8 façons simples de protéger votre site Web WordPress contre les pirates

0
87

8 façons simples de protéger votre site Web WordPress contre les pirates

WordPress est un outil puissant qui peut faire
gestion de site Web simple. Mais comme tant de sites Web fonctionnent sur WordPress, il
fait de la plate-forme une cible pour les pirates. Utilisation de robots et d'autres automatisations
méthodes, les pirates peuvent faire beaucoup de dégâts à de nombreux sites Web en un court
temps.

Il est tentant de lancer un nouveau site Web sur WordPress et de le laisser commencer à faire son travail. Au lieu de cela, faites une pause et prenez le temps de vous assurer de protéger votre site Web WordPress contre les pirates en suivant ces huit étapes simples.

1. Désactiver les listes de répertoires

Dans cette première étape, nous
désactivera l'indexation des répertoires pour améliorer la sécurité de votre site Web.

Qu'est-ce que ça veut dire? Si un
le serveur Web ne trouve pas de fichier d'index sur votre site Web, par défaut, il affiche un
liste complète de tous les fichiers de ce répertoire, qui est une porte ouverte pour
les pirates.

Comme vous pouvez le voir dans le
capture d'écran ci-dessous, les dossiers sont visibles par le public.

Protégez votre index de stockage de site Web wordpress

Le risque lié à
ces listes de répertoires ouverts est qu'elles montrent des pirates ou des individus avec
intentions malveillantes le contenu de votre serveur.

Les fichiers sensibles ne doivent pas
être accessible au public de cette manière. La bonne nouvelle est que si vous utilisez un
Site Web WordPress, masquer vos listes d'annuaire est assez simple.

Suivez ces étapes simples pour
désactiver l'indexation des répertoires:

  1. Accédez à votre fichier .htaccess et ouvrez-le.
  2. Collez le code suivant dans le fichier au-dessus des règles WordPress.

    # Désactiver la vue du répertoire
    Options -Indexes

  3. Enregistrez et téléchargez le fichier et le répertoire de fichiers sera désormais masqué.
  4. Videz le cache et actualisez votre navigateur, il devrait maintenant afficher un message interdit et masquer la vue du répertoire.
Protégez votre site wordpress Interdit vous n'avez pas la permission d'accéder

2. Arrêtez l'énumération des utilisateurs

Si vos noms d'utilisateur sont visibles
sur votre site WordPress, les pirates peuvent utiliser ces noms d'utilisateur publics pour
accéder à la page de connexion de votre site Web. Tout ce qu'un pirate doit faire est d'ajouter "? Author = 1" à la fin de votre URL et il pourra voir le nom d'utilisateur de
l'auteur de ce message.

Un pirate peut utiliser un script
pour trouver tous les noms d'utilisateur des auteurs de votre site Web, ce qui vous ouvre
risques pour la sécurité.

C'est ce qu'on appelle l'utilisateur
énumération, car le pirate utilise le numéro d'identification du nom d'utilisateur pour
Nom d'utilisateur. Il existe cependant un moyen d'empêcher l'énumération des utilisateurs.

Suivez ces étapes simples.

  • Dans un premier temps, nous renommerons notre nom d'affichage. Pour ce faire, cliquez sur le nom d'utilisateur de WordPress dans le coin supérieur droit.
Protégez votre administrateur WordPress de site Web WordPress
  • Maintenant, rendez vos noms d'utilisateur différents de vos noms d'affichage. Pour ce faire, faites défiler vers le bas et modifiez le Surnom à autre chose et dans le Nom d'affichage public as sélectionnez le surnom que vous venez de choisir et cliquez sur enregistrer.
Protégez votre site WordPress en définissant un nouveau nom de cou dans WordPress

Cette étape
empêche les pirates de voir votre nom d'utilisateur répertorié sur la page, mais il
s'affiche toujours dans l'URL si vous ne passez pas à l'étape suivante.

  • Installez et activez le plug-in Stop User Enumeration. Ce plugin est populaire, bien pris en charge et facile à utiliser.
Protégez votre site WordPress, activez le plugin Stop User Enumeration dans WordPress

Ensuite, testez pour voir si vous pouvez toujours voir vos noms d'utilisateur lorsque vous ajoutez «? Author = 1» à votre URL.

Vous devriez recevoir un message interdit une fois que vous l'avez testé.

3. Supprimer la version WordPress
Nombres

WordPress a un risque
pratique d'afficher votre numéro de version dans le code HTML, CSS et
Codes JavaScript, flux RSS et autres flux.

