Il n'y a pas de contestation de la popularité de WordPress, qui alimente plus de 74,6 millions de sites dans le monde, avec 48% des 100 meilleurs blogs de Technorati gérés par la plate-forme. Dans le monde en ligne cependant, tout ce qui est populaire est plus ouvert à l'attaque et WordPress ne fait pas exception. Cependant, les types d'attaques qui ont tendance à frapper les sites WordPress - à moins que vous ne soyez une grande marque - sont généralement réalisées par des personnes sans énorme savoir-faire technique. Ceux-ci sont souvent mentionnés aux «enfants de script» car ils utilisent du code, des techniques et des kits communs afin de pirater des sites cibles.
La bonne nouvelle à ce sujet est que cela signifie que souvent une attaque peut être traitée rapidement et facilement. Il n'est pas nécessaire de se rendre au stade où une attaque endommage cependant, car la plupart peuvent être empêchées en premier lieu. Donc, aujourd'hui, nous verrons comment vous pouvez sécuriser votre installation et éviter les hacks communs.
Avant de penser à sécuriser votre site, vous devez commencer à partir de zéro et cela signifie vous assurer que votre serveur d'hébergement est sécurisé en premier lieu. En commençant par les bases, vous devez choisir un hôte basé sur la sécurité et la réputation et non sur le prix. Alors que je suis sûr qu'il y a des hôtes bon marché décents, pour la plupart des hébergements qui vous coûtent 2 $ par mois ne va pas réduire la moutarde.
La plupart des services d'hébergement WordPress gérés ont la réputation d'hébergement sécurisé. Ils n'autorisent pas tous certains plugins liés aux performances, vous devez donc vérifier d'abord pour voir exactement quel accès et niveau de contrôle vous avez.
La plupart d'entre eux offrent:
Quel que soit l'hôte que vous décidez de vous accompagner, vous devez vérifier qu'ils offrent ce qui suit:
Les hôtes gérés (tels que Wpengine par exemple) utilisent la mise en cache qui est passé par un CDN, donc si vous ne voulez vraiment pas utiliser un hôte WordPress géré, envisagez d'implémenter un CDN aux côtés d'un plugin de mise en cache tel que W3 total W3 Cache. Il s'agit d'un moyen simple de configurer votre site afin que tout le trafic passant par les caches CDN passe ensuite également par une couche de socket sécurisée (SSL / TLS). Si vous avez besoin d'une main en train de contourner ces technologies, je recommanderais les guides visuels suivants de MaxCDN. Dans l'intérêt de la divulgation complète, je travaille pour MAXCDN, mais je suis sûr que vous trouverez des ressources utiles:
Malheureusement, les installations WordPress sur les serveurs partagés, plutôt que celles d'un VPS ou d'un serveur dédié, sont généralement installées et configurées d'une manière la plus facile pour l'hôte, mais pas nécessairement la plus sécurisée.
Notez que les configurations suivantes sont destinées aux utilisateurs avancés qui connaissent des tâches de codage ou de base. Si vous ne l'êtes pas, demandez à votre développeur Web de configurer cela pour vous.
Juste un mot rapide sur celui-ci qui porte la répétition étant donné que plus de 70% des installations WordPress sont vulnérables à l'attaque. Assurez-vous toujours que lorsque vous avez installé WordPress, vous mettez à jour vers la dernière version dès qu'elle sera disponible. Il en va de même pour votre thème et pour tous les plugins que vous utilisez. Il en va de même pour votre logiciel de serveur. Cela peut sembler évident pour beaucoup d'entre vous, mais les statistiques parlent d'elles-mêmes, il existe de nombreuses versions plus anciennes de la plate-forme installées.
En ce qui concerne les mots de passe, je rencontre quotidiennement les gens qui utilisent toujours quelque chose comme «CompanyName123» comme mot de passe et ce sont des gens qui sont dans l'industrie de la technologie et devraient savoir mieux. Donc, pour vous-même et tous les autres utilisateurs, générez des mots de passe complexes et stockez dans un gestionnaire de mots de passe tels que LastPass, c'est plus sûr de cette façon.
