18 plugins et conseils de sécurité Wordpress pour sécuriser votre blog

Publicité

Sans aucun doute, pour un blog auto-hébergé, WordPress est le meilleur CMS de blog que vous pouvez obtenir. Cependant, étant un logiciel open source populaire, cela signifie également que les pirates ont un accès complet à la code qu'ils peuvent scruter pour trouver tous les exploits qu'ils peuvent utiliser pour pirater n'importe quel WordPress-activé site.

Du bon côté, l'une des meilleures choses à propos de WordPress est son système de plugins qui permet à quiconque de installer des plugins ou créer vos propres plugins pour étendre ses fonctionnalités, notamment en améliorant Sécurité.

Ici, j'ai répertorié quelques plugins de sécurité wordpress (et quelques astuces) que vous pouvez utiliser pour sécuriser le blog WordPress.

Tous les plugins et astuces répertoriés ci-dessous sont destinés à WP 2.7 et supérieur. Si vous utilisez toujours une ancienne version de WordPress, il est temps de mettre à jour votre blog.

Protéger votre connexion

Ce plugin utilise le TYPE protocole pour crypter votre mot de passe. Le mot de passe est d'abord salé avec un nombre aléatoire (nonce) généré par la session, suivi de l'algorithme de transformation md5. Ce résultat est ensuite envoyé au serveur où il est décrypté et authentifié. Il s'agit d'un plugin à configuration nulle, ce qui signifie que vous pouvez l'utiliser immédiatement après l'avoir activé.

2. Connexion furtive

Stealth Login obscurcit votre page de connexion en vous permettant de définir une page de connexion personnalisée plutôt que le wp-login.php par défaut. En cas de fuite de votre mot de passe, le pirate aura également du mal à trouver l'URL de connexion correcte. Une bonne utilisation de ceci est d'empêcher tout robot malveillant d'accéder à votre fichier wp-login.php et de tenter de s'introduire.

Le verrouillage de la connexion est utile pour empêcher une attaque par force brute. Ce que Login LockDown fait est d'enregistrer l'adresse IP et l'horodatage de chaque tentative de connexion échouée. Si plus d'un certain nombre de tentatives sont détectées dans un court laps de temps à partir de la même plage IP, cela verrouillera la fonction de connexion et empêchera toute personne de cette plage IP de se connecter.

Ce plugin ajoute une authentification HTTP supplémentaire pour fournir une deuxième couche de défense pour votre blog. Vous pouvez configurer la protection par mot de passe pour votre blog à l'aide de l'authentification de base HTTP, ou vous pouvez choisir d'utiliser l'authentification HTTP Digest plus sécurisée.

Notez que ce plugin peut / peut ne pas fonctionner selon la capacité de votre serveur. Si votre site ne passe pas les tests de configuration AskApache (les tests exécutés par le plugin pour détecter vos capacités de serveur), contactez votre hébergeur et voyez s'il peut apporter des modifications sur le serveur côté.

Ce plugin fournit un environnement de connexion «semi-sécurisé» en chiffrant votre mot de passe avec le Cryptographie RSA

Protéger votre base de données

Peut-être pour certains d'entre vous, sauvegarder une base de données pourrait signifier une corvée technique gênante. Avec WP-DB-Backup, il vous suffit de le configurer une fois et de l'exécuter automatiquement à intervalles réguliers.

Ce que ce plugin fait est d'automatiser la sauvegarde de votre base de données et de l'envoyer dans votre boîte de réception. Outre la table par défaut créée par WordPress, vous pouvez également sauvegarder des tables personnalisées créées par des plugins. Dans le cas où votre compte se bloque, vous pouvez facilement importer et restaurer la base de données avec la sauvegarde.

Wp-DBManager est comme un phpmyadmin dans votre tableau de bord. Vous pouvez facilement gérer votre base de données directement dans votre tableau de bord. Il existe des fonctionnalités utiles telles que l'optimisation / la réparation / la sauvegarde / la restauration de votre base de données et si vous êtes suffisamment technique, vous pouvez même exécuter votre propre requête SQL à partir de la page d'options.

Du mauvais côté, si des pirates parviennent à se connecter à votre site, ce plugin va être une passerelle pour eux afin de créer des ravages dans votre base de données.

8. Changer le préfixe de la table de base de données

Le préfixe par défaut utilisé par WordPress est «wp». Vous pouvez facilement changer le préfixe en d'autres termes difficiles à deviner en utilisant le WP-Security-Scan. Plus de détails sur ce plugin ci-dessous.

