Sécurité du site? Pourquoi la sécurité du site Web est elle importante? Comment protéger le site contre les pirates informatiques?
Qursquoest ce que la sécurité du site Web? Bien que preniez des mesures pour protéger votre site Web, il est important de reconnaître que la sécurité du site Web est un processus continu. Les hackers sont un groupe créatif, de sorte que la menace évolue. Comme le verrez dans lrsquoarticle suivant, un bon plug in de sécurité fera la plupart du travail lourd sur les logiciels malveillants, mais la prudence et la vigilance sont essentielles pour confirmer la sécurité du site. Comment protéger le site contre les pirates informatiques? Pour avoir un plan viable pour protéger votre site, la première étape consiste à comprendre comment le site a été détruit. Selon nos recherches, le site Web a été violé de trois façons principales:
Raison de la corruption du site 90 +% → vulnérabilité dans le plug in ou le sujet 5 +% → nom drsquoutilisateur et ou mot de passe compromis 1. Utiliser des mots de passe sécurisés les mots de passe complexes utilisent des combinaisons aléatoires de lettres, de chiffres et de symboles, car ils sont difficiles à déchiffrer. Il faudra peut être des années pour trouver le bon. Vous pouvez essayer de créer votre propre mot de passe sécurisé ou drsquoutiliser le générateur de mot de passe. Vous pouvez ensuite utiliser le plug in pour forcer lrsquoutilisation de mots de passe complexes. Les mots de passe complexes et difficiles à déchiffrer peuvent être difficiles à mémoriser, donc nous recommandons drsquoutiliser un gestionnaire de mot de passe comme lastpass. Une bonne façon de limiter les tentatives drsquoaccès pour contrer les attaques violentes est drsquoarrêter lrsquoattaquant après que plusieurs tentatives drsquoaccès ont échoué. Il srsquoagit drsquoun mécanisme efficace, car ce type drsquoattaque implique des tentatives répétées de différents mots de passe par des robots hackers. Le pare feu malcare est intégré à cette fonctionnalité. La tentative de restreindre lrsquoaccès protège
Pas beaucoup de sites gênants lt1% → Servizi di host web scadenti Questa distribuzione dovrebbe costituire la base di come pianifichi la sicurezza del tuo sito web e dove allocare la maggior parte del tempo e delle risorse. 1. Proteggi il tuo sito web dalle vulnerabilità Gli hacker sono costantemente alla ricerca di siti Web vulnerabili. Non importa se il sito web è grande o piccolo. Hanno molto da guadagnare hackerando qualsiasi sito web. Nella nostra esperienza, oltre il 90% di tutti gli hack avviene perché gli hacker hanno identificato una vulnerabilità e l039hanno sfruttata.
Diamo un039occhiata un po039 più a fondo in cosa sono le vulnerabilità. Questo è fondamentale da capire, in modo da poter modellare consapevolmente la strategia di sicurezza del tuo sito web in futuro. Che cos039è esattamente una vulnerabilità? Il tuo sito web è composto da 3 componenti principali: WordPress, plugin e temi. Questi sono tutti fondamentalmente software e, come qualsiasi software, contengono bug che a volte causano malfunzionamenti. I bug possono avere una serie di conseguenze: alcuni causano il rallentamento del tuo sito Web o generano un errore quando qualcuno lo visita. Questi sono fastidiosi e problematici, ma quelli più seri consentono a utenti non autorizzati (cioè hacker) di accedere al tuo sito web. Questo tipo di bug è noto come vulnerabilità.
