Il peut y avoir beaucoup de systèmes de gestion de contenu, mais aucun d'entre eux ne peut tenir une bougie pour WordPress. Avec 51.6+ millions de sites en mars 2020 (et en augmentant chaque jour) cela vous donne une idée à quel point ce système est largement supérieur et apprécié. La sécurité WordPress et des conseils pratiques pour empêcher le piratage de WordPress - le CMS a encore du chemin à parcourir en matière de sécurité.
Cependant, nous voulons vous aider à sécuriser votre site Web dès le départ - mieux vaut prévenir que guérir, alors assurez-vous de suivre ces conseils, dans l'un de nos nombreux tutoriels WordPress - AUJOURD'HUI.
Cependant, ces millions de sites sont également confrontés à de graves attaques de la part de script kiddies qui n'ont rien de mieux à voir avec leur temps que de répandre la misère partout, et d'autres avec des raisons plus néfastes et malveillantes, les acteurs sombres du web: les pirates.
Il est assez courant de se réveiller un matin pour trouver votre site Web autrefois magnifique, plein de liens et de texte sur les pilules d'agrandissement à base de plantes, ou d'autres produits pharmaceutiques douteux ou une cause au Moyen-Orient.
Crier de manière incohérente est probablement le premier plan d'action que vous prendrez lorsque votre site héberge des annonces pleine page, des liens et des redirections vers des aspects plus sombres des entreprises «pharmaceutiques».
Si ce scénario vous terrifie, il est justifié de ressentir cela.
90,000 sites Web sont piratés chaque jour
Source : HostingFacts
Tout le monde veut empêcher le piratage de WordPress. Parce que la restauration et la récupération d'un site Web peuvent prendre beaucoup de temps et d'efforts.
Alors, durcissez votre site Web avec ces meilleures pratiques de sécurité WordPress, pour éviter que ce destin horrible ne vous arrive! Et oui, il faudra du temps et des efforts continus pour éviter les attaques de piratage.
Vous n'aimez pas vous salir les mains avec le code ? Essayer iThemes security et laissez-le faire le sale boulot. Cliquez sur ce lien pour obtenir 25 % de réduction jusqu'en avril 2024.
Si vous ne voulez pas passer par beaucoup de problèmes de fichiers, l'activation de différents plugins et beaucoup d'autres choses que vous ne comprenez pas vraiment, nous avons également une solution de facilité pour vous. iThemes Security est le meilleur plugin de sécurité WP pour sécuriser et protéger votre site Web.
Vous n'êtes pas encore intéressé par les plugins WP? Continuer à lire!
Nous allons travailler sur du code, mais d'abord, nous allons nous occuper des bases des problèmes de sécurité de site Web. Commençant par:
17 étapes de sécurité WordPress
1. Empêcher le piratage de WordPress commence avec votre poste de travail
C'est le premier et le plus facilement négligé: votre ordinateur.
Vous devez toujours garder votre système exempt de logiciels malveillants et de virus, surtout si vous accédez à Internet avec lui (ce que vous êtes, bien sûr). La protection du poste de travail est encore plus essentielle lorsque vous effectuez des transactions et que vous avez un site Web car tout ce qu'il faut, c'est un keylogger pour éliminer les sites Web les plus endurcis.
Un keylogger lira tous vos noms d'utilisateur et mots de passe et les enverra aux pirates - ce qui, bien sûr, va créer toute une série de problèmes pour votre site Web.
Restez en sécurité et mettez régulièrement à jour votre système d'exploitation, vos logiciels et vos navigateurs sur votre ordinateur. Utilisez un bon service antivirus. Gardez les yeux ouverts sur toute vulnérabilité de votre système et supprimez-la avant qu'elle ne devienne une douleur énorme. Si votre ordinateur commence à agir de manière étrange, en affichant des publicités et d'autres trucs douteux, vous voudrez peut-être le vérifier avant d'accéder à votre site Web.
2. Installez toutes les mises à jour de WordPress
Chaque fois qu'une nouvelle version de WordPress est publiée, elle le fait en grande pompe et au milieu d'une vague d'excitation.
La plupart d'entre nous sont excités, parce que, hé, nouvelles fonctionnalités! Les hackers sont enthousiastes car ils iront instantanément vérifier le Notes de version de sécurité et de maintenance. Malheureusement, chacun Outils de gestion La mise à jour s'accompagne de la découverte d'un certain nombre de vulnérabilités de sécurité WordPress dans les anciennes versions.
À chaque nouvelle mise à jour de WordPress, nous obtenons des fonctionnalités et des mises à niveau supplémentaires, ainsi qu'une page répertoriant les failles de sécurité de la version précédente et leurs correctifs..
Cette page est pratiquement une aide-mémoire pour les pirates du monde entier. Si vous ne parvenez pas à mettre à jour à temps, ces failles seront exploitées pour reprendre des sites sur des versions plus anciennes (et votre site pourrait en faire partie si vous ne mettez pas à jour).
Et si votre site est piraté, il sera malheureusement trop tard pour trouver des excuses pour ne pas passer à la dernière version.
Alors ne donnez pas aux pirates une chance de se faufiler. Installez la dernière version de WordPress dès sa sortie.
Si vous craignez que cela ne gâche votre site Web, assurez-vous d'avoir une sauvegarde fonctionnelle avant de mettre à jour. La version mise à jour résoudra tous les problèmes de sécurité qui existaient dans la version précédente - et permettra d'éviter les piratages WordPress.
Vous voulez que votre site Web soit mis à jour automatiquement? Découvrez InMotion VPS pour votre hébergement - ils ont d'excellentes fonctionnalités spécifiques à WordPress afin que vous puissiez mettre à jour votre site automatiquement dès leur sortie. Nous sommes sur un VPS InMotion, et nous l'adorons!
3. Assurez-vous que votre serveur d'hébergement est sécurisé
Saviez-vous qu'en 2019, environ 54% des sites Web utilisent toujours PHP 5.x - une version de PHP qui est en fin de vie et ne reçoit donc aucune mise à jour de sécurité. Cela signifie que tous les sites fonctionnant sous PHP 5.4 sont vulnérables aux hacks via les vulnérabilités du logiciel serveur. (Source Rapport sur le site Web piraté Sucuri 2019)
Même la version 7.1 de PHP est en fin de vie au 1er décembre 2019. Les anciennes versions de logiciels comme celles-ci ne sont plus prises en charge et présentent des vulnérabilités qui n'ont pas été corrigées!
Ces anciennes versions de logiciels sont sujettes aux hacks.
Si vous savez que votre site Web héberge sur PHP 5 ou éventuellement PHP jusqu'à 7.1, demandez à votre hébergeur de vérifier si votre site peut être déplacé vers une version plus récente de PHP.
Non seulement cela, mais le la majorité des sites Web / blogs sont hébergés sur des serveurs partagés. Fondamentalement, si un site sur un serveur partagé est infecté, tous les autres sites sont à risque, qui concerneless de la façon dont le site/blog est sécurisé par ailleurs.
