Le site WordPress est l’une des cibles les plus fréquentes sur Internet. Ils ont été piratés plus souvent que namp;rsquoimporte quel autre type de site. , vos amis ou quelqu’un que connaissez n’avez jamais eu l’expérience d’être « noirci» par un site WordPress, alors avez beaucoup de chance, ou d’avoir des gens exceptionnellement attentifs autour de dans votre vie. La sécurité est importante parce que les sites WordPress sont en ligne et peuvent exécuter des centaines de milliers de lignes de code. WordPress est une plate forme assez commune pour être la cible d’un attaquant. Lorsque Microsoft Windows est une plate forme relativement nouvelle et dominante avec des titres réguliers sur les questions de sécurité, ses défenseurs soulignent que le nombre damp;rsquoattaques est une raison importante. Bien que Microsoft ait fait des erreurs de sécurité, il y a aussi un certain nombre damp;rsquoerreurs de sécurité qui sont généralement utilisées en premier sur les plateformes Windows.
Il en va de même pour WordPress. WordPress possède environ 27% d’internet. C’est bien, mais cela signifie aussi que si quelqu’un découvre que tous les sites WordPress présentent une vulnérabilité de sécurité de base, voire une grande proportion, il peut facilement collecter des milliers de serveurs en quelques heures. C’est pourquoi WordPress est un si grand objectif et c’est pourquoi nous devons prendre la sécurité de WordPress au sérieux. Camp;rsquoest très important. Voulez devenir un expert en sécurité WordPress? WordPress est sûr et fiable WordPress Security with confidence est notre guide complet sur la sécurité WordPress.
En commençant par les principes généraux de sécurité et en passant à des étapes pratiques très concrètes, nous expliquerons tous les détails que devez comprendre dans un langage clair et sans termes. C’est un partenaire essentiel pour la sécurité de WordPress. Devenez un expert absolu et gagnez confiance en la sécurité du bon fonctionnement de WordPress. Lire plus ce guide namp;rsquoest pas vraiment complet Pas de meilleure Liste
Avec quelques unes des voix les plus importantes dans le domaine de la sécurité WordPress, écoutez leurs opinions divergentes sur le sujet et aidez à faire la distinction entre les bons et les mauvais conseils.
La définition des termes est au cœur de la réponse à cette question. WordPress est un vaste écosystème avec une grande variété d’habitudes de pratique et de configurations. Il y a des sites WordPress aujourd’hui qui sont absolument dangereux et qui risquent d’être détruits dans les prochaines 24 ou 48 heures. Mais si nous parlons de “wordpress”, c’est le logiciel principal que avez inclus dans les fichiers Zip que avez téléchargés de WordPress. Org, je pense que camp;rsquoest très sûr. Un jour, il y a une chance de 0.00001% qu’il n’y ait pas de problème de Patch en raison des attaques du logiciel WordPress dans le monde entier.