Tipi di vulnerabilità Le vulnerabilità possono essere riassunte, come abbiamo fatto nel paragrafo precedente, come bug nel codice. Tuttavia ci sono alcuni tipi specifici che emergono più frequentemente di altri: Software obsoleto: è importante mantenere aggiornati il core, i plugin e i temi. Scarsa gestione dei ruoli utente: non concedere a tutti gli utenti l039accesso completo come amministratore. Input non sanificati: i campi di input devono controllare l039input prima della memorizzazione eo dell039esecuzione. Hack possibili su un sito Web non protetto Le vulnerabilità sono strettamente legate ai tipi di attacchi che consentono e spesso si parla in modo intercambiabile. Gli attacchi più comuni che WordPress sperimenta sono:
Iniezioni di codice: in cui il codice dannoso viene inserito tramite campi di input ed eseguito dal codice del sito Web o dal database. Una variante spesso vista di un039iniezione di codice in un039iniezione SQL, che è particolarmente eclatante per le applicazioni basate su database come WordPress Attacchi di scripting tra siti: questo tipo di vulnerabilità ruba i cookie degli utenti per impersonare o addirittura dirottare la sessione. L039accesso dell039utente mirato viene quindi utilizzato per attaccare il tuo sito web Attacchi di forza bruta: come suggerisce il nome, non c039è finezza in questo tipo di attacco. L039hacker bombarda la tua pagina di accesso con combinazioni di nomi utente e password nel tentativo di scoprire quella giusta. Spam SEO: tutto lo spam è serio, ma questo attacco colpisce dove fa più male al sito web: SEO. I proprietari di siti web spendono risorse lavorando sul loro SEO, solo per consentire a un hacker di trarre un vantaggio indebito inserendo pop-up e collegamenti a elementi illegali o del mercato grigio. Anche gli attacchi di spam SEO sono difficili da rilevare e spesso i siti Web subiranno gli effetti dannosi dello spam prima di rendersi conto di essere stati infettati. Attacchi di phishing: in questi attacchi, l039hacker tenta di impersonare un039entità legittima per indurre un utente a fornire le proprie informazioni volontariamente. Il phishing funziona in tandem tramite e-mail e un sito Web violato per ottenere queste credenziali.
Qual è l039effetto di una vulnerabilità? Plugin e temi sono installati su diverse migliaia di siti Web, quindi l039effetto di questo difetto è notevolmente amplificato. Gli sviluppatori responsabili di plugin e temi si sforzano di colmare queste falle di sicurezza nei loro prodotti rilasciando aggiornamenti. Questo è in realtà un motivo chiave per cui consigliamo di optare per plug-in premium quando possibile. La manutenzione regolare del software non può essere sufficientemente enfatizzata in una strategia di sicurezza del sito web. Ottimo, quindi il bug è stato corretto. amo al sicuro ora, giusto? Beh, non proprio. La scoperta di una vulnerabilità è un momento pericoloso per i proprietari di siti web.
Cosa succede quando viene scoperta una vulnerabilità? Le vulnerabilità vengono spesso scoperte dai ricercatori di sicurezza. Rivelano le loro scoperte al plugin o allo sviluppatore del tema. Come abbiamo detto nella sezione precedente, gli sviluppatori responsabili correranno per risolvere il problema e rilasciare un aggiornamento. Quando la vulnerabilità viene risolta, il ricercatore di sicurezza pubblicherà i risultati. Lo sviluppatore ha rilasciato una correzione, quindi i siti Web sono sicuri, giusto? Non proprio. Gli hacker leggono anche della vulnerabilità e cercano siti Web che non hanno aggiornato le loro versioni. Le vulnerabilità pubbliche tendono ad attrarre hacker alle prime armi (noti anche come script kiddies) perché ora possono sfruttare i siti Web senza sforzo. Sanno con la massima precisione dove si trova il bersaglio.
Cosa devi fare per proteggere il sito dalle vulnerabilità Parliamo ora dei passi concreti che puoi intraprendere per garantire la sicurezza del sito Web e proteggere il sito dagli hacker. Questi passaggi possono sembrare semplici, tuttavia sono modi efficaci per proteggere il tuo sito web. 1. Fai i backup I backup sono la parte più sottovalutata di una strategia di sicurezza. Non possiamo sottolineare abbastanza l039importanza di eseguire backup regolari. Sono la tua rete di sicurezza, l039unica cosa su cui puoi fare affidamento quando le cose vanno male. I backup ti aiutano a rimetterti in piedi rapidamente.