Vous serez piraté sans aucune faute de votre part.
Exercice de réflexion: Avez-vous déjà été dans une soupe populaire? Pouvez-vous en imaginer un et imaginer ce qui se passe là-dedans? Si vous êtes l'un de ceux qui ont la chance d'avoir échappé à cette parodie, je vais vous donner un avant-goût (jeu de mots prévu). Pensez à tout ce qui s'est passé depuis la création de la cuisine, aux déversements et aux bris, aux fuites et aux éclaboussures. Dans un serveur de soupe populaire, ces choses ne sont jamais parties. Ils deviennent une partie de la cuisine.
Imaginez maintenant la même chose sur votre site. Un serveur d'hébergement d'une entreprise qui ignore la maintenance et ne met pas à jour les dernières versions du logiciel est déjà devenu une soupe populaire.
De plus, si vous ou votre webmaster hébergez plusieurs sites Web ensemble, les fichiers, données, sites, etc. inutilisés s'accumulent jusqu'à ce qu'ils deviennent une menace pour les sites actuels.
Alors choisissez une solution fiable et sécurisé hôte.
Le VPS et l'hébergement géré minimisent les risques de violation et sont excellents pour les sites de commerce électronique. Si l'hébergement mutualisé vous suffit, vérifiez leur sécurité avant de vous abonner pour de l'espace sur eux.
Assurez-vous de vérifier qu'ils maintiennent régulièrement leurs serveurs et de mettre à jour les dernières versions du logiciel. C'est une autre étape qui devrait figurer sur votre liste de priorités si vous souhaitez empêcher le piratage de WordPress.
4. Utilisez des transmissions sécurisées pour empêcher l'interception de mots de passe et de données
Sur une connexion non sécurisée, les données peuvent être interceptées et vous pouvez être piraté avant de pouvoir dire «non chiffré».
C'est pourquoi vous devez vous concentrer sur les connexions réseau sécurisées et le chiffrement: côté serveur, côté client et tous les côtés. Trouvez un hôte qui permet au cryptage SFTP / SSH de protéger vos données et informations contre les interceptions malveillantes.
Votre site doit également avoir un certificat sécurisé installé et mis en place de sorte que lorsque vous vous connectez, vos informations d'identification soient transmises en toute sécurité.
5. Empêchez le piratage via des mots de passe complexes
Astuce essentielle: créez un mot de passe fort et ne réutilisez JAMAIS les mots de passe
Notre prochaine étape sur la façon de protéger WordPress des pirates informatiques parle d'un sujet très cliché: les mots de passe.
Un nombre surprenant de personnes pensent que les mots de passe longs et compliqués sont surestimés et préféreront quelque chose de plus court et de plus facile à retenir; un fait que les hackers connaissent et exploitent.
Il n'y a pas d'autre moyen de le dire: un bon mot de passe fort composé de lettres, de chiffres et de tout autre caractère valide ira vraiment un long chemin pour protéger votre blog.
Une attaque de piratage par force brute peut fonctionner sur un mot de passe court en utilisant un mot simple (par exemple un mot-clé de dictionnaire ou un mot de passe commun facile), oui. Mais plus il y a de caractères dans votre mot de passe, plus il faut de temps pour le déchiffrer.
Il faut exponentiellement plus de temps pour déchiffrer des mots de passe longs et complexes.
Ce que vous essayez de faire, c'est de briser les schémas connus pour rendre le piratage difficile, voire impossible.
Tous les détails personnels, ou les mots de passe basés sur eux (comme les anniversaires ou les noms de personnes), seront faciles à déchiffrer. N'utilisez pas de mots isolés (en ce qui concerneless de longueur), des mots de passe contenant uniquement des lettres ou des chiffres.
Créez un mot de passe facile à retenir mais difficile à deviner pour empêcher le piratage de WordPress - si votre blog concerne la sécurité, faites-en quelque chose comme pressmyWORDSand5ecurit! $
6. Gardez vos bases de données sécurisées et isolées
Votre base de données sait tout ce qui s'est passé sur votre site. C'est une véritable source d'informations et cela le rend irrésistible pour les hackers.
Des codes automatisés pour les injections SQL peuvent être exécutés pour pirater la base de données de votre site Web avec une relative facilité. Si vous exécutez plusieurs sites / blogs à partir d'un seul serveur (et base de données), tous vos sites sont menacés.
Comme le dit la ressource de code, il est préférable d'utiliser des bases de données individuelles pour chaque blog / site et de les gérer par des utilisateurs distincts. En termes simples, chaque site Web que vous hébergez devrait avoir sa propre base de données et son propre utilisateur de base de données.
Seul cet utilisateur de la base de données doit avoir accès à la base de données.
Vous pouvez aussi vous révoquer tous les privilèges de base de données sauf données lues et écriture de données des utilisateurs qui ne travailleront qu'avec la publication / le téléchargement de données et l'installation de plugins.
Ce n'est pas recommandé, cependant, en raison de changement de schéma privilèges requis dans les mises à jour majeures.
Vous devez également renommer votre base de données (en changeant son préfixe) pour mal diriger les pirates informatiques qui visent leurs attaques sur elle. Bien que cela n'empêche pas le piratage de WordPress en soi, cela garantit que si des bases de données sont compromises, les pirates ne peuvent pas accéder à la prochaine installation de WordPress.
7. Masquez la connexion et le nom d'administrateur de votre site Web
La prochaine étape sur la façon de sécuriser WordPress contre les pirates concerne l'administrateur WordPress.
Laisser les paramètres par défaut de WordPress inchangés est pratiquement demandant pour les ennuis.
Il est ridiculement simple de trouver le nom d'administrateur de votre site si vous ne le cachez pas activement.
Tout ce dont un hacker a besoin, c'est d'ajouter ? author = 1 après votre URL et la personne / membre qui apparaît est probablement l'administrateur. Imaginez à quel point il serait facile pour les pirates d'utiliser la force brute une fois qu'ils ont trouvé le nom d'utilisateur de l'administrateur.
Comment pouvez-vous empêcher le piratage si vous laissez autant d'informations disponibles, faciliter l'exploitation?
Solution pour dissuader les hacks WordPress: Cachez tous les noms d'utilisateur avec ce code dans le fichier functions.php:
add_action ('template_redirect', 'bwp_template_redirect');
fonction bwp_template_redirect ()
{
if (is_author ())
{
wp_redirect (home_url ()); sortir;
}
}
Votre page de connexion est également facile d'accès, et pas seulement pour vous. Si vous ajoutez simplement wp-admin ou wp-login.php après l'URL de votre page d'accueil, remplissez le nom d'utilisateur que nous avons appris de? Author = 1, il ne reste qu'un peu de force brute ou de devinettes jusqu'à ce qu'un mot de passe soit craqué.