Pour vous assurer que les mises à jour mineures et majeures se déroulent automatiquement dans WordPress, vous pouvez apporter une petite modification au code qui les appliquera. Cela supprime la nécessité pour vous de le faire manuellement (seules les mises à jour mineures sont appliquées automatiquement à WordPress V.3.7 et plus tard), mais vous devez vous assurer d'activer des sauvegardes automatiques et fréquentes en cas de problème et cela enlève votre site.
Pour activer les mises à jour, appliquez le code suivant à votre fichier wp-config.php:
<span>#Enable all core updates, including minor and major: </span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>
Il est plus courant que vous rencontriez un problème avec les mises à jour automatiques si vous utilisez des plugins qui ne sont pas mis à jour raisonnablement fréquemment, alors essayez de vous assurer que les plugins que vous installez sont maintenus et que la prise en charge est disponible si possible.
Si un plugin ou un thème que vous utilisez lance une erreur, il est possible que le message d'erreur résultant affiche votre chemin de serveur qui à son tour pourrait être intercepté par les pirates. Dans cet esprit, vous devez désactiver les rapports d'erreurs en ajoutant le code suivant à votre fichier wp-config.php:
<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>Alternativement, si vous n'êtes pas confiant lorsqu'il s'agit de modifier vos fichiers de configuration, vous pouvez demander à votre hôte Web de le désactiver pour vous.
Si vous deviez surveiller le nombre de tentatives de connexion sur votre site WordPress chaque jour, vous seriez probablement choqué. Ce sont des attaques courantes qui sont évitables dans une certaine mesure en utilisant des mots de passe complexes. Les attaques de force brute proviennent généralement d'un botnet qui tente de deviner votre mot de passe administrateur. Vous pouvez atténuer le risque et arrêter la plupart des attaques de force brute en ajoutant une couche de protection supplémentaire au niveau de l'écran de connexion avec Http Auth.
Pour ce faire, vous devrez d'abord protéger le mot de passe votre répertoire en configurant la protection par mot de passe .htaccess. Une fois que vous avez fait cela, vous devez ajouter le code suivant à votre fichier .htaccess:
<span>#Protect wp-login </span><span><files wp-login.php=""> </span>AuthUserFile <span>~/.htpasswd </span>AuthName <span>"Private access" </span>AuthType Basic <span>require user mysecretuser </span><span></files></span>
Cela évoquera la zone d'authentification qui vous invite à mettre votre nom d'utilisateur et votre mot de passe et vous devrez alors vous connecter sur l'écran de connexion WordPress normal - vous devez bien sûr utiliser différents mots de passe pour les deux.
Vous pouvez également empêcher les attaques de force brute en surveillant les adresses IP qui tentent de vous connecter, puis de les verrouiller. Ou, vous pouvez simplement modifier le nom d'utilisateur admin de «admin» à votre propre nom ou autre chose, puis supprimer le profil utilisateur de l'administration par défaut. Vous et votre webmaster / développeur devriez vraiment être les seules personnes ayant des droits administratifs sur le site.
Ce sont vraiment un coup de couteau dans l'obscurité pour les pirates qui tentent de trouver des points faibles sur le site en faisant des demandes d'URL qui devraient renvoyer une erreur mais qui sont parfois terminées.