Tuttavia, non tutti i plugin di backup sono costruiti allo stesso modo. Molti falliscono quando ne hai più bisogno: al momento del restauro. Ci sono diversi fattori per scegliere il plugin giusto. Tenendo ben presenti questi criteri, abbiamo esaminato i migliori plugin di backup di WordPress disponibili. 2. Tieni aggiornati plugin e temi Questo può sembrare molto ovvio, specialmente se leggi la sezione precedente sull039importanza degli aggiornamenti. Tuttavia, è molto facile ignorare la notifica rossa sul cruscotto, a favore di qualcosa di più urgente. Pertanto, lo ribadiamo. Gli sviluppatori di plugin e temi rilasciano aggiornamenti con correzioni di sicurezza. Anche se scegli di rimandare l039installazione degli aggiornamenti (ma per favore non farlo), fallo almeno dopo aver letto le note di rilascio. 3. Scegli plugin e temi di buona qualità A questo punto, abbiamo ampiamente illustrato come i plugin e i temi centrali sono per il tuo sito web. Sebbene sia improbabile che ci sia mai un software completamente infallibile, ci sono fattori chiave da tenere a mente durante la scelta dei plugin e dei temi giusti per il tuo sito web: Il plug-in viene aggiornato regolarmente : un plug-in o un tema costantemente gestito dal suo sviluppatore potrebbe ricevere una patch di sicurezza se viene scoperta una vulnerabilità. È il plugin popolare : questa è un039arma a doppio taglio. Un popolare plugin con milioni di installazioni sarà il bersaglio degli hacker. Ma questi plugin tendono anche ad essere più sicuri perché molte più persone li stanno monitorando. È un plug-in premium : i plug -in a pagamento supportano il lavoro degli sviluppatori e quindi hanno molte meno probabilità di essere abbandonati rispetto a un plug-in gratuito. Questo non vuol dire che il software open source non sia mai sicuro, tuttavia con un prodotto premium paghi per l039assistenza clienti e la qualità del prodotto. Non installare mai plugin e temi annullati : il software Premium disponibile gratuitamente è problematico su molti livelli. Il software annullato ha spesso malware o backdoor che consentiranno agli hacker di accedere al tuo sito Web una volta installato. 4. Usa un firewall Non esiste un modo infallibile per impedire agli hacker o ai bot che progettano di attaccare siti Web come il tuo. Tuttavia possiamo ridurre considerevolmente la probabilità installando un firewall. Ecco un elenco dei migliori firewall WordPress tra cui scegliere. 2. Proteggi il tuo nome utente e password Abbiamo scoperto che circa il 5% dei siti Web compromessi era vulnerabile agli attacchi a causa di password deboli. Questo può sembrare un numero esiguo rispetto a un039attività dannosa, ma è comunque abbastanza significativo da attirare la tua attenzione. Perdere la password di amministratore del tuo sito è come perdere le chiavi di casa o della macchina. Con la chiave, il ladro ha il controllo completo sui tuoi beni preziosi. Allo stesso modo, con la password, gli hacker hanno accesso completo al tuo sito web. A questo punto, nemmeno un firewall o un plug-in di sicurezza possono impedire agli hacker di danneggiare il tuo sito web. La necessità di password complesse continua a essere fortemente sostenuta, ma a causa delle difficoltà ad essa associate, viene spesso ignorata dagli utenti del sito web. Prima di entrare nei meccanismi per avere credenziali solide, rispondiamo ad alcune domande comuni che le persone hanno su di loro. Come è possibile rubare una password? La risposta potrebbe sorprendere: l039hacker cerca di indovinare la password. Con questo, non intendiamo che stiano provando varie password manualmente, ma ci sono dei bot per farlo. Questo è anche noto come attacco di forza bruta o, se il bot sta indovinando le parole, un attacco del dizionario. Questi attacchi funzionano molto bene per diversi motivi: Password facili da indovinare: parole comuni, parole brevi, la stessa parola quotpasswordquot in diverse permutazioni Dati di precedenti hack: c039è un motivo per cui le persone consigliano di utilizzare password diverse per servizi e siti Web diversi Come proteggersi dal furto di password lrsquoutilisateur autorisé y parvient par inadvertance, il peut cliquer sur le lien pour trouver le Code de vérification afin de confirmer qursquoil est en fait humain. 