Utilisez la technique de la «sécurité par l'obscurité» et changez l'URL de votre page de connexion pour rendre le travail des pirates un peu plus difficile.
Des plugins de sécurité comme iThemes Security avoir un paramètre Masquer la connexion qui supprimera l'accès facile à la connexion WordPress.
Encore une fois, cette étape simple contribuera grandement à empêcher le piratage de WordPress.
Vous ne savez pas si vous pouvez gérer tout cela?
Besoin d'aide? Jettes un coup d'oeil à iThemes Security Pro - un plugin et votre site Web est en sécurité. Garanti. Cliquez sur les liens ci-dessous pour visiter le site.
8. Empêchez le piratage via des plugins de sécurité WordPress et des astuces pour protéger wp-admin
Votre wp-admin est la partie la plus importante de votre installation WordPress - celle avec le plus de "puissance".
Malheureusement, la page de connexion et le répertoire d'administration sont accessibles à tous, y compris à ceux qui ont une intention malveillante. Pour le protéger et arrêter les attaques de piratage, vous devrez travailler un peu plus dur.
iThemes Security
Un mot de passe fort, un compte administrateur différent (avec un nom d'utilisateur qui est tout sauf 'admin'), et en utilisant le iThemes Security plugin pour renommer vos liens de connexion contribuera certainement à empêcher le piratage.
Malveillance
Vous pouvez également renforcer la garde autour de l'administrateur avec des plugins de sécurité de site Web tels que Malcare.
Ce service classé 5 étoiles est celui que nous avons découvert assez récemment.
Malcare est développé par l'équipe derrière Blogvault, que nous avons déjà utilisé et que nous avons trouvé incroyable.
Leur dernière offre offre un service complet de sécurité et de gestion de site Web. Il propose au personnel une analyse des fichiers pour les changements de base (pour détecter les hacks), un nettoyage d'urgence, un pare-feu intégré pour arrêter le trafic malveillant, la mise à jour des thèmes et des plugins directement à partir de leur tableau de bord et des sauvegardes en un clic.
Le meilleur à ce sujet est que vous pouvez gérer TOUS vos sites à partir d'un seul tableau de bord, sans avoir à vous connecter à chacun d'entre eux individuellement.
Limit Login Attempts Reloaded
Avec un peu de code couplé à des tentatives de connexion illimitées, tout pirate finira par s'introduire par effraction.
Vous pouvez limiter le nombre de tentatives de connexion qu'un seul utilisateur est autorisé à effectuer dans la page de connexion de l'administrateur en utilisant Limit Login Attempts Plugin rechargé. Cela limitera le nombre de tentatives de connexion pour chaque adresse IP, y compris la vôtre (avec des cookies d'authentification).
Really Simple SSL
Utilisez la puissance du SSL privé pour sécuriser la connexion de l'administrateur, la zone, les publications et plus encore. En utilisant le Really Simple SSL plug-in active le cryptage sur vos sessions de connexion, ce qui signifie que le mot de passe est difficile à intercepter.
Vous devrez obtenir un certificat SSL et l'installer sur votre serveur d'hébergement. InMotion offre des certificats SSL gratuitement sur leurs plans d'hébergement - donc si vous ne l'avez toujours pas, il est peut-être temps de passer à InMotion pour obtenir votre SSL également.
Une fois que vous avez confirmé auprès de votre hébergeur que vous disposez du SSL partagé, vous pouvez activer le plugin.
Si vous préférez ne pas utiliser de plugin mais souhaitez forcer SSL uniquement sur la connexion, ajoutez ce code au fichier wp-config.php:
define ('FORCE_SSL_ADMIN', vrai);
WordPress sécurisé Acunetix
Ce plug-in est une excellente solution de sécurité en général, mais certaines fonctionnalités clés la rendent encore meilleure.
Tout d'abord, il exécute une analyse de sécurité du site Web. Il accorde également une attention particulière aux mesures préventives afin que vous arrêtiez réellement le piratage WordPress de se produire en premier lieu. Pour protéger la zone d'administration, il supprimera les informations d'erreur de la page de connexion.
Cela peut ne pas sembler grand-chose, mais le message d'erreur aide en fait les pirates à savoir s'ils ont bien fait quelque chose. La suppression du message (indice) enlève cet avantage.
Si vous voulez éviter le piratage, installez au moins certains de ces plugins.
Astuce principale: le reste de l'article présente des conseils avancés sur la sécurité des sites Web
Le reste des astuces nécessite de bricoler votre installation WordPress, ce qui comporte des risques. Si vous préférez ne pas bricoler votre installation, vous voudrez peut-être embaucher un développeur WordPress pour vous aider.
9. Comment sécuriser WP via wp-includes
Soyons clairs: le wp-includes Le dossier fait partie intégrante de WordPress. Il devrait être laissé seul, même par vous. Et en aucun cas, il ne doit être laissé accessible aux pirates potentiels.
Pour empêcher toute personne / bots malveillants d'envoyer des scripts indésirables directement au cœur de votre site Web pour éviter les attaques de piratage.
Ajoutez ceci avant #COMMENCER WordPress dans votre fichier .htaccess:
# Bloquez les fichiers inclus uniquement.
RewriteEngine On
RewriteBase /
RewriteRule ^ wp-admin / includes / - [F, L]
RewriteRule! ^ Wp-includes / - [S = 3]
RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
RewriteRule ^ wp-includes / theme-compat / - [F, L]
# COMMENCE WordPress
Notez que vous devrez omettre la troisième RewriteRule si vous voulez que le code fonctionne sur Multisite.
10. Protégez votre wp-config pour une sécurité de site Web améliorée
C'est l'une des questions un peu controversées. Tout le monde n'est pas d'accord avec cela.
Que vous déplaciez ou non wp-config.php en dehors du dossier racine, on ne peut nier qu'un peu de peaufinage du code dans ce fichier peut aider à renforcer votre site Web et à rendre plus difficile les hacks WordPress.
Vous ne savez pas si vous pouvez gérer tous ces trucs techniques? Il y en a un plugin de sécurité pour les gouverner tous.
- Préparer : désactivation de la modification des fichiers PHP à partir du tableau de bord, c'est là que l'attaquant se concentrera après un piratage via un point d'accès. Ajoutez ceci à wp-config.php
define ('DISALLOW_FILE_EDIT', vrai);
- $ table_prefix est placé avant toutes les tables de votre base de données. Vous pouvez empêcher les attaques basées sur l'injection SQL en modifiant sa valeur par défaut wp_. Faites attention si vous faites cela, vous devrez renommer toute table existante avec le nouveau préfixe que vous avez défini.