L'URL peut ressembler à ceci: http://yourwebsite.com/your/files/%3g/config
Généralement, un pirate utilisera un support d'ouverture dans l'URL donc tout d'abord, pour surmonter cela, il est nécessaire de générer une page 403 interdite pour arrêter toute demande contenant le support. Pour ce faire, collez simplement la ligne suivante dans votre fichier .htaccess:
<span>#Enable all core updates, including minor and major: </span><span>define ( 'WP_AUTO_UPDATE_CORE', true );</span>
Pour créer un ensemble de règles plus complexe, vous n'avez pas besoin d'écrire vous-même tout le code. Si vous êtes familier avec le travail avec .htaccess et que votre site est sur un serveur Apache, vous pouvez utiliser le pare-feu 5G qui est une liste noire pour les exploits communs. Vous n'avez pas non plus à utiliser toutes les lignes, car il est modulaire, et dans le cas où il produit des erreurs, vous pouvez supprimer la ligne par ligne jusqu'à ce que vous découvriez le problème.
Vous pouvez protéger le fichier .htaccess lui-même en ajoutant la ligne suivante au fichier:
<span>error_reporting (0);
</span>@<span>ini_set ('display_errors', 0);</span>Vous pouvez bien sûr utiliser l'un des plugins de sécurité qui sont également disponibles pour WordPress. Avant l'installation, vous devez vérifier que tout plugin que vous utilisez est pris en charge et mis à jour fréquemment. Si c'est le cas, vous devez également consulter les notes et les critiques pour déterminer ce qui est considéré comme le meilleur par la communauté WordPress.
N'oubliez pas non plus que si vous avez beaucoup de plugins sur votre installation, pour supprimer périodiquement tout ce que vous n'utilisez pas. Demandez-vous si la fonctionnalité que tout plugin donné vous permet est vraiment nécessaire et coupez celles dont vous pouvez faire. Pour les plugins que vous avez désactivés, vous devez également les supprimer car ils fournissent un moyen potentiel pour un pirate. Si les plugins ne sont plus pris en charge, vous devriez rechercher une alternative car elle est forcément à créer une vulnérabilité à un moment donné, si elle ne l'a pas déjà fait.
Pour la plupart, WordPress Security consiste à utiliser le bon sens et à comprendre que la plupart du temps, les hacks et les logiciels malveillants peuvent être mis aux erreurs par l'utilisateur final. Pour la plupart, les pirates entrent via des exploits dans les logiciels, donc si vous vous assurez que vous avez toujours les dernières versions, vous ferez du bon travail à vous protéger. Les pirates recherchent l'itinéraire le plus simple à moins qu'ils ne vous ciblent spécifiquement, alors resserrez votre site et ne leur facilitez pas la tâche.
Si vous êtes intéressant de lire plus, voici une sélection d'articles précédents liés à la sécurité WordPress sur SitePoint qui méritent d'être jetés:
Pour sécuriser votre site WordPress à partir de pirates, il est crucial de garder votre noyau, thèmes et plugins WordPress et vos plugins vers les dernières versions. Ces mises à jour incluent souvent des correctifs de sécurité qui peuvent protéger votre site contre les vulnérabilités connues. De plus, utilisez des mots de passe solides et uniques pour votre compte d'administration WordPress et limitez les tentatives de connexion pour empêcher les attaques de force brute. L'installation d'un plugin de sécurité réputé peut également fournir une couche supplémentaire de protection en scannant des logiciels malveillants et en bloquant l'activité suspecte.
Les attaques DDOS peuvent être atténuées En implémentant un pare-feu d'application Web (WAF) qui peut filtrer le trafic malveillant. Des services comme CloudFlare et SucUri offrent des WAF qui peuvent protéger votre site contre les attaques DDOS. De plus, l'utilisation d'un réseau de livraison de contenu (CDN) peut aider à distribuer le trafic sur plusieurs serveurs, ce qui réduit l'impact d'une attaque DDOS. La sauvegarde régulière de votre site peut également vous assurer que vous pouvez rapidement récupérer en cas d'attaque.