3. Réalisation de la certification à deux facteurs Plusieurs services utilisent lrsquoauthentification à deux facteurs lors de la connexion, ce qui signifie essentiellement que avez besoin de deux jetons distincts (idéalement) pour accéder à votre compte. Le plus souvent, ces mots de passe sont combinés à un jeton à temps limité (comme un code PIN ou un Code QR) envoyé à votre courriel ou à votre appareil. Plusieurs plug ins implémentent lrsquoauthentification à deux facteurs ou 2fa et varient selon les services qursquoils fournissent. 2fa est également intégré dans la suite de sécurité de malcare. 4. La mise en œuvre de la protection CAPTCHA ne peut être résolue que manuellement. Ils sont conçus pour empêcher les robots hackers drsquoaccéder aux comptes. Vous pouvez lrsquoutiliser pour protéger votre site. Voici un petit article de kinsta pour aider à démarrer. 5. Utilisez le pare feu certains pare feu de sécurité de site Web, comme malcare, peuvent également suivre les IP nuisibles dans le monde entier. Le pare feu apprend de tous les sites où le plug in est installé. Il bloque automatiquement les mauvaises adresses IP, même avant qursquoils essaient de déchiffrer votre mot de passe. Cela, combiné à un accès limité, protège votre site contre les tentatives de piratage. 3. Il y a une tendance à choisir un bon fournisseur drsquohébergement de site Web, crsquoest à dire à blâmer le fournisseur drsquohébergement de site Web pour tous les problèmes de site Web. Bien que les hôtes Web soient généralement responsables de nombreux aspects drsquoun site Web, ils sont rarement coupables lorsqursquoun site Web est endommagé. En fait, crsquoest souvent le contraire qui se produit lorsque lrsquohôte Web améliore la sécurité du site. Bien sûr, certains hôtes Web ont joué un rôle dans la destruction des sites Web qursquoils hébergent.
Serveur Cela se produit rarement, mais une fois qursquoil se produit, il srsquoagit drsquoun grave accident qui met en danger des milliers de sites Web. Lrsquoinstallation drsquoun certificat SSL Secure Sockets Layer, communément appelé SSL, est un protocole sécurisé qui crypte toutes les communications avec un site Web. Une fois installé, il apparaît comme un verrou au début de lrsquoURL du site. Les avantages de lrsquoutilisation drsquoun certificat SSL sont les suivants: toutes les données entrant et sortant du site sont chiffrées, ce qui est un signe de confiance dans le site. En fait, la plupart des navigateurs marquent les sites sans SSL comme « dangereux » dans la barre drsquoadresse. Google aime les sites qui ont des certificats SSL et offre des récompenses même si le classement est plus élevé. Installez facilement un certificat SSL sur votre site Web. Cela ne prendra que très peu de temps et en vaudra la peine. Bonnes pratiques en matière de sécurité des sites Web comme nous lrsquoavons dit au début, la sécurité des sites Web est une pratique continue. Dans cette section, nous énumérerons les pratiques qui devraient être intégrées dans la politique globale de sécurité du site. Une fois que y habituerez, votre petit investissement de temps et drsquoénergie sera récompensé plusieurs fois sur un site Web sécurisé. 1. Changez souvent le mot de passe nous savons que le réglage des mots de passe difficiles à deviner est compliqué, en particulier parce qursquoils sont souvent synonymes de difficulté à se souvenir. Nous pouvons également imaginer à quel point nous sommes frustrés quand on nous demande de changer régulièrement ce bon mot de passe. La raison en est que le mot de passe est le maillon le plus faible de la sécurité Surtout si utilisez le même mot de passe pour plusieurs comptes. Même si un site Web est endommagé, pouvez être assuré que tous vos comptes peuvent être menacés. Des violations sont signalées toutes les quelques semaines et ce ne sont que des rapports. Quelque chose à retenir. Souvent, cela signifie des choses différentes pour différentes personnes. Un peu.