$ table_prefix = 'r235_';
- Déplacer le répertoire wp-content de sa position par défaut avec ce
define ('WP_CONTENT_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content');
define ('WP_CONTENT_URL', 'https: // exemple / blog / wp-content');
define ('WP_PLUGIN_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content / plugins');
define ('WP_PLUGIN_URL', 'https: // exemple / blog / wp-content / plugins');
Maintenant si tu n'es pas un promoteur, vous n'utilisez pas beaucoup les journaux d'erreurs. Vous pouvez les empêcher d'être accessibles avec ceci:
rapport_erreur = 4339
display_errors = Désactivé
display_startup_errors = Désactivé
log_errors = On
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Activé
ignore_repeated_source = Désactivé
html_errors = Désactivé
11. Sauvegardez votre site Web (au cas où)
C'est le filet de sécurité. Une sauvegarde est l'une des premières choses dont vous aurez besoin pour restaurer votre site si vous êtes piraté.
Sauvegardez votre site au moins aussi souvent que vous exécutez la maintenance ou le mettez à jour. Il n'y a aucune excuse pour être laxiste dans ce département, pas quand il existe d'excellents services de sauvegarde et plugins qui exécuteront des sauvegardes automatisées pour vous. Voici quelques suggestions de plugins:
- VaultPress,
- AscendancePlus,
- Sauvegarde WP-DB,
- Copain de sauvegarde,
- et ainsi de suite
Lectures recommandées: Natif vs plugin - Sauvegarde WordPress en utilisant différentes méthodes
Créez un calendrier et laissez le plugin faire le reste.
Certains de ces plugins sont livrés avec des options de restauration faciles. Vérifiez que le plugin sauvegarde l'intégralité du site, y compris toutes les bases de données et répertoires. Bien que cela n'empêche pas les hacks WordPress, cela vous donne la tranquillité d'esprit de restaurer votre site si l'impensable se produit.
12. Utilisez des sources fiables uniquement pour les téléchargements
Si vous utilisez un budget serré (et même si ce n'est pas le cas), vous pourriez être tenté par l'option d'obtenir gratuitement toutes les fonctionnalités et fonctionnalités des plugins / thèmes premium: plugins piratés ou fissurés.
Vous ne pouvez pas déjouer un pirate informatique si vous téléchargez des contenus premium à partir de sources mal réputées ou non autorisées - ils reviendront vous mordre. Ils sont mal réputés car ils rempliront ces plugins / thèmes `` premium '' légitimes avec des logiciels malveillants et vous permettront de faire le reste.
Les plugins ou thèmes fissurés contiendront des portes dérobées cachées, qui leur permettront de prendre le contrôle de votre site à volonté. L'utilisation d'un tel téléchargement sera tout ce dont ils auront besoin pour convertir l'apparence en ligne de votre marque en une affiche géante pour les pilules d'agrandissement - ou pire encore, les logiciels malveillants.
Votre site sera rapidement mis sur liste noire, même de la part des moteurs de recherche et des navigateurs s'il contient des logiciels malveillants.
C'est une tactique connue et très populaire des pirates.
Les thèmes et plugins piratés sont criblés de portes dérobées et de logiciels malveillants. C'est l'un des problèmes de sécurité WordPress les plus faciles à résoudre vraiment. Il est préférable d'opter pour un thème de confiance provenant d'une source fiable, telle que celle que nous avons examinée ici: Thème Avada
Des trucs piratés, annulés ou fissurés? Ne vous en faites pas.
Vous maîtrisez les répertoires officiels de thèmes et de plugins, alors essayez de vous en tenir à ceux-ci. Vous pouvez également faire confiance à des sources comme ElegantThemes, Thème Forêt, Code Canyon, etc.
13. Sécurisez votre site Web en ressemblant à un pro
Une recrue est plus facile à pirater.
Du moins, c'est ce que pensent la plupart des hackers (pas à tort).
Modifiez tous les paramètres par défaut: publications, commentaires, noms d'utilisateur, noms de répertoire, etc.
C'est plus facile lors de la configuration.
Si votre WordPress est déjà opérationnel, allez dans Paramètres> Divers (dans vos commandes d'administration) pour changer les noms de répertoire. Ce sera une autre étape dans votre démarche pour arrêter les problèmes de sécurité de WordPress et rendre le piratage de votre site beaucoup plus difficile.
Pour masquer la version de WordPress sur laquelle vous vous trouvez, pensez à effacer /wp-admin/install.php et wp-admin / upgrade.php. Allez plus loin et supprimez balise Meta Generator ("") de wp-content / votre_nom_thème / header.php. Tu devrais aussi supprimer le détail de la version du flux RSS.
Pour ce faire, ouvrez wp-includes / general-template.php. Vers la ligne 1860, vous trouverez ceci:
function the_generator ($ args) {
echo apply_filters ('the_generator', get_ the_generator ($ args), $ args). "\ n";
}
Ajouter un hachage avant 'écho' commande et vous êtes trié.
function the_generator ($ args) {
#echo apply_filters ('the_generator', get_ the_generator ($ args), $ type). "\ n";
}
14. Une bonne sécurité WordPress nécessite de bonnes autorisations de fichier
La règle d'or est 755 pour les répertoires et 644 pour les fichiers.
Bien que cela puisse varier en fonction du serveur et du type de fichier en question, dans la plupart des cas, vous devriez très bien travailler avec ces autorisations.
Il serait préférable de demander à votre hôte de vérifier, ou si vous avez un accès direct, vous pouvez le faire vous-même.
Pour les répertoires:
trouver / chemin / vers / votre / wordpress / install / -type d -exec chmod 755 {} \;
Pour les fichiers:
trouver / chemin / vers / votre / wordpress / install / -type f -exec chmod 644 {} \;
15. Sécurité du site Web: ne définissez jamais les autorisations de fichier sur 777
Si vous voulez vraiment arrêter les pirates WordPress, ne définissez JAMAIS l'autorisation de fichier/répertoire sur 777 unless vous voulez en donner le contrôle total à tout le monde, y compris aux pirates.
Il y a une tendance très dangereuse parmi les débutants à définir les permissions de fichiers sur 777, «parce que c'est facile», ou «parce que nous allons le réparer plus tard», ou «parce que je le changerai plus tard».
Ceci extrêmement dangereux - 777 signifie que n'importe qui sur Internet peut modifier le contenu de ce fichier.
Avec ces autorisations définies, votre site Web est une journée portes ouvertes. Une fois qu'ils ont accès à un fichier, soyez assuré qu'il est très facile de passer à d'autres fichiers ou d'installer des portes dérobées et d'autres éléments désagréables sur votre site.
La Le codex WordPress a un guide complet des autorisations de fichiers: comment les modifier et les autorisations recommandées pour certains fichiers.
Vous devez trouver un équilibre entre la sécurisation de votre site Web et la fonctionnalité, alors commencez doucement et augmentez progressivement les autorisations jusqu'à ce que vous ayez raison. Les bonnes autorisations de fichiers aideront sûrement à éviter le piratage de sites Web. Encore une fois, c'est l'un des problèmes de sécurité WordPress les plus faciles à éviter, il vous suffit d'en être conscient.