Lorsque ces informations sont visibles, elles montrent aux pirates les faiblesses à exploiter à partir de ces versions de WordPress et il n'y a aucun réel avantage à afficher votre numéro de version WordPress sur votre site, il est donc préférable de le désactiver complètement.

Si vous affichez la source
code ou code de flux pour votre site Web, vous verrez dans la section principale que le
La version WordPress est clairement répertoriée.

Protégez votre site WordPress en supprimant les numéros de version WordPress dans le méta script

Pour désactiver les versions affichées dans le code de votre site Web, accédez à votre site Web avec un client FTP ou via votre cPanel et accédez à votre dossier racine.

Localisez le fichier functions.php et ouvrez-le avec un éditeur de code source.

À la fin de
fichier de fonctions, ajoutez le code ci-dessous.

Le code supprimera le
les numéros de version de la section d'en-tête du HTML, du flux RSS et de tout
Fichiers CSS et JavaScript.

//
supprimer la version de la tête

remove_action (‘wp_head’,
«Wp_generator»);

//
supprimer la version de rss

add_filter (‘the_generator’,
«__Return_empty_string»);

//
supprimer la version des scripts et des styles

une fonction
shapeSpace_remove_version_scripts_styles ($ src) {

if (strpos ($ src, ‘ver =’)) {

$ src = remove_query_arg (‘ver’, $ src);

}

return $ src;

}

add_filter (‘style_loader_src’,
‘ShapeSpace_remove_version_scripts_styles’, 9999);

add_filter (‘script_loader_src’,
‘ShapeSpace_remove_version_scripts_styles’, 9999);

Enregistrez et téléchargez la mise à jour
fichier functions.php et testez pour voir si vous pouvez toujours voir la version dans votre
code source.

Effectuez une recherche pour votre
numéro de version dans le code source pour s'assurer qu'il n'apparaît plus.

4. Renommez le préfixe de table lors de l'installation

Le tableau WordPress par défaut
le préfixe est toujours «wp_». Et parce que les pirates sont bien conscients de ce défaut, ils écrivent
scripts et créer des bots qui attaquent cette convention de dénomination de table.

Vous pouvez empêcher automatisé
attaques en donnant à vos tables un préfixe unique que ces robots et scripts
ne peut pas attaquer car la table n'existe pas sous le même nom qu'eux
à la recherche de.

Lors de l'installation,
vous pouvez facilement changer le préfixe de table par défaut comme illustré dans la capture d'écran
au dessous de.

Protégez votre site WordPress en renommant le préfixe de la table lors de l'installation

Pour garder vos fichiers faciles à
lu et trié par nom, vous pouvez ajouter vos propres caractères à la fin du "wp_"
préfixe.

Cela peut être un ensemble de
afin que votre préfixe ressemble à ceci "wp_i2njk_".

5. Désactivez la modification des fichiers dans la zone d'administration

WordPress est conçu pour
édition pratique et facile. Et bien que ce soit une bonne chose pour beaucoup de gens,
peut vous laisser ouvert à des problèmes de sécurité.

Un exemple de ceci est le
le fait qu'un administrateur peut modifier ou apporter des modifications aux fichiers du thème. C'est pareil
vrai pour les plugins.

Protégez votre site WordPress en désactivant la modification des fichiers dans la zone d'administration

Une fois qu'un attaquant a accès à la zone d'administration de votre site Web, il peut modifier les fichiers de votre site et causer de gros dégâts en très peu de temps. Vous pouvez désactiver la possibilité d'apporter des modifications à ces fichiers avec une modification mineure à votre fichier de configuration.

Copiez et collez ce qui suit
code dans votre fichier de configuration juste au-dessus de la ligne qui vous dit de arrêter l'édition.

définir («DISALLOW_FILE_EDIT»,
vrai);

Enregistrez et téléchargez votre
changement. Comme vous pouvez le voir sur la capture d'écran ci-dessous, l'option Éditeur de thème n'est pas
plus visible, il en va de même pour l'éditeur de plugins dans la section Plugins.

Protégez l'apparence de la barre de navigation gauche de votre site WordPress WordPress puis les menus

Les administrateurs n'auront plus la possibilité de modifier des fichiers via le tableau de bord. Au lieu de cela, ils peuvent utiliser un client FTP ou cPanel, qui est plus sécurisé.

