Secteur En tant que propriétaire damp;rsquoune agence de commerce numérique, Logan utilise une grande quantité de technologies, damp;rsquooutils et de ressources pour samp;rsquoassurer que les besoins numériques de ses clients sont satisfaits.
Comme Logan lamp;rsquoa dit, « j’utilise WordPress depuis des décennies parce que cette plate forme open source offre une personnalisation complète et nécessite une véritable personnalisation du site de chaque client. En tant que plate forme open source, mon institution peut utiliser notre plugin de référence pour créer des sites clients rapides, sûrs, optimisés et pertinents. Que pensent nos experts en sécurité WordPress 1. Avec quel type de sites WordPress travaillez habituellement? Richard: Je décrirai les sites de nos clients comme des sites de petite ou moyenne taille, voire de commerce électronique. La plupart des clients avec lesquels nous travaillons ont une ou plusieurs personnes qui travaillent comme gestionnaires de contenu ou qui s’occupent de la communication globale. Nous sommes responsables de votre partie La technologie de leur site.
Jess: Je passe mon temps principalement au développement, à la maintenance et à l’hébergement de sites Web basés sur WordPress. Je travaille principalement sur des sites de petits et moyens clients. Jamp;rsquoai une douzaine de sites de commerce électronique réussis et une douzaine de configurations Multi sites. J’héberge plus de 200 sites sur 7 serveurs, j’assure la maintenance et la sécurité continues d’environ 150 sites WordPress et j’ai un serveur de courrier séparé où j’héberge plus de 180 comptes e mail de plus de 60 entreprises. Cliff: les sites gérés par goatcloud sont principalement destinés aux petites entreprises et aux professionnels individuels. Camp;rsquoest à dire que nous maintenons également des sites Web pour les grandes organisations sans but lucratif et les entreprises de taille moyenne.
Logan: les grands webmestres travaillent exclusivement avec damp;rsquoautres petites entreprises, y compris une variété de sites de différentes industries. Cela comprend le commerce électronique, multi sites, sans but lucratif, restaurants, communautés, hôtels, événements, bâtiments, voitures
Moutons, ou les deux. En général, il namp;rsquoy a pas de logiciel ou damp;rsquohôte sur le site hérité pour protéger le site.
Logan: pour les sites WordPress de vos clients, le problème de sécurité le plus courant est une attaque dos. Pour ceux qui ne connaissent pas ce terme, une attaque dos consiste à envoyer plusieurs requêtes simultanément au site client, ce qui peut surcharger le serveur et bloquer le site. Les pirates informatiques peuvent utiliser des requêtes de données sur les sites Web des clients qui peuvent ajouter, supprimer et même voler le contenu de leurs sites. Un autre problème de sécurité courant est que les pirates informatiques envahissent le site Web du client, puis ajoutent de nouveaux utilisateurs, du contenu aléatoire (souvent du Code ou du faux contenu) et modifient les paramètres du site de lamp;rsquoAdministrateur. 3. Quels sont les problèmes de sécurité les plus graves que devez résoudre pour vos clients? Richard: le plus gros problème de sécurité que jamp;rsquoai rencontré était damp;rsquoavoir un compte damp;rsquohébergement pour huit sites Web. Il namp;rsquoa utilisé quamp;rsquoun seul site Web et a rencontré une variété de problèmes, ils ont essayé leurs propres sauvegardes, mais sans aide. Avant qu’ils ne nous demandent de l’aide, il y a un autre “développeur wordpress” qui devrait résoudre ce problème. Il leur a vendu un nouveau site Web qui a de nouveau été piraté en une journée environ. Lorsque jamp;rsquoai commencé à étudier ce problème, il était clair que la raison en était que certains des sept autres sites du pack damp;rsquohébergement namp;rsquoétaient plus utilisés et tenus à jour, mais étaient toujours en ligne. Tous pour les noms de domaine. Il y a 12 ans, il y avait des versions très anciennes de Mambo, Drupal et WordPress sur ces anciens sites. Une fois que le site principal a reçu son propre paquet damp;rsquohébergement, ce namp;rsquoétait quamp;rsquoun problème de nettoyage et le piratage a été rapidement résolu. Le client a décidé de supprimer les 7 autres sites plus tard parce que