16. Autorisez l'accès à l'administrateur WP et connectez-vous à votre adresse IP uniquement via le filtrage IP
Le filtrage IP est un moyen très simple et élégant de restreindre l'accès à la page de connexion et à la zone d'administration.
Tout ce que vous avez à faire est d'ajouter ce code à .htaccess. Cette suggestion vient avec grâce à Sucuri, qui fournit un excellent service de sécurité WordPress
Commander Refuser, Autoriser
Refuser de tous
Autoriser de [Ajoutez votre (vos) adresse (s) IP ici]
Maintenant, cela ne fonctionne que pour les adresses IP statiques, mais vous pouvez faire de même pour les adresses IP dynamiques avec ça:
Commander Refuser, Autoriser
Refuser de tous
Autoriser de [Ajoutez votre nom de domaine ici]
Pour restreindre l'accès à répertoire wp-admin, ajoutez ceci à .htaccess :
Commander Refuser, Autoriser
Refuser de tous
Autoriser de [Ajoutez votre (vos) adresse (s) IP ici]
Par nom de domaine:
Commander Refuser, Autoriser
Refuser de tous
Autoriser de [Ajoutez votre nom de domaine ici]
La source: blog.Sucuri.net
17. Plugins de sécurité pour bloquer les hacks WordPress
Bien que nous n'ayons pas tendance à préconiser l'utilisation de nombreux plugins, quand il s'agit de Plugins de sécurité WordPress, il y en a que vous voudrez peut-être vraiment installer pour augmenter la résilience de votre site.
- iThemes Security Pro - Écoutez, la plupart des actions ci-dessus sont un peu techniques, cela ne fait aucun doute. Nous comprenons cela. Si vous n'êtes pas techniquement enclin, nous avons la solution pour vous. iThemes Security est le meilleur plugin de sécurité WordPress pour sécuriser et protéger votre site Web.
-
Installer Plug-in WP Security Audit Log - c'est le plugin de journal d'activité WordPress le plus complet. Le plugin conserve un enregistrement de tout ce qui se passe sur votre site Web WordPress dans un journal d'audit (également appelé journal d'activité WordPress) afin de tenir les pirates à distance. En effet, vous pouvez identifier leurs tentatives d'attaque avant qu'elles ne piratent votre site Web WordPress, ce qui vous donne le temps de contrecarrer leurs actions malveillantes.
Authentificateur Google et Authentification Duo à deux facteurs sont d'excellents choix pour ajouter une couche de protection supplémentaire sur votre page de connexion. Un code d'autorisation sera envoyé à votre email / mobile, sans lequel l'utilisateur / hacker ne pourra pas se connecter.
Y a-t-il quelque chose de mieux qu'un bon barbecue? Ce plugin bloquera les chaînes d'URI contenant eval (base 64 et autres chaînes de requête étrangement longues.
Vérifiez votre thème pour les logiciels malveillants et les portes dérobées cachées avec ce plugin avant que quelqu'un n'exploite ces faiblesses dans un site / blog par ailleurs sécurisé.
- Plugins antivirus
Celui-ci est une évidence. Effectuez des analyses fréquentes du site et supprimez-les avant qu'elles ne s'installent. Plugins / services comme Sucuri, Wordfence, etc. Acunetix Secure WordPress mentionné précédemment est un autre bon. Scanner d'exploit vérifiera également votre site à la recherche de codes malveillants.
Si vous êtes intéressé, nous avons écrit une excellente comparaison sur Sucuri contre Wordfence qui compare ces deux grands garçons en tête-à-tête.
La liste de contrôle essentielle à la sécurité complète du site Web - version YouTube
Merci à Webucator, un fournisseur de Formation WordPress, nous avons créé cette liste de contrôle sous forme de vidéo.
Notre prochaine partie de cet article traite de la résolution d'un piratage de sécurité WordPress, une fois que cela s'est produit.
Site Web piraté? 7 étapes pour restaurer complètement votre site Web
Sucuri publie un rapport sur les tendances des sites Web piratés pour chaque trimestre. Dans leurs dernier rapport, ils ont révélé que diverses versions de WordPress alimentaient 94% des sites piratés en 2019
Les sites WordPress piratés restent un réel problème. Étant la plate-forme la plus populaire pour la création de sites Web, la possibilité de se faire pirater est nettement plus élevée pour les sites WordPress.
Cela n'est pas surprenant puisque WordPress est de loin la plus grande plate-forme pour créer de nouveaux sites Web. Tant que WordPress restera populaire, les pirates continueront à trouver rentable de rechercher des vulnérabilités dans les sites WordPress. C'est vraiment un jeu de nombres.
Et peu importe les mesures préventives que vous prenez; il est impossible de garantir la sécurité parfaite pour aucun site Web. Ce que vous pouvez faire, c'est rendre le piratage plus difficile afin que ceux qui recherchent des fruits à portée de main ne se dérangent pas ou ne parviennent pas à le pirater.
Dans ce tutoriel, nous allons vous présenter 7 étapes à suivre pour réparer un site WordPress piraté.
Avant de commencer la procédure, découvrons ce qui cause le problème en premier lieu. En général, il existe deux types de vulnérabilités:
- Vulnérabilités courantes et
- Vulnérabilités de sécurité.
Examinons de plus près chaque type. Les deux types peuvent être exploités par des pirates.
Avant de commencer - la restauration d'un site Web piraté ne peut pas être entreprise par des personnes sans connaissances suffisantes. Il est fortement conseillé de demander de l'aide à Les développeurs de WordPress qui sont hautement qualifiés avant d'essayer de le faire si vous n'êtes pas à l'aise pour bricoler.
Vulnérabilités courantes qui entraînent des sites WordPress piratés
Les vulnérabilités courantes peuvent provenir de votre machine locale ou du fournisseur d'hébergement. La plupart d'entre nous connaissent probablement ces types de problèmes.
Ces problèmes peuvent survenir si votre PC ou votre réseau local est compromis. Lorsque les pirates ont accès à votre PC ou au réseau, ils peuvent facilement cibler un site Web que vous possédez - le résultat étant un site WordPress compromis ou piraté.
Vous pouvez éviter ces situations en utilisant des outils d'analyse antivirus et anti-programme malveillant fiables. Vous devez faire preuve de bon sens lorsque vous utilisez Internet. Comodo et les logiciels malveillantsbytes ont quelques conseils pratiques pour protéger votre PC contre les pirates. La plupart d'entre eux relèvent du bon sens si vous y réfléchissez, comme la mise à jour du logiciel pour votre ordinateur de bureau et vos périphériques tels que votre routeur Internet.
Le deuxième type de vulnérabilité peut provenir de votre fournisseur d'hébergement, en particulier si vous utilisez un package d'hébergement partagé. Comme vous le savez peut-être, un package d'hébergement partagé partage le serveur entre de nombreux utilisateurs.
