WordPress est de loin la plateforme de blogs la plus populaire.
En raison de sa popularité, il a également eu des impacts positifs et négatifs. Le fait que presque tout le monde l’utilise facilite la recherche de vulnérabilités. Les développeurs WordPress font beaucoup de travail et publient des correctifs et des correctifs à mesure que de nouveaux bugs sont découverts, mais cela ne signifie pas que vous pouvez simplement l'installer et l'oublier.
Dans cet article, nous présenterons certains des moyens les plus courants de protéger et de renforcer votre site Web WordPress.
Utilisez toujours SSL lors de la connexion au backendIl va sans dire que si vous n'envisagez pas de créer simplement un blog informel, vous devez toujours utiliser SSL. La connexion à votre site Web sans utiliser de connexion cryptée expose votre nom d'utilisateur et votre mot de passe. Toute personne reniflant le trafic peut découvrir votre mot de passe. Cela est particulièrement vrai si vous utilisez le WiFi ou si vous vous connectez à un point d'accès public, où vous risquez davantage d'être piraté. Vous pouvez obtenir un certificat SSL gratuit et fiable à partir d'ici.
Plugins complémentaires soigneusement sélectionnésDéveloppé par des développeurs tiers, la qualité et la sécurité de chaque plugin sont toujours discutables, et cela ne dépend que de l'expérience de ses développeurs. Lors de l’installation de plugins supplémentaires, vous devez les choisir avec soin et tenir compte de leur popularité et de la fréquence à laquelle le plugin sera maintenu. Les plugins mal entretenus doivent être évités car ils sont plus sujets à des bugs et des vulnérabilités qui peuvent être facilement exploitées.
Ce sujet complète également le précédent sur SSL, car de nombreux plugins contiennent des scripts qui effectuent des requêtes sur des connexions non sécurisées (HTTP). Tant que votre site est accessible via HTTP, tout semble bien. Cependant, dès que vous décidez d'utiliser le cryptage et de forcer l'accès SSL, vous provoquez immédiatement une interruption de la fonctionnalité du site Web, car lorsque vous accédez à d'autres sites Web via HTTPS, les scripts de ces plugins continueront à répondre aux requêtes via HTTP.
Installer WordfenceWordfence Développé par Feedjit Inc., Wordfence est actuellement le plugin de sécurité WordPress le plus populaire et un incontournable pour tout site Web WordPress sérieux, en particulier ceux utilisant WooCommerce ou d'autres plateformes de commerce électronique WordPress.
Wordfence est plus qu'un simple plugin car il offre une gamme de fonctionnalités de sécurité qui renforcent votre site Web. Il comprend un pare-feu de programme Web, une analyse des logiciels malveillants, un analyseur de trafic en temps réel et divers autres outils pouvant améliorer la sécurité de votre site Web. Le pare-feu bloquera par défaut les tentatives de connexion malveillantes et peut même être configuré pour bloquer l'accès à des pays entiers par plage d'adresses IP. Ce que nous aimons vraiment chez Wordfence, c'est que même si votre site est compromis pour une raison quelconque, comme un script malveillant, Wordfence peut analyser et nettoyer les fichiers infectés sur votre site après l'installation.
La société propose des plans d'abonnement gratuits et payants pour ce plugin, mais même avec le plan gratuit, votre site Web obtiendra toujours un niveau satisfaisant.
Verrouillez /wp-admin et /wp-login.php avec un mot de passe supplémentaireUne autre étape pour sécuriser votre backend WordPress consiste à utiliser une protection par mot de passe supplémentaire pour tous les répertoires (c'est-à-dire les URL) que vous ne souhaitez pas que quiconque utilise à part vous. Le répertoire /wp-admin appartient à cette liste de répertoires clés. Si vous n'autorisez pas les utilisateurs réguliers à se connecter à WordPress, vous devez restreindre l'accès au fichier wp.login.php à l'aide d'un mot de passe. Que vous utilisiez Apache ou Nginx, vous pouvez consulter ces deux articles pour savoir comment sécuriser davantage votre installation WordPress.
Désactiver/arrêter l'énumération des utilisateursIl s'agit d'un moyen assez simple pour un attaquant de découvrir des noms d'utilisateur valides sur votre site (c'est-à-dire trouver le nom d'utilisateur administrateur). Alors, comment ça marche? c'est très simple. Suivez simplement l'URL principale de n'importe quel site WordPress avec /?author=1. Par exemple : wordpressexample.com/?author=1.
Pour protéger votre site Web de cela, installez simplement le plugin Stop User Enumeration.
Désactiver XML-RPCRPC signifie Remote Procedure Call, un protocole qui peut être utilisé pour demander des services à un programme situé sur un autre ordinateur du réseau. Pour WordPress, XML-RPC vous permet de publier des articles sur votre blog WordPress à l'aide de clients de blogs Web populaires tels que Windows Live Writer, qui est également requis si vous utilisez l'application mobile WordPress. XML-RPC était désactivé dans les versions précédentes, mais depuis WordPress 3.5, il est activé par défaut, laissant votre site ouvert à de plus grandes possibilités d'attaque. Bien que divers chercheurs en sécurité suggèrent que ce n'est pas un gros problème, si vous ne prévoyez pas d'utiliser le client de blog Web ou l'application mobile de WP, vous devez désactiver le service XML-RPC.
Il existe plusieurs façons de procéder, la plus simple est d'installer le plugin Disable XML-RPC.
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!