Publicité

Avec la popularité croissante de WordPress, les problèmes de sécurité n'ont jamais été aussi pertinents - mais à part simplement se tenir à jour, comment un utilisateur débutant ou moyen peut-il rester au courant? Savez-vous même si votre blog a été piraté? Un nouveau service utile de WebsiteDefender vise à résoudre ce problème.

Est-ce que cela en vaut la peine? Je veux dire, ça ne m'arriverait jamais, Est-ce que cela serait? Eh bien, une vulnérabilité a été récemment découvert dans timthumb.php, un utilitaire de création de vignettes utilisé dans un pourcentage considérablement élevé d'anciens thèmes et plug-ins (avant que WordPress ne crée des vignettes et des images dans le système principal). Étant donné que ce fichier peut être détecté à l'aide de scanners automatisés, les chances de votre blog piraté Un nouveau malware souligne l'importance de mettre à jour et de sécuriser votre blog WordPressLorsqu'une infection malveillante aussi dévastatrice que le nouveau SoakSoak.ru survient, il est essentiel que les propriétaires de blogs WordPress agissent. Vite. Lire la suite

instagram viewer
au cours des prochains mois est plutôt élevé - et vous ne saurez même pas si c'est le cas. J'ai vu cela se produire à quelques reprises au cours de la dernière semaine seulement et maintenant, ils doivent faire face aux retombées.

Comment savoir si votre site a été piraté?

Normalement, non. Le piratage le plus courant que j'ai vu est l'endroit où le site normal et les panneaux d'administration fonctionnent normalement. Cependant, tous les visiteurs de Google sont piratés et envoyés vers un site en Russie. Bien sûr, comme il est peu probable que vous utilisiez Google sur votre propre site, le piratage reste non détecté jusqu'à ce que vos utilisateurs vous donnent des commentaires, votre site Web les hôtes vous arrêtent en tant que menace, ou vous recevez l'avertissement redouté de Google lui-même disant que votre site Web héberge désormais officiellement des logiciels malveillants. Au revoir le trafic!

Le pirate installe généralement également un backend GUI complet sur votre serveur, donnant à toute personne disposant de l'URL un accès à tous vos fichiers et libre de faire ce qu'elle veut. C'est assez effrayant, et en raison de la façon dont ils peuvent ajuster les fichiers de base, la récupération d'une telle attaque prend beaucoup de travail, et ce n'est certainement pas quelque chose qu'un utilisateur ordinaire peut faire.

Alors… Comment puis-je protéger mon blog?

Heureusement, c'est gratuit WebsiteDefender le service peut analyser votre site. Allez là-bas pour s'inscrire. Cependant, ce service n'est disponible que pour les blogueurs WordPress exécutant auto-hébergé Explication des différentes formes d'hébergement de sites Web [Explication de la technologie] Lire la suite installe. Si vous utilisez WordPress.com, Blogger.com ou un autre blog hébergé gratuit similaire, vous ne pouvez pas l'utiliser. Les plans d'hébergement gratuits ne fonctionnent pas non plus. Vous devez être en mesure de télécharger un fichier de vérification sur votre serveur avant que l'analyse ne commence, et les comptes gratuits sont limités à un site Web.

sécurité wordpress

Inscription et vérification

Une fois que vous avez vérifié votre adresse e-mail saisie lors de l'inscription, vous serez redirigé vers une page où vous pourrez télécharger un petit fichier de vérification. Cela doit être téléchargé à la racine de votre site Web. Lorsque vous avez terminé, revenez sur le site et cliquez sur le bouton TEST.

plugins de sécurité wordpress

Si vous obtenez une erreur similaire à celle que j'ai reçue, téléchargez simplement le fichier zip comme indiqué, puis téléchargez également le fichier compat répertoire à la racine de votre site.

plugins de sécurité wordpress

Vraisemblablement, il a besoin de bibliothèques PHP supplémentaires pour aider l'analyse que votre serveur ne possède pas. Après avoir téléchargé le dossier dans le même répertoire racine que le fichier de vérification que vous avez fait un instant, appuyez à nouveau sur TEST et vous devriez obtenir une confirmation que l'analyse va bientôt s'exécuter.

plugins de sécurité wordpress

Lors de mes tests, un e-mail est arrivé après environ 2 heures détaillant les problèmes, alors ne vous inquiétez pas si cela prend un certain temps.