Si l'un de ces utilisateurs ne suit pas les meilleures pratiques, l'ensemble du serveur est gravement menacé. Bien sûr, dans un scénario d'hébergement partagé, il est très peu probable que tous les utilisateurs utilisent de bonnes pratiques de sécurité, de sorte que les packages d'hébergement partagé sont, par définition, risqués.
Dans certains cas, un site dans un package d'hébergement partagé est compromis, et cela permet au pirate de se déplacer latéralement ou de sauter vers d'autres sites sur le même serveur. Dans ce cas, vous devez consulter votre fournisseur d'hébergement et il prendra les mesures nécessaires.
Cela signifie que même si votre site est entièrement mis à jour et protégé, vous pouvez toujours vous retrouver avec un site WordPress piraté.
Incidemment, si vous recherchez un fournisseur d'hébergement très sécurisé, vous devriez sérieusement envisager de lire notre Revue de l'hébergement InMotion - nous nous sentons très bien protégés sur ce service.
Maintenant que nous avons identifié les vulnérabilités courantes, examinons les aspects de sécurité.
Piraté à travers des vulnérabilités
Il existe plusieurs types de vulnérabilités de sécurité pour WordPress. Nous parlerons de ceux qui sont les plus courants:
Faibles combinaisons nom d'utilisateur / mot de passe
Nous ne devrions pas avoir à vous parler de l'importance d'utiliser un mot de passe sécurisé. Depuis la version 3.0, WordPress lui-même s'est davantage attaché à obliger les utilisateurs à utiliser un mot de passe fort, par exemple, il existe une fonction de détection de la force du mot de passe intégrée dans le tableau de bord d'administration.
La règle de base est que vous ne devez jamais utiliser de nom d'utilisateur prévisible (tel que admin) et toujours utiliser des mots de passe forts. Cela rendra plus difficile pour les pirates d'accéder à votre site.
Bogues et vulnérabilités du thème / plugin
Bien qu'il soit recommandé d'utiliser des thèmes et des plugins familiers, les produits populaires peuvent parfois avoir un faille de sécurité cachée trop. Si cela se produit, vous en entendrez probablement parler sur les blogs d'actualités informatiques populaires et d'autres sources d'informations sur la sécurité WordPress.
Cependant, vous serez probablement plus en sécurité si vous vous assurez que vous n'utilisez que des thèmes ou des plugins de confiance, car vous pourrez rapidement mettre à jour vers une version corrigée. Consultez les avis, les notes, le nombre de téléchargements, etc. pour analyser la fiabilité.
Et n'allons jamais jamais utiliser des thèmes ou des plugins piratés ou annulés. Il est un fait connu que la plupart d'entre eux contiennent du code nuisible, qui crée une porte dérobée sur votre site. C'est littéralement un moyen d'avoir une commande à distance complète de votre site.
En réalité, si vous utilisez un thème ou un plugin fissuré, piraté ou annulé, votre site Web est DÉJÀ piraté. Vous utiliserez un site qui commencera soudainement à faire des choses étranges telles que l'affichage de liens douteux, la distribution de logiciels malveillants ou même de faire partie d'attaques DDoS.
Ce que vous pensez être gratuit vous coûtera beaucoup plus cher que prévu.
Ne pas mettre à jour WP core, thèmes ou plugins
L'utilisation d'une version obsolète du noyau, des thèmes ou des plugins WordPress est une autre raison majeure des violations qui entraîneront des sites Web piratés. La plupart des mises à jour incluent un code qui corrige la sécurité et les performances de votre site Web. Par conséquent, il est nécessaire de mettre à jour votre site Web, vos thèmes et vos plugins dès qu'ils sont disponibles. Assurez-vous d'effectuer une sauvegarde complète du site avant la mise à jour.
Que faire lorsque votre WordPress est piraté?
Même si vous avez peut-être pris des mesures pour atténuer les risques, vous avez peut-être encore été victime de piratage WordPress.
Ne paniquez pas et suivez les étapes décrites ci-dessous.
1. Identifiez le type de piratage
La solution pour récupérer votre site dépend du type de piratage WordPress. Cela signifie que la première étape consiste à définir le type.
Voici les questions que vous devriez vous poser pour ce faire:
- Pouvez-vous accéder à la section d'administration?
- Votre site est-il redirigé vers un autre site?
- Y a-t-il des liens inconnus sur votre site?
- Google avertit-il les visiteurs de votre site?
- Votre hébergeur vous a-t-il informé que votre site semblait suspect?
- Votre site affiche-t-il des publicités inconnues dans l'en-tête, le pied de page ou d'autres sections?
- Y a-t-il des fenêtres contextuelles indésirables affichées?
- Y a-t-il un pic inattendu d'utilisation de la bande passante?
Parcourez les questions une par une et essayez de trouver les réponses pour chacune d'elles. Cela vous aidera à trouver la meilleure solution pour reprendre le contrôle de votre site WordPress piraté.
2. Essayez de restaurer à partir de la sauvegarde
Si vous suivez les meilleures pratiques, vous devriez avoir des sauvegardes quotidiennes, hebdomadaires ou mensuelles de votre site. La fréquence de sauvegarde dépend de la fréquence à laquelle vous publiez ou modifiez votre site Web.
Lorsque vous effectuez des sauvegardes régulières, retrouver votre site WordPress piraté est aussi simple que de restaurer la dernière sauvegarde. Si vous avez mis en place une planification de sauvegarde automatique, recherchez la dernière sauvegarde avant le piratage de votre site et restaurez cette version.
Vous devez ensuite vous assurer que vous mettez à jour tous les plugins, thèmes ou tout ce qui n'a pas été mis à jour.
Et si vous ne sauvegardiez pas votre site? Cela signifie-t-il que vous avez perdu votre site pour toujours?
Non en fait.
Il existe également d'autres options. La plupart des services d'hébergement réputés conservent des sauvegardes régulières de leurs sites clients. Demandez à votre hébergeur s'il garde une sauvegarde. Si tel est le cas, vous pouvez leur demander de restaurer votre site à partir de la dernière sauvegarde stable.
S'il n'y a pas de sauvegarde, vous devrez passer par une procédure de nettoyage de votre site WordPress piraté que nous montrons ci-dessous.
3. Demandez l'aide de votre fournisseur d'hébergement
Plus de 40 % des sites Web piratés présentaient une faille de sécurité sur la plate-forme d'hébergement. Par conséquent, lorsque vous faites pirater votre WordPress, demander à votre hébergeur de vous aider à récupérer votre site pourrait être une bonne idée.
Toute société d'hébergement Web fiable devrait être prête à vous aider dans ces cas. Ils emploient des professionnels qui font face à ces situations au quotidien. Ils connaissent très bien l'environnement d'hébergement et ont accès à des outils avancés d'analyse de sites Web.