WordPress dispose maintenant d’une fonction de mise à jour automatique intégrée, et la plupart des hôtes sont en mesure de s’assurer que votre site est mis à jour en cas d’erreur. C’est essentiel, car WordPress 4.9.1 peut avoir un problème de sécurité que quelqu’un va découvrir dans les mois ou les années à venir. Mais les organisations WordPress seront informées de ces nouveaux problèmes et publieront des versions comme 4.9.2 ou 4.9.20 à temps pour les résoudre. Outils WordPress
Livraison en cours. Leurs raisons varient, mais les raisons les plus courantes pour détecter les sites WordPress sont: envoyer du trafic à leur site, contrôler votre classement de référencement, envoyer Google Juice à leurs pages pour la fierté ou des informations politiques des pilotes: laisser vos visiteurs de site des logiciels malveillants, et plus encore. Porte de derrière pour votre site afin damp;rsquoaccéder plus tard aux données de votre site: liste damp;rsquoutilisateurs, historique damp;rsquoachat, etc. Spamming: votre site WordPress peut envoyer des e mails, ils peuvent également utiliser la méthode d’envoi d’e mails pour effectuer des calculs utiles en utilisant les ressources du serveur (principalement CPU), probablement en creusant des cryptocommandes comme bitcoin. C’est exactement ce que j’ai pensé après un peu de réflexion et de recherche. Il est possible quamp;rsquoun hacker intelligent ait plus à ajouter à la liste. Jamp;rsquoespère que cette liste montrera clairement que lamp;rsquoobscurité relative de votre site namp;rsquoest pas une protection. Bien sûr, namp;rsquoavez peut être pas de liste damp;rsquoutilisateurs intéressante, mais avez un serveur que pouvez utiliser pour créer dogecoin ou envoyer des pourriels. Parce que chaque serveur a un processeur, la grande majorité peut envoyer des e mails. La sécurité de WordPress est basée sur l’ensemble de la pile et non sur une seule chose. Une autre chose importante à savoir sur le site WordPress est que WordPress est vraiment au sommet des différentes technologies et d’autres parties de la pile peuvent être vulnérables. Par exemple, WordPress travaille sur PHP. Comme WordPress, les versions PHP contiennent parfois des vulnérabilités de sécurité. le mettez à jour régulièrement, je namp;rsquoai pas de problème. non, ces problèmes de PHP peuvent nuire au site WordPress. D’autres contenus dans la pile de sécurité sous jacente du site WordPress peuvent également être mal configurés.
Cela diffère de lamp;rsquoobsolescence, mais a un effet similaire. namp;rsquoêtes pas au courant de la configuration du serveur Web, pouvez apporter les changements nécessaires pour quamp;rsquoil fonctionne correctement sans rendre compte que cela aura des effets négatifs considérables sur la sécurité. C’est plus fréquent que ne le souhaitez et c’est l’une des principales raisons pour lesquelles j’aime laisser la plupart des configurations non WordPress aux professionnels. Je ne dis pas que ne pouvez pas configurer votre serveur physique même, ou acheter un VPS bon marché et le configurer avec les scripts de configuration des autres. Mais il est vraiment important de faire confiance aux configurations qui exécutent WordPress. Parce que si exécutez WordPress correctement, mais que n’exécutez pas MySQL correctement, de très mauvaises choses peuvent encore se produire. Conseils de sécurité WordPress non requis (mais communs). Avant de me joindre au Conseil damp;rsquoadministration, je voudrais que suiviez pleinement les recommandations que jamp;rsquoai souvent vues ailleurs et qui, à mon avis, namp;rsquoont guère de sens. elle est exécutée, la plupart de ces conseils sont presque inoffensifs ou légèrement avantageux. Mais je ne le recommande pas parce que ses avantages, samp;rsquoils existent, sont trop faibles. De plus, il y a de fortes chances que passer du temps sur ces questions fasse perdre de vue des pratiques de sécurité plus précieuses. Vous pouvez faire ce que voulez, mais je ne pense pas quamp;rsquoil vaut la peine de prendre le temps damp;rsquoinvestir parce quamp;rsquoils ont un petit revenu. Ne inquiétez pas: cacher la version de WordPress nous permet de commencer par les conseils de sécurité les plus courants et inutiles: Vous devez cacher le numéro de version de WordPress ou le wordpress que utilisez. Le deuxième est difficile à prendre au sérieux, et le Premier ne vaut presque rien. Il est difficile de cacher WordPress que utilisez, et la plupart des gens essaient de le faire en éditant ou en supprimant des étiquettes Nel proprio sito S.A. Il namp;rsquoy a pas de constructeur de Botnet raisonnable