Ils ne valent pas la peine damp;rsquoêtre réparés. En tant que spécialiste du Code, jamp;rsquoaide constamment les clients à pirater. Ces gens ne sont pas hébergés sur mon serveur, mais ils en ont vraiment besoin. Jamp;rsquoai un client qui a été piraté par un plug in périmé mal orthographié. Un attaquant peut créer un utilisateur sur le site, promouvoir lamp;rsquoutilisateur en tant quamp;rsquoadministrateur par injection SQL, puis injecter du contenu spam en tant quamp;rsquoadministrateur dans chaque page du site. Il samp;rsquoagit damp;rsquoun contenu invisible qui est caché dans la page (par exemple, police blanche sur fond blanc) et qui est conçu pour les aider à référencer des produits illégaux. Ces contenus sont inscrits sur la liste noire de Google search, le navigateur ne peut pas charger la page sans afficher la page damp;rsquoavertissement rouge, et les résultats de Google Search montrent
Camp;rsquoétait une violation damp;rsquoun site Web avant que je signe avec la compagnie. Jamp;rsquoai été engagé pour éliminer le piratage et maintenir le site Web à lamp;rsquoavenir. Heureusement, les hackers ont simplement imposé des données non pertinentes sur le site et ont relié des sites tiers à des méchants, etc. Ce qui complique les choses, camp;rsquoest quamp;rsquoil samp;rsquoagit damp;rsquoune installation multisite. Il a fallu des heures sur la table wordpress pour tout nettoyer! On a des arnaques damp;rsquohameçonnage très intelligentes à gérer. Je me souviens damp;rsquoun jour où un client paniqué venait de réaliser quamp;rsquoil avait fourni des certificats bancaires à ceux quamp;rsquoils pensaient être leur directeur financier à lamp;rsquoépoque. Eh bien, ce quamp;rsquoon a découvert plus tard, camp;rsquoest un hacker qui a infiltré divers systèmes clients avant de trouver un moyen damp;rsquoobtenir de lamp;rsquoinformation et de leur apporter de lamp;rsquoargent. Ce problème a été résolu avant quamp;rsquoil ne devienne incontrôlable, mais damp;rsquoune manière ou damp;rsquoune autre, camp;rsquoest un rappel de lamp;rsquoimportance damp;rsquoun niveau élevé de sécurité dans les affaires. 4. Pouvez partager le processus que avez utilisé pour protéger le site WordPress et comment gérez les vulnérabilités de sécurité sur les sites de vos clients? Richard: la première étape de mon processus est de vérifier si le site a son propre pack damp;rsquohébergement ou samp;rsquoil y a plus damp;rsquoanciens sites. Par conséquent, les permissions de fichiers et les restrictions à lamp;rsquoaccès public et à lamp;rsquoexécution des fichiers. PHP est dans un dossier non désiré. De plus, Examinez les utilisateurs et leurs rôles, les mises à jour sujets en attente et les plug ins obsolètes. De plus, vérifiez tous les plug ins et sujets qui existent mais qui ne sont pas activement utilisés. En résumé, jamp;rsquoa I actuellement une grande liste de points que jamp;rsquoutilise et que je mets à jour chaque fois que je rencontre un bon ajout. En cas de défaut, cela dépend en partie du type de défaut. En général
Ce que jamp;rsquoai fait, camp;rsquoest tout ajouter et tout nier. Htaccess, puis vérifiez le fichier journal pour déterminer la façon et le contenu de la violation. La grande majorité des violations sur les sites clients que je maintiens sont le fait damp;employés licenciés qui tentent de causer de graves dommages. Dans ces cas, il samp;rsquoagit de révoquer lamp;rsquoaccès, de modifier le mot de passe et de vérifier les changements effectués au cours des derniers mois. Jamp;rsquoai remarqué que de nombreuses entreprises (plus petites) peuvent facilement fournir à leurs employés des justificatifs damp;rsquoaccès pour divers systèmes et outils, mais quamp;rsquoelles namp;rsquoont pas envisagé comment révoquer lamp;rsquoaccès