Par conséquent, ils pourront vous aider à récupérer les attaques de piratage de sites Web les plus courantes. Si le piratage provient du serveur, votre hébergeur pourra vous aider à récupérer le site.
4. Recherche de logiciels malveillants
Dans de nombreux cas, les pirates ont accès à votre site Web en utilisant des portes dérobées. Les portes dérobées créent des points d'entrée non autorisés sur votre site Web. Lors de l'utilisation de portes dérobées, les pirates peuvent accéder à votre site Web sans avoir besoin d'informations de connexion et rester pratiquement indétectés.
Voici quelques emplacements courants des portes dérobées dont vous avez besoin pour vérifier si votre site Web a été piraté -
- Themes: La plupart des hackers préfèrent placer la porte dérobée dans l'un de vos thèmes inactifs. En faisant cela, ils auront toujours accès à votre site Web même si vous le tenez régulièrement à jour. C'est pourquoi il est crucial de supprimer tous vos thèmes inactifs.
- Extensions: Le dossier plugins est un autre endroit potentiel pour cacher le code malveillant. Il y a plusieurs raisons à cela. Tout d'abord, la plupart des gens ne pensent jamais à vérifier les fichiers du plugin. Ils préfèrent également ne pas mettre à jour les plugins tant qu'ils fonctionnent. De plus, il existe des plugins mal codés qui pourraient être exploités pour obtenir un accès non autorisé à n'importe quel site WP.
- Dossier de téléversement: Dans la plupart des scénarios, vous n'avez jamais à vous soucier de vérifier le dossier des téléchargements car ce dossier ne contient que les fichiers que vous avez téléchargés. Cependant, certains hackers préfèrent ce dossier car ils peuvent facilement masquer le fichier malveillant parmi des centaines ou des milliers de fichiers répartis dans différents dossiers. Comme le dossier est inscriptible, il remplit également leur rôle.
- Comprend le dossier: Il s'agit d'un autre dossier souvent ignoré par la plupart des utilisateurs. En conséquence, les pirates mettent la porte dérobée dans ce dossier et obtiennent un accès complet à votre site.
- Fichier wp-config.php: Il est très courant de trouver du code malveillant caché dans ce fichier. Cependant, comme le fichier est très connu, les pirates sophistiqués évitent d'utiliser ce fichier.
Vous n'aimez pas vous salir les mains avec des scripts malveillants? Essayer iThemes security et laissez-le faire le sale boulot.
Le seul moyen de se débarrasser de la porte dérobée est de supprimer le code malveillant du site Web. Il existe plusieurs plugins qui vous permettent d'analyser votre site Web à la recherche de code malveillant.
Parmi eux, les plugins premium suivants sont d'excellents choix: iThemes Security, Sucuri Sécurité, Défenseur de WPMUDev sont d'excellentes options.
Ce qui suit sont également de bonnes options, mais sachez que les deux n'ont pas été mis à jour depuis plus de 3 ans à compter de la mise à jour de cet article. Cela signifie qu'ils ne sont peut-être pas aussi fiables qu'ils l'étaient auparavant: Scanner d'exploitet Vérificateur d'authenticité du thème.
Vous pouvez utiliser ces plugins gratuits pour détecter tout changement indésirable dans les thèmes, les plugins et les fichiers principaux de votre site Web. Cependant, si vous souhaitez vraiment réparer votre site, nous vous recommandons vivement d'opter pour l'un des produits premium.
Ils seront plus à jour et plus fiables en général que n'importe lequel des produits gratuits.
Si les plugins trouvent un fichier suspect, effectuez une sauvegarde complète et supprimez le fichier ou voyez la marche à suivre suggérée par le plugin. De plus, si vous effectuez une sauvegarde, assurez-vous de noter que vous effectuez une sauvegarde d'un site piraté.
Et si un thème ou un plugin est compromis, supprimez-le de votre site. Téléchargez la dernière copie et téléchargez-la sur votre site Web.
Dans le cas où le changement est détecté dans l'un des fichiers principaux, vous devez télécharger une nouvelle installation de WordPress et effectuer une mise à jour manuelle (c'est-à-dire écraser tous les fichiers par les nouveaux).
Vous pouvez également télécharger une nouvelle copie de la version de WordPress que vous êtes actuellement et ne remplacer que les fichiers compromis.
5. Vérifiez les utilisateurs de WordPress
Il est probable que vous ayez plusieurs utilisateurs sur votre site Web. Comme vous le savez déjà, ils ont des capacités différentes en fonction de leur rôle d'utilisateur.
Parfois, les pirates WordPress créent un nouvel utilisateur avec les autorisations nécessaires pour pouvoir se connecter à votre site même s'ils perdent la porte dérobée.
Ou ils peuvent en fait utiliser un nom d'utilisateur avec un mot de passe faible pour pirater votre site Web.
Pour éviter que cela ne se produise, accédez à Paramètres> Utilisateurs depuis le tableau de bord. Passez en revue tous les utilisateurs et leurs rôles. En outre, réinitialisez TOUS les mots de passe de TOUS les utilisateurs.
Plus important encore, assurez-vous qu'aucun compte non autorisé ne dispose du rôle d'administrateur. En cas de comptes douteux, supprimez-les instantanément. S'ils sont des utilisateurs valides, vous pouvez toujours recréer les comptes plus tard.
Voici quelques autres bonnes pratiques à suivre:
- N'utilisez jamais le nom d'utilisateur «admin» sur votre site. Si vous possédez déjà ce nom d'utilisateur, modifiez-le dès que possible. Évitez également d'utiliser un nom d'utilisateur courant que les pirates peuvent deviner.
- Utilisez l'authentification à deux facteurs pour empêcher tout accès non autorisé à votre site Web.
- Intégrez CAPTCHA ou reCaptcha sur vos formulaires de connexionIntégrez CAPTCHA ou reCaptcha sur vos formulaires de connexion. C'est un moyen efficace d'empêcher les robots ou les scripts automatisés d'accéder à votre site Web.
6. Changer les clés secrètes
Les clés secrètes sont une fonctionnalité de sécurité pratique de WordPress.
Ces clés contiennent du texte généré aléatoirement qui aide à crypter les informations enregistrées dans les cookies. Vous devez utiliser la procédure ci-dessous pour vérifier si vous les avez sur votre site. Si vous ne les avez pas, vous pouvez les créer.
Même si vous les avez déjà, si votre site a été piraté, c'est maintenant le bon moment pour les changer.
Tout d'abord, générez un ensemble de clés secrètes en utilisant ce lien. Le générateur de code aléatoire créera un nouvel ensemble de codes uniques à chaque fois que vous actualiserez la page.