Ordpress en a intégré un pour . non, pouvez en acheter un même à quelquamp;rsquoun comme sucuri ou cloudflare. Cela devrait empêcher la possibilité damp;rsquoune communication négative vers les paramètres de lamp;rsquoAPI, mais laisser passer les bonnes choses. Cela namp;rsquoest pas garanti, mais camp;rsquoest généralement une meilleure solution que de lamp;rsquoéteindre. Ne inquiétez pas: changer le préfixe de base de données WordPress la plupart des personnes configurées avec wordpress voient un champ texte qui nécessite un préfixe de base de données et voient la valeur WP qui y figure. WordPress stocke vos données messages, commentaires, produits, etc Dans une base de données dans un tableau commençant par ce préfixe. L’idée ici est que la valeur par défaut n’est pas très sûre et que devriez la définir à une valeur similaire à celle de jadfl uz, qui pourrait ne pas être disponible sur d’autres sites WordPress. Cette étape est peu susceptible de protéger. Lorsque le faites, êtes particulièrement à lamp;rsquoabri des attaques dites damp;rsquoinjection SQL. Peu de sites WordPress ont été détruits de cette manière, mais c’est certainement une façon de supprimer des sites. Mais pour ce faire, devez exécuter une version WordPress ou un plug in qui est vulnérable à de telles attaques d’injection SQL. Ainsi, si vos plugins, thèmes et WordPress sont à jour, n’en tirerez pas beaucoup d’avantages supplémentaires. De plus, un attaquant peut facilement lister des tables de base de données samp;rsquoil y a une vulnérabilité damp;rsquoinjection SQL dans le site. Ce namp;rsquoest pas aussi rapide que de supposer aveuglément que les messages sont dans la table marquée WP _ posts, mais plutôt que camp;rsquoest lamp;emplacement de votre table et ne vérifie pas que camp;rsquoest peut être le nombre damp;rsquoattaquants parmi ceux qui sont assez intelligents pour effectuer lamp;rsquoattaque en premier. Je pense que si créez un nouveau site Web, ou si trouvez un moyen facile de changer le préfixe de la base de données, alors Continuez. Camp;rsquoétait une victoire très légère.
Mais camp;rsquoest une victoire. Cependant, si votre site fonctionne déjà avec le préfixe WP surtout si namp;rsquoêtes pas un développeur, ne perdez pas de temps à essayer de le faire. Ne inquiétez pas: la dernière astuce pour renommer l’url de connexion WordPress que je ne pense pas qu’il vaut la peine de faire est de supprimer l’url de connexion de l’échantillon. Connexion com WP. Un exemple similaire à PHP. Lamp;rsquoURL com my secret est utilisée pour lamp;rsquoinscription des chiots. Certains plug ins de sécurité rendent cela facile, mais ce namp;rsquoest pas une perte de temps totale. un attaquant ne trouve pas votre page de connexion, il ne peut même pas attaquer violemment votre mot de passe, et je ne peux pas être en désaccord avec ce point de vue. (nous en reparlerons plus tard.) Le problème avec ce Conseil est que si un attaquant a de la difficulté à trouver la page de connexion de votre site, (ou un collègue, etc.) ne le trouverez pas. avez un moyen sûr et fiable damp;rsquoajouter des signets aux pages que trouvez faciles à utiliser, faites le par tous les moyens possibles. Il présente des avantages modestes en matière de sécurité. Mais si faites autre chose de la bonne façon, les avantages ne sont pas si grands. assurez que tous les comptes de votre site ont de bons mots de passe, il est peu probable que lamp;rsquoattaque de devinette de mot de passe réussisse. De plus, si avez un moyen de limiter le nombre de tentatives de connexion à votre compte en peu de temps, pouvez encore réduire les chances de succès des attaques de connexion. Un bon mot de passe combiné à des restrictions damp;rsquoaccès défaillantes est plus précieux quamp;rsquoune URL sombre pour accéder à votre site sans ces protections. Meilleures pratiques générales en matière de sécurité WordPress voulez garder WordPress en sécurité, devez faire quelque chose de commun. Bien que je pense quamp;rsquoil y a beaucoup de possibilités, ce sont des choses que devriez faire souvent. Ils ne sont pas là.