et les conséquences qui en découlent. Ce namp;rsquoest pas une question facile à répondre. Jamp;rsquoutilise une combinaison de solutions basées sur le serveur et le site. Sur le serveur, jamp;rsquoai plusieurs scripts Bash qui fonctionnent automatiquement sur le serveur tous les soirs pour empêcher les choses de se produire. Les scripts exécutent rkhunter, LMD Scan et clamscan tous les soirs pour rechercher et supprimer le contenu ou les fichiers injectés. Jamp;rsquoa I également un script qui vérifie chaque fichier et dossier public et mamp;rsquoassure quamp;rsquoils utilisent les permissions correctes (644 pour les fichiers, 755 pour les répertoires). le script trouve quelque chose, il les change dynamiquement. Jamp;rsquoa I aussi un script pour sauvegarder tous mes sites Web et bases de données dans un espace océanique numérique hors site tous les jours. Sur le site, jamp;rsquoutilise Defender pour bloquer tous les points damp;rsquoattaque normaux et jamp;rsquoutilise un programme appelé Ninja Firewall pour créer un pare feu damp;rsquoapplication Web pour mon site. Il samp;rsquoagit damp;rsquoun plug in, mais il crée en fait un pare feu qui est chargé avant de lire une ligne de PHP ou damp;rsquoexécuter une requête MySQL. Camp;rsquoest la solution web la plus importante que pouvez mettre en œuvre. Jamp;rsquoai choisi Ninja Firewall parce quamp;rsquoil est gratuit, wordffence WAF est cher, ninja Firewall WAF est aussi bon que wordffence WAF, en fait, je pense que camp;rsquoest mieux parce quamp;rsquoil fait seulement WAF, et il fait très bien. Pour r
Lorsquamp;rsquoil samp;rsquoagit damp;rsquoinfractions, il y a des solutions différentes pour chaque problème, mais jamp;rsquoessaie souvent de comprendre comment ils sont entrés et de commencer à travailler à partir de là. Cliff: tout d’abord, mettez à jour tous les logiciels: WordPress Core, plugins, thèmes et environnements gérés (par exemple PHP). Le nom damp;rsquoutilisateur que jamp;rsquoutilise namp;rsquoest pas facile à deviner. Utilisez un mot de passe sécurisé (long et imprévisible le gestionnaire de mot de passe est utile). Les logiciels de sécurité de base sont souvent installés sur les sites Web: wordfence et anti spam. Je protège habituellement lamp;rsquoaccès en demandant recaptcha et, dans certains cas, lamp;rsquoaccès exige deux facteurs. Pour de nombreux sites, jamp;rsquoy accèderai également via le réseau cloudflare. Cloudflare lui même fournit des améliorations de sécurité, et jamp;rsquoai également créé des règles de pare feu sur cloudflare pour empêcher les attaquants damp;rsquoaccéder au site. Logan: pour protéger le site WordPress de nos clients, nous combinons les meilleures pratiques de sécurité et des plugins de sécurité fiables pour nous aider à surveiller et à défendre en permanence les attaques et les cybermenaces. Comme damp;rsquoautres sites Web, la cybersécurité est une priorité pour nos clients et pour nous mêmes. Pour assurer une sécurité supplémentaire, nous avons récemment établi un nouveau partenariat de sécurité avec la société de conseil en sécurité numérique protected by dragon pour aider à protéger le contenu le plus important pour nos clients. En ce qui concerne les vulnérabilités en matière de sécurité, nous recevons régulièrement des rapports et des avis lorsque des signaux de danger apparaissent sur le site Web de nos clients. Nos serveurs peuvent non seulement détecter des acteurs indésirables et des activités anormales, mais aussi limiter lamp;rsquoaccès au site Web si nécessaire. Par conséquent, nous pouvons immédiatement identifier les vulnérabilités en matière de sécurité, évaluer les pertes et aviser les clients lorsque des vulnérabilités sont détectées. 5. Quels plugins de sécurité WordPress utilisez ou recommandez et pourquoi? Richard: Honnêtement, je namp;rsquoai pas utilisé Defender depuis un certain temps, sauf