Maintenant, allez sur votre site Web et ouvrez le wp-config.php déposer. Dirigez-vous vers la ligne 49 et vous verrez quelque chose comme ce qui suit. Le numéro de ligne peut varier sur votre fichier, mais vous devez trouver la section suivante:
Copiez et collez la valeur de celles que vous venez de générer dans le lien ci-dessus. Enregistrez le fichier. Cela réinitialisera tous les cookies et tous les utilisateurs connectés, donc si vous étiez connecté à l'administrateur, vous serez invité à vous reconnecter.
7. Changez TOUS vos mots de passe
Il s'agit d'une étape courante mais critique dans la restauration d'un site Web WordPress piraté - réinitialisez tous vos mots de passe. Les mots de passe courants incluent WP admin, cPanel, MySQL, FTP, etc.
Réinitialisez tous ces mots de passe ainsi que les mots de passe de tout service tiers que vous utilisez sur le site Web.
Voici comment changer les mots de passe:
- Pour modifier le mot de passe, accédez à Utilisateurs> Votre profil depuis le tableau de bord. Vous trouverez le nouveau champ de mot de passe dans la section «Gestion de compte».
- Pour changer les mots de passe cPanel, MySQL, FTP, connectez-vous au panneau de contrôle de votre compte d'hébergement et suivez les options disponibles. Si vous êtes confus, contactez le support d'hébergement pour obtenir de l'aide.
Lors de la réinitialisation ou de la modification des mots de passe, assurez-vous que vous utilisez maintenant un mot de passe fort. Vous devez également forcer vos utilisateurs existants à effectuer une réinitialisation de mot de passe pour leurs comptes.
Vous pouvez utiliser le plugin Réinitialisation d'urgence du mot de passe pour forcer la réinitialisation du mot de passe pour tous les utilisateurs.
Étapes futures pour éviter d'être piraté
Bien que les étapes mentionnées ci-dessus vous aideront à restaurer votre site Web, vous devez considérer cela comme un signe d'avertissement. Voici quelques étapes importantes à suivre pour vous assurer que votre site reste protégé à l'avenir contre toute autre tentative de piratage WordPress:
Créer une planification de sauvegarde
Comme vous le savez maintenant, il est crucial d'avoir des sauvegardes régulières de votre site Web. Les sauvegardes peuvent vous sauver si votre site a été piraté. Les sauvegardes multiples sont encore meilleures, car elles vous permettraient de remonter dans le temps à un instantané du site avant le piratage.
Heureusement, vous n'êtes pas obligé de le faire manuellement. Il existe de nombreux plugins gratuits et premium pour vous aider à conserver des sauvegardes régulières de votre site. UpdraftPlus est un plugin de sauvegarde populaire, tandis que BackupBuddy et Jetpack sont des solutions de sauvegarde premium hautement recommandées.
Tout mettre à jour
Nous supposons que nous n'avons pas à insister sur l'importance de maintenir votre site à jour. Vous devez mettre à jour le noyau WordPress, les thèmes actifs, les plugins et tout ce que vous avez la possibilité de mettre à jour. Dans le même temps, assurez-vous de supprimer également les thèmes et plugins inutilisés.
Configurer un plug-in de sécurité
Si vous souhaitez améliorer la sécurité de votre site Web, vous devez utiliser un plugin de renforcement comme iThemes Security, Wordfence Security ou Defender. Ces plugins vous aident à créer un pare-feu afin que vous puissiez empêcher le trafic malveillant, bloquer les attaquants et gérer d'autres menaces. Vous pouvez également envisager d'installer un pare-feu d'application Web complet comme le pare-feu Sucuri.
Envisagez un hébergement géré
Lorsque vous choisissez un hébergement géré, ils gèrent la sécurité, la maintenance, les performances et d'autres problèmes de votre site Web. Cela signifie que vous n'aurez pas à vous soucier de toutes ces étapes. Certains fournisseurs d'hébergement géré fiables incluent InMotion, WPEngine, et Kinsta.
Limit Login Attempts
Par défaut, WordPress permet à quiconque d'essayer des mots de passe illimités pour n'importe quel compte. Cela conduit à des attaques par force brute et à d'éventuelles vulnérabilités du site. Heureusement, il existe des plugins gratuits comme Connexion LockDown et Sécurité du loginizer pour vous aider à limiter les tentatives de connexion.
Désactiver l'exécution PHP
Dans la plupart des cas, les pirates créent des portes dérobées en créant des fichiers PHP qui ressemblent à des fichiers de base. Vous pouvez prévenir ces menaces en désactivant l'exécution de PHP dans les répertoires appropriés, comme les dossiers de téléchargement et d'inclusion. Voici un tutoriel pas à pas pour faire ça.
Ajouter un mot de passe supplémentaire pour l'administrateur
Une autre astuce pratique pour assurer la sécurité de votre site consiste à utiliser un mot de passe supplémentaire pour accéder à la section d'administration. C'est très facile à faire dans cPanel. Suivre ce tutoriel pour ajouter le mot de passe dans votre administrateur WP.
Vous préférez la vidéo? Regardez cette vidéo de Sucuri
Si vous avez le temps de parcourir la vidéo suivante qui peut vous aider à identifier les sites WordPress piratés et comment les corriger. Nous avons mentionné Sucuri à quelques reprises dans cet article, cette vidéo de Sucuri est une vue assez complète des sites piratés.
Derniers mots: comment réparer votre site Web piraté
Être victime d'un site WordPress piraté est une expérience horrible, surtout si c'est la première fois. Cependant, maintenant que vous avez lu cet article, vous devriez avoir une idée claire des étapes nécessaires pour récupérer votre site Web piraté.
N'hésitez pas à ajouter et partager cet article à vos favoris afin que les autres puissent également connaître les étapes.
Conclusion
Si vous êtes confus, optez simplement pour une solution d'hébergement géré et laissez quelqu'un d'autre s'en occuper à votre place.
Ce n'est que le début. Au fur et à mesure que le Web continue d'évoluer, les pirates informatiques et leurs tentatives d'infiltrer votre site et de vous expulser le feront également. Gardez une longueur d'avance en en apprenant plus sur votre CMS convivial et en vous tenant au courant des mises à jour et en restant au courant de la sécurité de WordPress - cela vous assurera à coup sûr d'éviter le piratage de site Web.
Restez en sécurité.
Besoin d'aide pour nettoyer votre site Web? Essayez ces concerts abordables les mieux notés sur Fiverr!
Cliquez ici pour trouver des experts sur WordPress sécurité.
Cliquez ici créer un site WordPress complet.
Veuillez laisser un incontournable commentez vos pensées, puis partagez-les sur votre ou vos groupes Facebook qui trouveraient cela utile et récoltons ensemble les avantages. Merci d'avoir partagé et d'être gentil!
Divulgation: Cette page peut contenir des liens vers des sites externes pour des produits que nous aimons et que nous recommandons sans réserve. Si vous achetez des produits que nous suggérons, nous pouvons percevoir des frais de parrainage. Ces frais n'influencent pas nos recommandations et nous n'acceptons pas les paiements pour les avis positifs.
et beaucoup plus ...