9. Protégez votre fichier wp-config.php

Votre fichier wp-config.php contient tous vos identifiants de connexion à la base de données et il doit être caché à la vue du public en toutes circonstances. Dans votre fichier htaccess, mettez cette ligne:

permettre, refuser. nier de tout. 

pour empêcher quiconque de visualiser le fichier wp-config.php.

Protéger votre page d'administration

Ce plugin force SSL sur toutes les pages où les mots de passe peuvent être saisis afin que toutes les informations transmises soient cryptées.

Une chose cependant, vous devez posséder un certificat SSL avant de pouvoir le faire. Si vous n'êtes pas prêt à débourser de l'argent supplémentaire pour acheter un certificat SSL privé, vous pouvez interroger votre hébergeur sur SSL partagé. La plupart des hébergeurs Web fournissent un SSL partagé pour tous leurs clients et il est facile à configurer.

11. Changer le nom d'utilisateur de connexion

Utiliser "admin" comme nom d'utilisateur de connexion est la dernière chose que vous voulez faire. Lorsque vous avez installé WordPress pour la première fois, vous devez immédiatement créer un autre compte administrateur avec votre propre nom d'utilisateur et mot de passe et supprimer le compte «admin».

Empêcher les autres de visualiser la structure de vos fichiers internes

12. Masquer la version WP

Dans la plupart des thèmes WordPress sous le

, il y a toujours une ligne de code indiquant la version WordPress que vous utilisez. Donner votre numéro de version WordPress signifie dire au pirate quel exploit utiliser pour pirater votre site.

Depuis WP2.6.5, WordPress a rendu encore plus difficile la suppression de la version wp car il intègre ces informations dans le wp_header étiquette. Un plugin que vous pouvez utiliser pour supprimer ces informations est WP-Security-Scan.

13. Masquer le contenu WP

Le dossier WP-content est l'endroit où vous avez stocké tous vos plugins et fichiers de thème. C'est l'endroit où vous voulez empêcher les autres de regarder. Vous pouvez soit télécharger un blanc index.html fichier dans le dossier wp-content, ou créez un fichier .htaccess dans le dossier wp-content et ajoutez cette ligne:

Options Tous -Indexes
14. Bloquer l'indexation du dossier wp par les moteurs de recherche
Alors que vous voulez que les moteurs de recherche indexent votre blog et génèrent beaucoup de trafic, la dernière chose que vous voulez voir est de laisser les moteurs de recherche exposer votre structure de fichiers interne au public. Ce que vous pouvez faire est de bloquer l'indexation de tous vos dossiers wp par le moteur de recherche en ajoutant les entrées suivantes au robot.txt:
Interdire: / wp- * 
Entretien
J'ai mentionné ce plugin plusieurs fois, il est donc temps pour moi d'expliquer ce qu'il fait. WP-Security-Scan vérifie votre WordPress pour les vulnérabilités de sécurité et suggère / fournit des actions correctives. Les actions correctives incluent la modification du préfixe de votre base de données, le masquage du numéro de version WordPress de l'en-tête et vous permet de tester la force de votre mot de passe.
De temps en temps, c'est une bonne idée d'exécuter le scanner de sécurité intégré et de vérifier votre blog pour toute invulnérabilité de sécurité.
16. Changer régulièrement de mot de passe
Non seulement vous devez changer votre mot de passe régulièrement, mais vous devez également vous assurer qu'il est solide. Si vous avez des difficultés à en créer un, trouvez-en un créez des mots de passe forts dont vous vous souviendrez facilement Comment créer facilement des mots de passe forts dont vous pouvez vous souvenir Lire la suite .
17. Mettre à jour WordPress et tous les plugins vers la dernière version
Inutile de dire que la mise à niveau vers la dernière version de WordPress et des plugins est le meilleur moyen de vous protéger.
Protéger votre connexion
18. SFTP
Le transfert de fichiers vers votre compte en ligne est une opération courante. Cependant, au lieu d'utiliser le FTP non sécurisé, vous devez utiliser SFTP (FTP sécurisé). Cela créera une connexion SSH et enverra tous vos fichiers cryptés au serveur. Si vous avez besoin d'aide pour créer une connexion SFTP, voici le guider.
Les informations ci-dessus devraient être suffisantes pour que vous puissiez créer un blog WordPress sécurisé. Si vous n’avez mis en œuvre aucun de ces éléments, je vous prie de le faire maintenant.
Quelles autres méthodes utilisez-vous pour sécuriser votre blog WordPress?