Si vous avez un site WordPress, votre système est attaqué par des pirates informatiques tout le temps.
Ils sont constamment à la recherche de faiblesses qui les laisseront entrer, qu’il s’agisse d’un plugin obsolète, d’un thème ou d’un mot de passe facile à comprendre. Une fois qu’ils sont entrés, ils peuvent évidemment s’emparer du comportement.
Juste pour prouver ce dont je parle, voici ce que dit mon tableau de bord WordPress en ce moment.
C'est pourquoi votre site WordPress doit absolument être à l'épreuve des balles. Voici les meilleures façons de le faire, sur la base de mes consultations avec les entreprises.
Obtenir le meilleur nom d'utilisateur et mot de passe possibles
Si je l'ai vue une fois, je l'ai vue mille fois. Les utilisateurs configurent des sites Web WordPress avec le nom d’utilisateur et le mot de passe définis à «admin», puis se demandent pourquoi ils ont été piratés.
Votre page de connexion est essentiellement la porte d’entrée de votre site Web. Il est donc logique de rendre aussi difficile l'entrée d'un intrus. Vous ne voudriez pas laisser la porte de votre maison ouverte, si?
In_content_1 tout: [300x250] / dfp: [640x360]->De nombreux hôtes Web automatiseront la configuration de WordPress pour vous et, le cas échéant, vous devrez spécifier un nom d'utilisateur différent de "admin". Si vous utilisez «admin», vous simplifiez trop la tâche d’un hacker.
Obtenez un nom d’utilisateur impossible à deviner. N'utilisez pas un nom d'utilisateur que vous utilisez ailleurs sur Internet. Il suffit que Google vous trouve ces noms d'utilisateurs.
En ce qui concerne le mot de passe, accordez-vous une énorme faveuret obtenez un gestionnaire de mots de passe. Un logiciel libre et open source que je recommande vivement est KeyPass. Ensuite, définissez votre mot de passe WordPress d’au moins 30 caractères avec des caractères spéciaux ajoutés au mélange. Oui c'est vrai. 30 caractères.
Installer le plugin AnAnti-Brute-Force
Pour renforcer cette métaphore de la porte, il est également judicieux d’ajouter des verrous de sécurité. Pour WordPress, quatre options vous sont proposées: Google Authenticator, Authy, Login Lockdown ou reCAPTCHA.
Pour être clair, Google Authenticatorand Authy fait la même chose. Vous obtenez un code sur votre smartphone et vous l’entrez sur la page de connexion. Sans cela, l'entrée est refusée.
Le verrouillage de connexion est un plug-in qui limite le nombre de tentatives de connexion erronées avant que l'adresse IP de la personne ne soit bloquée pendant un certain temps que vous spécifiez. Vous pouvez même installer ceci avec Authenticator pour une sécurité à toute épreuve.
reCAPTCHA n’est pas mon préféré mais c’est mieux que rien. Il n’est pas non plus infaillible car il a déjà été craqué. Mais comme je l'ai dit, mieux que rien. reCAPTCHA oblige l'utilisateur à taper une séquence de mots ou à cliquer sur certaines images.
Assurez-vous que tous les modules et plugins sont mis à jour
L'étape suivante consiste à s'assurer que tous vos thèmes et plug-ins sont mis à jour régulièrement. base. Encore une fois, toutes les vulnérabilités - connues et inconnues - peuvent être utilisées par un pirate informatique pour les exploiter à l’extérieur d’un site.
Surveillez bien la page «Mises à jour» où sont répertoriées toutes les mises à niveau disponibles. Cela devrait être fait quotidiennement. Vous pouvez trouver la page Mises à jour sous un sous-onglet sous l'onglet Tableau de bord.
Désactiver les thèmes et les plug-ins AnyUnneeded
Tout comme vous devriez garder tous les thèmes et plugins à jour, vous devriez aussi désactiver ceux que vous pas besoin.
Il n'y a aucune raison de garder actifs les plug-ins et les plugins inutilisés, ce qui ne fait qu'augmenter le risque de découverte d'une vulnérabilité suffisamment grande pour laisser entrer un attaquant. Supprimez donc les thèmes que vous n'utilisez pas. Ils peuvent toujours être réinstallés ultérieurement.
En ce qui concerne les plug-ins, supprimez-les soit, au moins, désactivez-les.
Ne pas autoriser personne à créer des comptes d'utilisateurs
Si le site WordPress est utilisé par une entreprise ou une équipe, alors les comptes d'utilisateurs vont évidemment être nécessaires. Mais si vous êtes un utilisateur unique du site, n'autorisez personne à créer des comptes d'utilisateurs. Surtout les gens que vous ne connaissez pas.
Vous pouvez empêcher les gens de le faire en allant dans Paramètres ->Général. Faites défiler la liste jusqu'à «Adhésion» et cliquez sur «Vérifier». “Tout le monde peut enregistrer”.
Rétrograder tous les autres utilisateurs autorisés
Si vous devez donner des comptes utilisateur à des personnes, assurez-vous qu'elles possèdent le rôle d'accès approprié.
Par exemple, la personne qui possède le site devrait être l'administrateur. Mais si quelqu'un est invité à bloguer pour vous, il suffit de le nommer comme auteur. Ne donnez pas de privilèges élevés à quelqu'un s'il n'en a pas besoin.
Il suffit d'aller à Utilisateurs–>Tous les utilisateurset de choisir la personne pour laquelle vous souhaitez changer de rôle. Choisissez ensuite dans la liste déroulante.
Arrêter tous les répertoires AccessTo avec un fichier Index.HTML
Vous ne le savez peut-être pas, mais si vous créez un nouveau répertoire sur votre site Web, ajoutez-y des fichiers et non un fichier index.html, tous les contenus de ce répertoire sont accessibles au public.
Pour éviter cela, créez-le. fichier texte vierge et appelez-le index.html.Ensuite, chargez-le dans le nouveau répertoire. Toute tentative d'affichage du répertoire ramènera la personne sur la page d'index vierge.
Obtenir un certificat SSLC
Une des meilleures choses que vous pouvez faire pour votre site web est de l’obtenir un certificat SSL. Google donne maintenant aux sites SSL une priorité plus élevée dans les résultats de recherche et, bien sûr, il sécurise également votre site.
Le protocole SSL sécurise tout simplement la connexion entre le navigateur de l'utilisateur et le serveur Web où se trouve le Web. Il est donc extrêmement difficile pour les pirates informatiques d’interrompre la connexion et de voler des données.
Il existe deux manières d’obtenir un certificat SSL. Vous pouvez en acheter un, mais vous pouvez également en obtenir un gratuitement à partir de Encryptons. De nombreux hébergeurs proposent désormais Let's Encrypt en tant que service automatisé gratuit.
Sauvegardez votre site Web YourWordpress TOUS LES JOURS
Enfin, si le pire arrive au pire et que vous êtes piraté, vous avez besoin d'un moyen d'obtenir votre site. sauvegarder et courir aussi vite que possible. C’est pourquoi vous avez besoin d’une sauvegarde quotidienne de tous les fichiers d’installation.
La solution de loin la plus simple est de loin la Jetpack, qui est gérée par les mêmes personnes qui ont créé WordPress. À seulement 3,50 dollars par mois pour un site, il s’agit certainement du moyen le plus rentable.
Conclusion
Il existe de nombreuses autres façons de verrouiller votre site, mais beaucoup d'entre eux impliquent un codage complexe ou l'installation de plugins avec des options complexes. Si vous commencez tout juste sur ce sujet, il est préférable de commencer par aborder les bases, comme je l’ai déjà essayé.