Un ordre plus précis, mais ils sont plus ou moins dans un ordre damp;rsquoimportance relative, et je pense que les donnerez. J’ajouterai que si n’exécutez que le premier de ces sites, bénéficiez d’un avantage de 50% sur les sites WordPress en ligne. êtes dans le top 5, il est peu probable que votre site WordPress ait des problèmes de sécurité irrécupérables. avez fait tout cela, je serais surpris si votre site était endommagé. Ce namp;rsquoest pas une garantie, camp;rsquoest juste mon idée. Faire: fournir un bon mot de passe pour WordPress la façon de base sur Internet que n’importe quel site WordPress peut être attaqué est simple: presque tous les robots sur les sites WordPress devine régulièrement le mot de passe du compte. Vous avez un mauvais mot de passe et risquez de perdre votre compte, donc votre site Web. Certains mots de passe sont manifestement faux: mot de passe p455w0rd [nom du site] Charlie iscarino il existe de nombreuses écoles différentes sur la façon de créer un bon mot de passe. Mais presque tout le monde est damp;rsquoaccord pour dire que ce namp;rsquoest pas bon. Tout cela namp;rsquoest pas bon parce que les devineurs de mot de passe peuvent facilement les trouver. Le mot de passe et ses variantes, et même les substitutions de caractères intéressantes et intelligentes, sont toujours en haut de la liste des scripts pour deviner le mot de passe. Le nom du site est également facile à deviner. Par
Ordpress a été attaqué par un piratage notoire, et un robot pourrait essayer damp;rsquoutiliser des problèmes connus dans les anciennes versions du logiciel sur votre site Web. Bien que ces vulnérabilités soient maintenant très anciennes, il est fort probable qu’un Robot essaie de les utiliser pour attaquer le site WordPress. C’est pourquoi devez mettre à jour WordPress. Non seulement le cœur de WordPress, mais aussi tous les plugins et thèmes que utilisez. Aujourd’hui, les vulnérabilités de sécurité des plug ins sont plus courantes que celles des noyaux ou des thèmes WordPress, mais il y a des vulnérabilités de sécurité dans les trois plug ins. Lorsque des chercheurs externes ou des développeurs internes se rendent compte quamp;rsquoil y a des problèmes de sécurité avec certains codes dans leurs affaires, leur approche la plus responsable est de créer une nouvelle version qui namp;rsquoa pas cette vulnérabilité. La plupart des joueurs de l’écosystème WordPress sont doués pour cela. Camp;rsquoest pourquoi devez faire votre part. Lorsquamp;rsquoils fournissent des mises à jour avec des corrections de bogues ou des correctifs de sécurité, devez les installer à temps. Vous pouvez demander à WordPress d’installer ces mises à jour pour , de le faire même ou d’utiliser des plugins de gestion à distance WordPress tels que managewp. Les Hôtes WordPress hébergés résoudront ce genre de problèmes pour (nous utilisons et aimons siteground pour plus d’informations, voir nos commentaires siteground). ne pouvez pas être dérangé, pouvez aussi engager quelquamp;rsquoun pour le faire. Mais si prenez la sécurité de WordPress au sérieux, devez vraiment le faire. Ce que devez faire: Assurez de créer des sauvegardes WordPress régulières et automatisées l’une des meilleures choses que pouvez faire pour protéger votre site est de assurer que avez la sécurité des données en cas d’erreur. Cela signifie que devriez avoir une sauvegarde à jour damp;rsquoau moins un site pour reconstruire ou restaurer en cas damp;rsquoerreur. Vaultpress est une solution de sauvegarde populaire et je pense que lamp;rsquoinclusion de vaultpress dans jetpack est la seule façon de sauvegarder
