WordPress Security Best Practices – TODO list – Comment sécuriser votre blog WordPress ?

Publié: 2015-05-25

Prenez la sécurité de WordPress au sérieux

WordPress est l'une des plateformes les plus populaires pour les blogs et les sites Web auto-hébergés. Bien que WordPress soit assez sécurisé dès le départ, il y aura toujours des individus qui voudront créer des problèmes en trouvant un moyen de pirater des comptes ou des sites pour causer des dommages ou injecter des liens de spam cachés. C'est pourquoi il est important de s'assurer que votre installation WordPress est aussi sécurisée que possible. Conseils de sécurité WordPress.

TechCrunch, le plus grand blog du monde, a été piraté deux fois dans un court laps de temps de huit heures (en 2012). Selon le programmeur principal de WordPress, Mark Jaquith, le piratage était probablement dû à un plugin WordPress non sécurisé qui permettait au pirate d'utiliser la méthode d'injection php pour pirater tech crunch. Ce n'était pas un piratage côté serveur. J'espère que toutes ces informations détaillées vous aideront à protéger votre blog WordPress.

Vous avez une requête ci-dessous sur les questions ci-dessous ?

  • avis sur les plugins de sécurité wordpress
  • vulnérabilités de sécurité wordpress
  • bonnes pratiques de sécurité wordpress
  • problèmes de sécurité wordpress
  • conseils de sécurité wordpress
  • meilleur plugin de sécurité wordpress
  • analyse de sécurité wordpress
  • contrôle de sécurité wordpress

Alors vous êtes au bon endroit. Examens des plugins de sécurité par Crunchify.

Voici quelques conseils pour garder votre site Web ou votre blog WordPress plus sécurisé et moins vulnérable aux attaques malveillantes. Ces étapes nous aident à sécuriser notre blog en empêchant les méchants d'entrer.

1) Passez à la dernière version de WordPress

Aucun système logiciel n'est à l'abri des bogues et des vulnérabilités. Des failles de sécurité seront découvertes et les malfaiteurs feront de leur mieux pour les exploiter. Garder votre logiciel à jour est un bon moyen d'éviter les attaques, car les éditeurs de logiciels fiables répareront leurs produits une fois les failles de sécurité découvertes.

Heureusement, garder votre site WordPress à jour est l'une des choses les plus simples que vous puissiez faire. Pour les dernières versions, WordPress a inclus la possibilité d'installer des mises à jour automatiques. Non seulement cela, mais les sites sont avertis chaque fois qu'une nouvelle mise à niveau est disponible.

Si vous n'utilisez pas la dernière version de WordPress, effectuez la mise à niveau maintenant. Laisser votre site sur une ancienne version, c'est comme garder votre porte déverrouillée lorsque vous partez en vacances.

Mise à jour WordPress

2) Mettre le fichier index.php vide

Si vous pensiez que la simple configuration des autorisations de répertoire est plus que suffisante, je dirais que ce n'est tout simplement pas si simple ! Je suggérerais de déposer un fichier html ou php vide ( ensure that the name should be index.php ) dans le dossier wp-content/themes/ & wp-content/plugins/ . De cette façon, chaque fois que quelqu'un essaiera de voir le contenu de ces dossiers, ils seront présentés avec une page vierge et rien d'autre. N'est-ce pas une décision intelligente?

Contenu du fichier :

index.php
1
2
3
<?php
// Silence is golden.
?>

Mettez un fichier index.php vide dans chaque dossier

3) Utilisez des clés secrètes dans votre fichier WP-Config

Dans WordPress, le fichier wp-config.php est le fichier qui stocke les informations de base de données dont WordPress a besoin pour connecter son circuit, pour ainsi dire. Ce fichier contient le nom, l'adresse et le mot de passe de la base de données MySQL qui stocke toutes vos informations d'utilisateur, vos articles de blog et tout autre contenu important.