Les institutions financières telles que les banques exigent que les mots de passe soient remplacés tous les 90 jours. Lrsquoutilisation du gestionnaire de mot de passe est la voie à suivre. 2. Examiner les utilisateurs du site et suivre les nouveaux utilisateurs de lrsquoAdministrateur les hackers laissent généralement les utilisateurs de lrsquoAdministrateur afin qursquoils puissent visiter à nouveau le site. Par conséquent, un examen périodique des utilisateurs administratifs peut améliorer la sécurité du site. Deuxièmement, les collaborateurs du site peuvent changer. les utilisateurs nrsquoont plus besoin drsquoaccès, il est préférable de supprimer leurs droits drsquoaccès. Il y a deux raisons: ne voulez pas que les utilisateurs apportent drsquoautres modifications à votre site Web Leurs comptes inactifs peuvent être piratés. Au fil du temps, nous continuerons drsquoajouter de nouveaux utilisateurs à notre site Web au fur et à mesure que nous construirons notre site Web avec le contenu et la conception les plus récents. Nous devrions examiner régulièrement ces utilisateurs. Vous pouvez suivre de bonnes pratiques de sécurité même, mais nuire à drsquoautres utilisateurs peut nuire à votre site. Lorsque ajoutez des utilisateurs, nrsquooffrez que le niveau drsquoaccès nécessaire dans la mesure du possible. Par exemple, si quelqursquoun écrit un article, ne lui donnez pas les privilèges drsquoadministrateur. 3. Créer un journal drsquoactivités sur votre site Web nous aimons beaucoup créer un journal drsquoactivités sur notre site Web. Il nous a sauvés plusieurs fois. Les hackers n’utilisent pas l’api de base de wordpress pour éditer des sites Web, de sorte que bon nombre des changements que faites ne seront pas reflétés dans le Journal des tâches. Cependant, ils peuvent laisser des traces, comme la création drsquoun compte Administrateur pour accéder au site. Ces opérations inattendues peuvent aider à détecter le piratage. Inversement, si le changement a été fait par un contributeur, le Journal des activités peut aider à éviter une panique inutile lorsque voyez les changements apportés au site. 4. Bloquer PHP un entier C dans le dossier de téléchargement
La classe de vulnérabilité (plus précisément, lrsquoexécution de code à distance) permet aux pirates informatiques de des fichiers PHP malveillants dans le dossier uploads. Les hackers peuvent lrsquoutiliser pour exécuter tout code qursquoils veulent sur votre site. En drsquoautres termes, ils ont un contrôle total sur votre site. arrêtez drsquoexécuter des fichiers PHP dans le dossier uploads, pouvez efficacement éliminer lrsquoattaque. Ne trsquoinquiète pas. Empêcher le téléchargement de fichiers PHP dans le dossier est sûr parce qursquoils ne devraient pas être là en premier lieu. Le dossier de téléchargement est lrsquoendroit où les fichiers médias sont stockés, pas les scripts. utilisez le plug in de sécurité malcare, pouvez bloquer lrsquoexécution PHP dans le dossier téléchargements en cliquant sur un bouton. Pour les sites Apache litespeed, nous pouvons ajouter des règles à htaccess pour appliquer cette protection. Choses à éviter lors de la protection drsquoun site une recherche rapide sur Google donnera de nombreux conseils et stratégies pour protéger votre site. Plusieurs plug ins de sécurité offrent également drsquoautres options pour protéger votre site contre le craquage de mot de passe. La protection de votre site Web est très importante pour ce que devez faire Cependant, il y a des choses que devriez éviter. Les raisons de chacun des points dont nous discuterons ci dessous sont différentes, mais fondamentalement, vos mesures devraient avoir des avantages évidents en matière de sécurité, en particulier lorsque demandez à vos utilisateurs de sauter drsquoautres questions de sécurité. Par exemple, si appliquez à la fois CAPTCHA et authentification à deux facteurs, lrsquoaccès à votre site devient une tentative, avec peu drsquoautres avantages. En appliquant toutes les options disponibles, pouvez obtenir un sentiment de sécurité supplémentaire, mais ces options ne sont pas importantes dans lrsquoanalyse coûts avantages. Masquer la page drsquoouverture de session de WP pouvez voir sur de nombreux forums: changer la page drsquoouverture de session de WP en URL personnalisée du site. La logique est que si un hacker
