen le plus efficace est probablement d'accéder au phpMyAdmin de votre site, sélectionnez WordPress base de données, recherchez la table wp_users («wp_» est un préfixe par défaut qui peut avoir été modifié lors de l'installation) et Utilisez le Feuilleter icône pour trouver le nom d'utilisateur «admin».
Une fois découvert, recherchez la colonne user_login, cliquez sur le Éditer sur la ligne appropriée, puis remplacez «admin» par le nom de connexion de votre compte administrateur préféré, en cliquant sur Aller quand vous avez terminé.
Déplacer le fichier wp-config
Un problème flagrant avec WordPress est que les détails de sécurité clés sont stockés dans un seul fichier non crypté qui peut être piraté et utilisé pour prendre le contrôle de votre blog. Le fichier wp-config.php contient les informations de connexion administrateur ainsi que le nom d'utilisateur et le mot de passe de la base de données MySQL.
Par conséquent, la sécurisation de ce fichier est primordiale si vous souhaitez protéger le site contre les pirates.
Une chose que vous ne devriez pas faire, cependant, est de supprimer wp-config - cela rendrait votre site inutilisable (et plutôt vide). Alors, comment protégez-vous votre site contre cette vulnérabilité bizarre?
Depuis la sortie de WordPress 2.8, les propriétaires de blogs ont la possibilité de déplacer le fichier vers le répertoire Web racine du serveur. Cela signifie, par exemple, que si votre site est installé dans www.mysite.com/wordpress, le fichier wp-config.php peut être déplacé d'un niveau vers le répertoire mysite.
Conclusion
Quelle que soit votre technique ou non technique, si vous gérez un blog WordPress, il n'y a aucune excuse pour ne pas mettre en œuvre tout ou partie de ces outils pour protéger votre site Web contre les pirates.
Après tout, à quoi bon mettre tout ce dur labeur pour découvrir que quelqu'un a repris le site et vous coûte maintenant vos visiteurs réguliers en faisant de la publicité pour le Viagra?
Ces étapes peuvent être mises en œuvre en seulement quelques heures - peut-être un seul week-end le matin si vous êtes pressé par le temps - alors ne l'ignorez pas, agissez maintenant.
Christian Cawley est rédacteur en chef adjoint pour la sécurité, Linux, le bricolage, la programmation et la technologie expliquée. Il produit également le podcast vraiment utile et possède une vaste expérience en matière de support de bureau et de logiciels. Contributeur au magazine Linux Format, Christian est un bricoleur de Raspberry Pi, un amoureux des Lego et un fan de jeux rétro.