En utilisant une clé secrète, vous pouvez rendre encore plus difficile l'accès à votre compte pour quelqu'un.

Accédez à https://api.wordpress.org/secret-key/1.1/ et copy the results into this section of your wp-config.php si vous n'avez pas encore configuré de clé secrète.

4) Gardez votre fichier .htaccess sous contrôle

À l'aide d'un fichier .htaccess , vous pouvez définir des limites d'accès à certains répertoires. Vous pouvez lier ces limites à une adresse IP spécifique, ce qui signifie que seules les personnes de cet emplacement peuvent accéder à vos informations.

Il est toujours conseillé, lors du choix de votre hébergeur, de lui confirmer quelle version de MySQL, Apache et PHP utilise-t-il.

Goûter:

Sample deny,allow in .htaccess
1
2
3
4
5
6
7
8
order deny , allow
deny from 32.177.15. *
deny from 53.177.14. *
deny from 64.255.113. *
deny from 11.255.114. *
deny from 115.225.176.86
deny from 535.255.117.250
allow from all

5) Utilisez des mots de passe de compte WordPress forts

En plus d'ajouter une clé secrète à votre fichier wp-config.php , envisagez également de changer votre mot de passe utilisateur en quelque chose de fort et unique. WordPress vous indiquera la force de votre mot de passe, mais un bon conseil est d'éviter les phrases courantes, d'utiliser des lettres majuscules et minuscules et d'inclure des chiffres. C'est aussi une bonne idée de changer votre mot de passe régulièrement - disons une fois tous les deux mois.

6) Mettre à jour l'environnement du serveur et les plugins

La mise à jour du plugin et des thèmes dès sa sortie est de votre responsabilité. Je vous suggère de mettre à jour votre plugin régulièrement. Jetez un œil à l'article CSRF que j'ai publié il y a quelque temps.

En ce qui concerne l'environnement du serveur, ce n'est pas entre vos mains, mais entre les mains de l'hébergeur. Il est toujours conseillé, lors du choix de votre hébergeur, de lui confirmer la version de MySQL, Apache et PHP qu'il utilise. Faites-le correspondre à la dernière version mentionnée sur leurs sites Web respectifs et s'ils sont obsolètes, vous devriez leur demander de les mettre à jour (très peu probable) ou de changer d'hébergeur Web dès que possible.

7) N'utilisez jamais "admin" comme nom d'utilisateur

Après avoir installé WordPress, vous devez modifier le nom d'utilisateur de l'administrateur.

8) Changer le WP prefix des tables de la base de données

Cela vous évitera le piratage par injection sql.

9) N'installez pas WordPress dans le répertoire racine

Installez-le dans un dossier avec un nom bizarre qui n'est pas facile à connaître. Quelque chose comme 442testXYZ . Cela sauvera votre installation WordPress des bots ainsi que des pirates.

10) Bloquer les mauvais robots

Vous ne savez jamais quand votre site est exploré par de mauvais robots. La solution est simple. Essayez de mettre ci-dessous dans votre fichier .htaccess pour bloquer les mauvais bots.

.htaccess
1
2
3
RewriteEngine On
RewriteCond % { HTTP_USER_AGENT } ^ . * ( agent1 | Wget | Catall Spider ) . * $ [ NC ]
RewriteRule . * - [ F , L ]

Sommaire

Nous sommes tous d'accord sur le fait qu'avoir un blog WordPress sécurisé devrait être notre première priorité lorsque nous gardons un blog réussi. WordPress est un logiciel de publication génial et Automattic (la société derrière WordPress) s'efforce toujours de le sécuriser afin que des millions de blogs puissent être à l'abri des menaces de pirates.

Il existe de nombreuses façons d'améliorer la sécurité de WordPress. Ces changements sont minimes et bon nombre de ces recommandations peuvent être mises en œuvre en quelques minutes. Vous pouvez être tranquille en sachant que votre site WordPress est un peu plus sécurisé contre les intrus et les pirates.