Srsquoils ne trouvent pas la page de connexion, ils ne peuvent pas utiliser la violence pour accéder à votre site. Il y a quelques défauts dans ce domaine: WordPress permet également de connecter en utilisant XML RPC, ce qui rendra votre site difficile à utiliser. oubliez lrsquoURL spéciale que avez créée pour même au lieu drsquoun login WP, il est difficile de la récupérer. utilisez lrsquoURL publique ou lrsquoURL par défaut fournie par le plug in de sécurité, le hacker est encore facile à deviner et a complètement perdu son utilité. Cacher cette page implique lrsquoapplication de paramètres complexes à votre site, ce qui peut entraîner drsquoautres effets indésirables. Cela ne nous paraît donc pas utile. Une autre mesure de sécurité couramment utilisée est le blocage géographique. Il se peut que nrsquoayez pas besoin ou que ne attendiez pas à un trafic légal en provenance de certains pays, puis que décidiez de restreindre lrsquoaccès. Malcare supporte cette fonctionnalité, mais nous ne le recommandons pas parce que lrsquoIP de la zone est imparfaite et peut contenir des erreurs. êtes coincé par erreur, il sera difficile de le récupérer. Vous pourriez finir par empêcher de bons robots comme Google de détruire votre site. Un bon pare feu peut et protégera votre site contre les robots malveillants et le trafic inutile. Nous avons discuté des avantages des pare feu dans la section précédente. 3. Protection par mot de passe répertoire WP admin le dossier WP admin est lrsquoun des dossiers les plus importants de votre site Web. Bien sûr, il a attiré lrsquoattention de nombreux hackers. Il semble donc sage de le protéger par un mot de passe, mais crsquoest contre productif. Le mot de passe qui protège le répertoire WP admin interrompt la fonctionnalité Ajax sur le site WordPress. Ajax est une technique drsquoencodage qui charge une partie drsquoun site Web à partir drsquoun serveur sans changer la page actuellement vue. cela ressemble à un gobbledegook, cela signifie essentiellement qursquoil donne de lrsquoénergie
Administrateur. Nous lrsquoavons déjà dit dans mais les hackers créent des comptes drsquoadministrateur pour ré accéder aux sites Web qursquoils ont piratés au cas où des logiciels malveillants seraient découverts. Changez tous les mots de passe: en supposant que vos identifiants aient été compromis, changez le mot de passe. Jrsquoespère que nrsquoutiliserez pas le même mot de passe pour différents produits et services, sinon devriez également changer ces mots de passe. Modifier les identifiants DB (si possible): profil WP. Php contient les identifiants que le site WordPress utilise pour se connecter à la base de données du site. Dans de nombreux cas, lrsquoaccès à la base de données est limité même si les justificatifs drsquoidentité de la base de données sont compromis. Cependant, pour certains hôtes, les pirates informatiques peuvent utiliser cette information pour modifier directement la base de données. Cela peut entraîner une réinfection du site. Modifier la clé de sécurité: WordPress utilise la clé de sécurité pour gérer les sessions des utilisateurs connectés. Pour en savoir plus sur ce qursquoils sont et sur la façon drsquoassurer la sécurité du site en les éditant. Configurer le pare feu WordPress: Nous en avons discuté en détail dans cet article. Le pare feu WordPress est la meilleure défense contre les robots malveillants et le trafic malveillant. Conclusion: Nous commençons par cet article sur la façon de protéger un site Web avec un logo clair: la première étape consiste à considérer la sécurité du site de la bonne façon. Crsquoest un processus continu. Toute organisation dispose drsquoune pratique exemplaire normalisée, à savoir des contrôles réguliers de la sécurité des sites Web. La situation de la menace évolue et les hackers trouveront des moyens plus créatifs de vaincre la défense. Les spécialistes de la sécurité sont restés vigilants et crsquoest le principal résultat de tout ce que nous avons appris au fil des ans de recherche: ne contentez pas de cela. Avez des idées à partager? Écrivez nous ou contactez nous sur les médias sociaux. Jrsquoaime écouter vos pensées. FAQ ch
Visites 6. Voir périodiquement les rôles des utilisateurs 7. Définir le Journal des tâches
Comment protéger un site Web? (guide complet de sécurité du site Web)