Les dernières sauvegardes fiables de votre site sont effectuées automatiquement. Comme nous sommes humains et donc sujets aux erreurs, si avez besoin de 1 à 10 clics sur le site WordPress pour mettre à jour la sauvegarde, pouvez parfois sauter cette étape. Camp;rsquoest pourquoi devriez essayer damp;rsquoutiliser le plug in de sauvegarde. Idéalement, il devrait également sauvegarder deux fichiers (photos, PDF, etc.) À propos de la base de données. Idéalement, il pousse ces données hors du serveur que hébergez, car cela maximisera la garantie que les pirates informatiques ne supprimeront pas facilement vos sauvegardes. Comme il s’agit d’un billet sur la sécurité WordPress et non sur la sauvegarde, je ne vais pas donner une liste complète de toutes les options et de leurs compromis. Mais je pense que updraft plus, jetpack vaultpress et Backup Buddy sont ce à quoi je pense. Faire: vérifier régulièrement votre site WordPress n’empêche pas vraiment la première mauvaise chose de se produire sur votre site. En fait, la raison pour laquelle il est important de garder le site en état est principalement damp;empêcher que quelque chose de pire ne se produise. Lorsque voyez des choses étranges sur votre site, il est plus facile de les réparer à lamp;rsquoavance. Les acquisitions de sites Web peuvent avoir le moins damp;rsquoimpact négatif possible, comme Google alertant les visiteurs de vos informations. ne visitez pas régulièrement votre site Web pour les mettre à jour, devriez au moins assurer que la partie publique de celui ci est bien affichée régulièrement. ne pouvez pas le faire, devriez au moins assurer quamp;rsquoun service externe (comme pingdom) rend le site Web en ligne. Ce que ferez pour assurer que pouvez restaurer la sauvegarde dans une nouvelle itération sur le site Live si quelque chose de mal ou damp;rsquoétrange semble se produire. Ce namp;rsquoest pas aussi bon que lamp;rsquoabsence de mauvaises choses, mais camp;rsquoest essentiel à la santé à long terme du site. Ce qu’il faut faire: éviter les codes WordPress peu fiables
Ou piratage Il est facile de trouver des pointeurs vers des thèmes WordPress piratés. Tu ne devrais pas faire ça. Ce namp;rsquoest pas important pour la plupart des gens. La plupart d’entre nous n’utilisons que des logiciels WordPress. Org, un développeur que nous employons coopérons, ou un développeur damp;rsquoun autre fournisseur de confiance. tu fais tout ça, tu namp;rsquoas pas à tamp;rsquoinquiéter. Cela samp;rsquoadresse principalement à ceux qui tentent damp;rsquoéconomiser de lamp;rsquoargent en piratant des plug ins, des thèmes, etc. Ou quelquamp;rsquoun qui essaie damp;rsquoéconomiser de lamp;rsquoargent en obtenant du Code damp;rsquoun
Vos identifiants de connexion (ou de carte de crédit, etc.) Ils sont plus en sécurité. Par exemple, il est peu probable que quelquamp;rsquoun regarde autour du wifi dans un café pour voir votre mot de passe. Par conséquent, devriez certainement obtenir un certificat HTTPS. Mais ne pensez pas qu’il protège de quelque manière que ce soit votre installation WordPress réelle sur le serveur, car ce n’est pas le cas. Une autre bonne mais un peu inconfortable étape consiste à utiliser lamp;rsquoauthentification à deux facteurs sur le site. Lorsque le faites, aurez besoin de trois façons damp;rsquoy accéder, pas deux. Nous utilisons habituellement votre nom damp;rsquoutilisateur (ou votre adresse e mail) et votre mot de passe pour nous connecter au site Web. Avec 2fa, avez aussi besoin de
OST fait environ 5000 mots de long. Camp;rsquoest beaucoup de mots. Jamp;rsquoespère que avez beaucoup appris si avez bien sauté ou (mieux) lu attentivement. Comme je l’ai dit au début, je ne pense pas que ce soit le Guide de sécurité WordPress complet. Mon cours s’appelle WordPress Security with confidence. Mais je pense que nous avons couvert la plupart des meilleures pratiques des propriétaires de sites WordPress. êtes un développeur, devez connaître d’autres types de meilleures pratiques de sécurité WordPress. Vous pouvez obtenir beaucoup de détails gratuitement dans mon article
Guide complet de sécurité WordPress