Tirlo, 2fa peut être la meilleure défense contre les attaques violentes auxquelles le WP a accès. Cliff: tout ce que j’ai mentionné en réponse à la question 4! Logan: en tant qu’utilisateur de WordPress, ne devriez jamais ignorer les mesures de sécurité numérique qui protègent votre site. le faites, pouvez nuire à votre site en le rendant plus vulnérable aux attaques et aux cybermenaces. Selon le type de site WordPress que possédez, cela pourrait ouvrir la porte aux hackers, leur permettre d’accéder facilement à votre site, voler le contenu de votre site, et changer vos paramètres administratifs pour empêcher d’accéder à votre site. Il en résultera une perte totale de temps, damp;rsquoénergie et damp;rsquoargent que consacrerez au site, ce qui pourrait être dévastateur pour lamp;rsquoentreprise. Il existe de nombreux plugins de sécurité WordPress gratuits qui peuvent simplifier la prévention des cyberattaques, il est donc conseillé aux utilisateurs de ne pas ignorer l’utilisation de plugins de sécurité sur leurs sites. Il suffit de quelques clics et boum, leur site est plus sûr quamp;rsquoavant. 7. Avez des conseils de sécurité ou des ressources préférées que souhaitez partager avec d’autres développeurs web WordPress? Richard: Je pense que beaucoup de professionnels connaissent déjà wpscan. Com (anciennement wpvulndb). Je recommande fortement leur liste de diffusion. La plupart des gens sont derrière le mur des paiements, mais je pense que ça en vaut encore la peine. Les plug ins de recherche sont très utiles et les alertes par courriel pour les nouvelles vulnérabilités sont très utiles. En outre, je dois mentionner les blogs de sucuri, wordfence et nintechnet qui semblent toujours mettre à jour les nouvelles vulnérabilités très en détail! Damp;rsquoabord, je sais que tu ne veux peut être pas lamp;rsquoentendre, mais jamp;rsquoutilise mainwp pour maintenir mon site. Deuxièmement, une bonne garde peut être le meilleur investissement que pouvez faire. namp;rsquoavez pas les moyens pour quelquamp;rsquoun comme moi de gérer votre site pour , ne le faites pas.
Utilisez un hôte bon marché. Trouvez un service qui protège et met à jour votre site chaque semaine (ce namp;rsquoest pas GoDaddy ou bluehost). Vous aurez ce que payez Troisièmement, ne mettez pas votre site Web et votre courriel sur le même serveur! Enfin, namp;rsquoutilisez jamais damp;rsquohôtes qui utilisent cpanel. Il est lent, désuet et ouvre beaucoup de choses sur le serveur qui sont à peine utilisées et ou ne devraient pas être utilisées (par exemple, le courriel sur le serveur du site Web). Je crois que mon feuilleton est fini! Cliff: les mauvais acteurs aiment frapper l’accès à WordPress et essayer d’y accéder avec violence. Wordfence fait du bon travail pour empêcher trop d’erreurs. Mais jamp;rsquoai aussi mis en place des règles de pare feu sur cloudflare pour de nombreux clients afin de bloquer lamp;rsquoIP externe que jamp;rsquoessaie damp;rsquoaccéder. De toute évidence, il est de plus en plus fréquent que les propriétaires de sites Web aient besoin de personnes ayant accès à des endroits en dehors des États Unis, ce qui ne fonctionne pas. Mais de nombreuses petites entreprises américaines namp;rsquoont pas besoin ou ne sont pas intéressées à visiter des sites IP étrangers, et encore moins à se connecter à lamp;rsquoURL. En ce qui concerne la sécurité du site, la prévention vaut mieux que le traitement. La cybersécurité est de plus en plus sophistiquée chaque jour, et les pirates informatiques découvrent des vulnérabilités pour détruire les sites Web de leurs clients. Tenez au courant des meilleures pratiques de sécurité, utilisez les meilleurs plug ins de sécurité pour vos clients et surveillez régulièrement le site Web de vos clients. La plupart des plug ins de sécurité offrent la possibilité de configurer des rapports hebdomadaires automatisés où les clients peuvent recevoir des informations critiques sur leur site. Samp;rsquoil y a une faille de sécurité, camp;rsquoest lamp;rsquooccasion idéale de la corriger. Par conséquent, le site Web de votre client est plus sûr et moins susceptible damp;rsquoêtre la prochaine cible damp;rsquoun hacker.