A Le pare-feu d'application Web (WAF) est une mesure de sécurité qui surveille, filtre et bloque le trafic HTTP vers et depuis une application Web. Il protège votre site WordPress en identifiant et en bloquant les modèles d'attaque courants, tels que l'injection SQL et les scripts inter-sites (XSS). En mettant en œuvre un WAF, vous pouvez protéger votre site contre divers types d'attaques, y compris les attaques DDOS.
pour vous assurer que votre WordPress Word Les mots de passe sont solides et sécurisés, utilisez une combinaison de lettres, de chiffres et de caractères spéciaux en majuscules. Évitez d'utiliser des mots ou des phrases courants et n'utilisez jamais d'informations personnelles telles que votre nom ou votre date de naissance. Envisagez d'utiliser un gestionnaire de mots de passe pour générer et stocker des mots de passe complexes. De plus, modifiez régulièrement vos mots de passe et n'utilisez jamais le même mot de passe pour plusieurs comptes.
Un réseau de livraison de contenu (CDN) peut améliorer les performances et la sécurité de votre site WordPress. En distribuant le contenu de votre site sur plusieurs serveurs à travers le monde, un CDN peut réduire la charge sur votre serveur principal et fournir du contenu aux utilisateurs plus rapidement. Cela peut améliorer la vitesse et l'expérience utilisateur de votre site. De plus, un CDN peut aider à protéger votre site contre les attaques DDOS en distribuant du trafic sur son réseau.
limiter les tentatives de connexion à votre site WordPress peut aider à prévenir les attaques de force brute. Vous pouvez le faire en installant un plugin de sécurité qui fournit cette fonctionnalité. Ces plugins peuvent bloquer une adresse IP après un certain nombre de tentatives de connexion ratées. Vous pouvez également définir la durée du verrouillage et personnaliser le nombre de tentatives de connexion autorisées.
La fréquence des sauvegardes dépend de la fréquence à laquelle vous mettez à jour votre site. Si vous ajoutez ou mettez régulièrement le contenu, vous devriez envisager des sauvegardes quotidiennes. Si votre site ne change pas souvent, les sauvegardes hebdomadaires ou mensuelles peuvent être suffisantes. Quelle que soit la fréquence, assurez-vous de stocker vos sauvegardes dans un emplacement sécurisé et envisager d'utiliser un service de sauvegarde qui propose des sauvegardes automatiques.
Il y en a plusieurs Plugins de sécurité réputés pour WordPress, y compris WordFence, Succuri et Ithemes Security. Ces plugins offrent une gamme de fonctionnalités, telles que la numérisation des logiciels malveillants, la protection contre le pare-feu et la sécurité de connexion. Ils peuvent également vous envoyer des alertes s'ils détectent une activité suspecte sur votre site.
La surveillance de la sécurité de votre site WordPress peut être effectuée à travers diverses méthodes. Les plugins de sécurité fournissent souvent des fonctionnalités de surveillance, vous alertant sur toute menace potentielle ou activité suspecte. La révision régulière des journaux d'accès de votre site peut également aider à identifier tout comportement inhabituel. De plus, envisagez d'utiliser un service qui fournit une surveillance et des alertes en temps réel.
Si votre site WordPress est piraté, la première étape consiste à identifier et supprimer les logiciels malveillants. Cela peut être fait à l'aide d'un plugin de sécurité ou d'un service de suppression de logiciels malveillants professionnels. Une fois le logiciel malveillant supprimé, mettez à jour tous vos noyaux, thèmes et plugins WordPress vers les dernières versions. Modifiez tous les mots de passe et révisez les comptes d'utilisateurs pour s'assurer qu'aucun comptes non autorisé n'a été créé. Enfin, restaurez votre site à partir d'une sauvegarde propre et surveillez étroitement votre site pour toute autre activité suspecte.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Est-il légal d'acheter et de vendre du Bitcoin sur Huobi.com ?
Comment vérifier l'historique de téléchargement sur TikTok
solution de panique du noyau
Configurer l'environnement d'exécution Java
expression régulière Perl
Comment résoudre les problèmes lors de l'analyse des packages
Comment résoudre une erreur de script
Comment fonctionne la poignée de main TCP à trois voies
![[Web front-end] Démarrage rapide de Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