Les avertissements que vous recevrez seront classés de Critique à Faible, mais il s'est produit quelques erreurs de sécurité inattendues dans mon rapport que je devrai traiter. Il considère également que WordPress et les mises à jour des plugins sont de sécurité moyenne, donc si vous n'avez malheureusement pas encore mis à jour quelque chose, cela vous servira de rappel utile.

Chaque problème sera également lié à une explication et des instructions plus détaillées sur la façon de le résoudre, ce qui est incroyablement utile pour ceux d'entre nous qui sont moins techniques sur les sites Web et les serveurs. Ne vous inquiétez pas si vous avez supprimé l'e-mail - vous pouvez accéder à tout moment à une ventilation complète du rapport à partir du tableau de bord.

sécurité wordpress

Plugins

L'équipe de Website Defender possède également quelques plugins que vous pouvez utiliser pour sécuriser WordPress, mais curieusement, il n'en fait aucune mention lorsque vous effectuez le scan via la méthode de site Web décrite ci-dessus.

Cela effectue un audit de sécurité de base pour vous sur des choses telles que les autorisations de répertoire, le préfixe de base de données, les autorisations .htaccess, les noms d'utilisateur par défaut et le masquage de la version WordPress.

Cela verrouillera et effectuera un certain nombre de mesures de sécurité pour protéger votre wordpress. Cela revient essentiellement à supprimer toutes les références à votre version WordPress, à supprimer certaines lignes de votre en-tête pour Windows Live Writer, et empêcher la liste de vos répertoires de thèmes et plugins - entre autres.

Les deux plugins incluent des formulaires d'inscription au service en ligne de Website Defender et semblent vous permettre de créer un lien vers un compte existant. Cependant, lors des tests, je n'ai pas pu les lier car mon quota gratuit d'un site Web était déjà épuisé (malgré le fait que j'essayais de lier la même URL de toute façon, il semblait penser que c'était différent site).

Conclusion

Le fait qu'il existe deux plugins disponibles ainsi que la possibilité d'exécuter l'analyse sans plugin via le site Web est pour être honnête - le scan lancé par le site Web ne mentionne même pas les plugins, et je ne vois pas la logique derrière cette. Bien que chaque plugin soit unique, il est difficile de comprendre pourquoi ils n'ont pas simplement créé un seul plugin de sécurité ultime qui renforce à la fois votre WordPress et recherche les problèmes. J'ai également constaté que la méthode de numérisation via le site Web montrait plus de problèmes de sécurité que l'utilisation du plug-in WP-Security-Scan, probablement en raison des restrictions imposées à ce Plugins WordPress Les meilleurs plugins WordPress Lire la suite peut réellement faire.

Cela ne veut pas dire que je ne recommande pas complètement le service gratuit - parce que je pense que vous devriez y aller inscrivez-vous maintenant et assurez-vous que vous n'êtes pas vulnérable au nombre croissant de WordPress exploits. En fait, je recommanderais une combinaison du plugin WordPress sécurisé pour le verrouiller, tout en effectuant le scan réel via la méthode du site Web. Faites-moi savoir comment cela se passe dans les commentaires.

James est titulaire d'un BSc en intelligence artificielle et est certifié CompTIA A + et Network +. Il est le développeur principal de MakeUseOf et passe son temps libre à jouer au paintball VR et aux jeux de société. Il construit des PC depuis qu'il est enfant.