Ce correctif de sécurité simple
peut protéger les fichiers de votre site Web si un pirate accède à votre zone de tableau de bord.

De plus, c'est assez facile à
inverser si vous décidez plus tard que vous voulez que vos administrateurs aient cette capacité d'édition de fichiers
depuis WordPress.

6. Surveillez les journaux d'erreurs et l'activité

Surveillance de vos journaux d'erreurs au sein de votre plateforme d'hébergement
peut vous fournir des informations précieuses sur les personnes qui tentent d'accéder à votre site Web.

Pour vérifier vos journaux d'erreurs, connectez-vous à votre cPanel et accédez à Journaux d'erreurs et Accès brut (journaux d'activité).

Protégez votre site wordpress moniton les journaux d'erreurs et l'activité ib raw access

Si vous constatez une activité malveillante dans ces rapports,
vous devez vous assurer que vous interdisez à ces utilisateurs de poursuivre leurs tentatives. Bots
et d'autres utilisateurs malveillants qui piquent constamment votre site Web peuvent le ralentir
vers le bas pour vos vrais visiteurs.

Le moyen le plus simple d'arrêter ces demandes d'accès est d'installer le plugin WP-Ban. Une fois que vous avez le plugin et qu'il est activé sur votre site Web, visitez le menu Paramètres, puis cliquez sur Interdire.

Protégez votre site WordPress en installant le plugin WP-Bn dans votre site WP

Ici, vous pouvez mettre à jour les paramètres de votre plugin. En tirant de vos journaux d'erreurs, vous pouvez ajouter les adresses IP qui ont tenté d'accéder de manière malveillante à votre site Web. Une fois que vous avez enregistré les modifications, cet utilisateur recevra le message d'interdiction et sera banni de votre site.

7. Désactiver l'affichage des erreurs

Lorsque votre site Web s'affiche
Avertissements PHP et erreurs dans le navigateur, cela peut constituer un sérieux risque pour la sécurité.
Vous devez configurer votre site Web pour ne pas afficher ces erreurs.

Protégez l'affichage de vos erreurs de désactivation de site Web WordPress dans le frontend de votre site Web WordPress

Sites Web qui affichent
ces erreurs donnent des informations importantes sur le serveur et la configuration aux pirates. Ceux
les pirates peuvent ensuite utiliser ces erreurs contre vous pour trouver des moyens d'accéder à votre site Web.

Même si vous ne faites jamais face à un
pirate informatique obtenant ces informations, affichant ces informations au public
semble tout simplement mauvais.

Nouvelles installations WordPress
par défaut, il ne doit afficher aucun message. Cependant, si vous avez récemment eu
l'hébergeur de votre site Web résout un problème ou vos développeurs sont actifs
en déployant de nouvelles fonctionnalités, des erreurs et des avertissements peuvent s'afficher dans
le navigateur.

Faire ce changement est
simple dans votre fichier de configuration. Faites défiler vers le bas jusqu'à ce que vous voyez le «débogage»
constant. Une fois que vous l'avez trouvé, assurez-vous que la valeur est définie sur false et non
true dans toutes les constantes de «débogage».

Votre code devrait ressembler à
cette:

définir(
«WP_DEBUG», faux);

8. Surveiller les modifications des fichiers

Pour assurer les seuls changements
sur votre site Web sont ceux que vous et votre équipe faites, vous voulez
pour surveiller les modifications de fichiers.

Une façon simple de le faire est d'utiliser le plugin Website File Changes Monitor.

Le plugin analysera votre site Web tous les jours et suivra trois types de modifications de fichiers: ajouts, modifications et suppressions.

Pour vous assurer que le plugin est correctement installé et prêt à l'emploi, vous devez exécuter des tests en supprimant un plugin, en en installant un nouveau ou en modifiant quelques fichiers sur votre site Web. Le plug-in Monitor File Changes Monitor devrait enregistrer toutes ces modifications sur votre site Web.

Protégez votre site Web WordPress.

La protection de la sécurité de votre site Web WordPress peut se faire en moins d'une heure et sans embaucher un développeur. Il n'y a aucune raison de ne pas suivre ces huit étapes importantes pour assurer la protection de tout ce que vous avez construit.

Auteur invité: Emin est concepteur de sites Web et développeur à Amberd Design Studio, basé à Los Angeles. Dans son temps libre, il aime lire des livres, écrire des tutoriels sur la conception Web et le marketing et aime aussi le dessin et la peinture.