1. Démarrer un nouvel utilisateur, changer le mot de passe, activer 2fa et restaurer le site à partir damp;rsquoune sauvegarde hors ligne Chris est le dernier client que jamp;rsquoai pu réparer avec Defender pro. Il a tout nettoyé et lamp;rsquoa envoyé à Google, et les clients sont très reconnaissants! Il me fait passer pour un super héros! Merci à tous! Victoria je me souviens damp;rsquoun client qui mamp;rsquoa appelé parce que son site Web (pas celui que jamp;rsquoai créé) avait été piraté. Camp;rsquoest difficile parce que je namp;rsquoai pas créé de site Web, je ne connais pas les dépendances entre les plug ins, etc. Jamp;rsquoai passé plusieurs fois à numériser nettoyer recharger pour combler toutes les lacunes en matière de sécurité et jamp;rsquoai finalement demandé à tous les employés de modifier leurs mots de passe de courriel et tous leurs mots de passe afin damp;rsquoaugmenter le niveau de sécurité. Gigelo I a repris deux sites endommagés. Les deux problèmes sont des noyaux et des plug ins obsolètes. Heureusement, ils mamp;rsquoont tous demandé de supprimer les sites endommagés et de créer un nouveau site, donc camp;rsquoest un problème damp;rsquoutiliser la page pour une nouvelle installation pendant le processus de construction. Keith Oui, il y a quelques années, un site Web a été victime damp;rsquoinjection de script, il a été partagé avec quelques plug ins obsolètes, le nettoyage implique beaucoup de nettoyage manuel de fichiers de déchets. Camp;rsquoest là que jamp;rsquoai découvert quamp;rsquoen plus du mot de passe, la sécurité était nécessaire. Récemment, Defender a bloqué Mes tentatives violentes de connexion, mais plus tard, jamp;rsquoai changé lamp;rsquoURL de connexion de lamp;rsquoadministrateur et tout samp;rsquoest calmé depuis Oui, mon site a été piraté plus damp;rsquoune fois. Jamp;rsquoai webarx, qui est toujours piraté. Jamp;rsquoutilise la sécurité anti malware Eli et le pare feu violent pour le nettoyer. Installer et exécuter des programmes et nettoyer tous les logiciels malveillants Shala a travaillé pendant 15 ans sur WordPress et 20 ans sur le développement web, et j’ai travaillé sur de nombreux sites Web endommagés. DDOS et violence
À une ex femme en colère qui samp;rsquoest connectée et a remplacé toutes les photos sur le blog de son mari par des photos moins flatteuses que lui. Dans la plupart des cas, jamp;rsquoai trouvé la récupération des sauvegardes plus rapide et plus facile. Samp;rsquoil namp;rsquoy a pas de contenu malveillant, nous devons supprimer et supprimer le contenu malveillant sans effort, et parfois même reconstruire complètement le site. Wolf Bishop jamp;rsquoétais responsable du nettoyage de plusieurs sites Web endommagés du WP. Presque toujours parce quamp;rsquoil manque un plug in ou une mise à jour WP Catalina I. les gens essaient constamment d’accéder à mon compte et Defender pro est utile pour WordPress. Jamp;rsquoa I aussi reçu beaucoup de spam parce que jamp;rsquoai utilisé un plug in appelé STOP spam Sender. De nombreux robots et hackers ciblent des chemins de fichiers plug in pour divulguer des informations sur des sites Web Jonathan 2. Pas sans outils de sécurité? Il namp;rsquoy a pas de plug in pour assurer une sécurité à 100%. La plupart du temps, les utilisateurs propriétaires de sites Web sont accusés ou commettent des erreurs damp;rsquoune manière ou damp;rsquoune autre. Vous pouvez améliorer considérablement votre site WP sans utiliser damp;rsquooutils ou de plug ins. Vous ne devriez pas avoir un programme antivirus sur votre ordinateur. Peu importe la sécurité de votre site, si avez un programme damp;rsquoenregistrement de clavier sur votre ordinateur, avez en fait terminé Richard Eli anti malware and violence Firewall security. Tous les plug ins wpmudev sont maintenant disponibles Diaz Backup, bien sûr. Alvaro back. J’en ai besoin sur chaque installation WordPress. Jamp;rsquoai aussi besoin damp;rsquoabeilles anti spam sur chaque site avec la section commentaires PS Defender pro, je namp;rsquoarrive pas à croire quamp;rsquoil mamp;rsquoait fallu autant de temps pour te trouver. Outils de sauvegarde victoriens, outils de migration, scanners et pare feu – De Johns back. Jamp;rsquoavais un compte sitelock, mais jamp;rsquoai finalement réalisé que je gaspillais de lamp;rsquoargent. Jamp;rsquoai donc utilisé plusieurs plug ins WP différents, mais depuis, jamp;rsquoai remplacé la plupart damp;rsquoentre eux par Defence
A e dei temi. Lorsquamp;rsquoaucun comportement suspect namp;rsquoest décelé, une inspection approfondie doit être effectuée au moins une fois par an. Jusquamp;rsquoà présent, TAP Wood a un site WP dont je suis responsable et qui a été piraté en raison damp;rsquoune vulnérabilité de jour zéro. De plus, mon fournisseur damp;rsquohébergement Web a été victime damp;rsquoune attaque de ransomware. Heureusement, ma sauvegarde namp;rsquoest pas sur place parce que son serveur de sauvegarde est corrompu en même temps. Quelques heures plus tard, je suis retourné en ligne et jamp;rsquoai changé damp;rsquohôte. Ses autres clients sont hors ligne depuis 3 jours. Richard vérifie presque tous les jours ou au moins une fois par semaine, Diaz au moins une fois par semaine Une fois que Chris a configuré Defender, je vérifie habituellement le site une fois par semaine. Grâce à Defender, je namp;rsquoai pas besoin de passer autant de temps quamp;rsquoavant. Victoria la dernière fois que jamp;rsquoai passé du temps en sécurité, camp;rsquoétait il y a quelques semaines quand jamp;rsquoai installé Defender sur un autre site Web. Une fois que jamp;rsquoaurai tout arrangé, je ne me soucierai pas vraiment de la sécurité. Tant que je garde des sauvegardes hors ligne régulières, je namp;rsquoai plus peur damp;rsquoêtre piraté. Kahnfusion jamp;rsquoessaie de passer une demi journée tous les deux mois à vérifier les 20 sites Web que je gère. Cela me semble assez juste, car je lis occasionnellement le résumé de defender pro et jamp;rsquoai bien configuré mes notifications pour mamp;rsquoassurer que je reçois des courriels en cas de situation réelle. Guigro je ne fais pas damp;rsquoobservations spécifiques parce que je viens damp;rsquointégrer Defender dans mon processus Phil I exécute le rapport Defender et interdit activement toute activité suspecte à la PI. Dans lamp;rsquoensemble, je crois que Defender et wpmu Dev me protégeront. Keith, je mamp;rsquoassure que tous les clients font lamp;rsquoobjet damp;rsquoun examen mensuel complet. À mon avis, camp;rsquoest le bon montant. Lee, on scanne chaque site tous les jours. On est toujours en marche.
Histoires d’experts en sécurité WordPress et 40 nouveaux conseils de sécurité de nos membres!
