7 façons de réparer les sites piratés WordPress + 17 étapes de sécurité à protéger

WordPress piraté

Il peut y avoir beaucoup de systèmes de gestion de contenu, mais aucun d'entre eux ne peut tenir une bougie pour WordPress. Avec 51.6+ millions de sites en mars 2020 (et en augmentant chaque jour) cela vous donne une idée à quel point ce système est largement supérieur et apprécié. La sécurité WordPress et des conseils pratiques pour empêcher le piratage de WordPress - le CMS a encore du chemin à parcourir en matière de sécurité.

Cependant, nous voulons vous aider à sécuriser votre site Web dès le départ - mieux vaut prévenir que guérir, alors assurez-vous de suivre ces conseils, dans l'un de nos nombreux tutoriels WordPress - AUJOURD'HUI.

Contenu[Afficher]

Cependant, ces millions de sites sont également confrontés à de graves attaques de la part de script kiddies qui n'ont rien de mieux à voir avec leur temps que de répandre la misère partout, et d'autres avec des raisons plus néfastes et malveillantes, les acteurs sombres du web: les pirates.

Il est assez courant de se réveiller un matin pour trouver votre site Web autrefois magnifique, plein de liens et de texte sur les pilules d'agrandissement à base de plantes, ou d'autres produits pharmaceutiques douteux ou une cause au Moyen-Orient. 

Crier de manière incohérente est probablement le premier plan d'action que vous prendrez lorsque votre site héberge des annonces pleine page, des liens et des redirections vers des aspects plus sombres des entreprises «pharmaceutiques».

Si ce scénario vous terrifie, il est justifié de ressentir cela.

90,000 sites Web sont piratés chaque jour

Source: HostingFacts

Tout le monde veut empêcher le piratage de WordPress. Parce que la restauration et la récupération d'un site Web peuvent prendre beaucoup de temps et d'efforts.

Alors, durcissez votre site Web avec ces meilleures pratiques de sécurité WordPress, pour éviter que ce destin horrible ne vous arrive! Et oui, il faudra du temps et des efforts continus pour éviter les attaques de piratage.

Vous n'aimez pas vous salir les mains avec le code ? Essayer iThemes security et laissez-le faire le sale boulot. Cliquez sur ce lien pour obtenir 25% de réduction jusqu'au Septembre 2021.

Si vous ne voulez pas passer par beaucoup de problèmes de fichiers, l'activation de différents plugins et beaucoup d'autres choses que vous ne comprenez pas vraiment, nous avons également une solution de facilité pour vous. iThemes Security est le meilleur plugin de sécurité WP pour sécuriser et protéger votre site Web.

Vous n'êtes pas encore intéressé par les plugins WP? Continuer à lire!

Envoyez-moi la liste de contrôle de sécurité WordPress

Nous allons travailler sur du code, mais d'abord, nous allons nous occuper des bases des problèmes de sécurité de site Web. Commençant par:

17 étapes de sécurité WordPress

1. Empêcher le piratage de WordPress commence avec votre poste de travail

C'est le premier et le plus facilement négligé: votre ordinateur.

Vous devez toujours garder votre système exempt de logiciels malveillants et de virus, surtout si vous accédez à Internet avec lui (ce que vous êtes, bien sûr). La protection du poste de travail est encore plus essentielle lorsque vous effectuez des transactions et que vous avez un site Web car tout ce qu'il faut, c'est un keylogger pour éliminer les sites Web les plus endurcis.

Un keylogger lira tous vos noms d'utilisateur et mots de passe et les enverra aux pirates - ce qui, bien sûr, va créer toute une série de problèmes pour votre site Web.

Restez en sécurité et mettez régulièrement à jour votre système d'exploitation, vos logiciels et vos navigateurs sur votre ordinateur. Utilisez un bon service antivirus. Gardez les yeux ouverts sur toute vulnérabilité de votre système et supprimez-la avant qu'elle ne devienne une douleur énorme. Si votre ordinateur commence à agir de manière étrange, en affichant des publicités et d'autres trucs douteux, vous voudrez peut-être le vérifier avant d'accéder à votre site Web. 

2. Installez toutes les mises à jour de WordPress

Sécurisez WordPress grâce à ses mises à jour

Chaque fois qu'une nouvelle version de WordPress est publiée, elle le fait en grande pompe et au milieu d'une vague d'excitation.

La plupart d'entre nous sont excités, parce que, hé, nouvelles fonctionnalités! Les hackers sont enthousiastes car ils iront instantanément vérifier le Notes de version de sécurité et de maintenance. Malheureusement, chacun WordPress La mise à jour s'accompagne de la découverte d'un certain nombre de vulnérabilités de sécurité WordPress dans les anciennes versions.

À chaque nouvelle mise à jour de WordPress, nous obtenons des fonctionnalités et des mises à niveau supplémentaires, ainsi qu'une page répertoriant les failles de sécurité de la version précédente et leurs correctifs..

Cette page est pratiquement une aide-mémoire pour les pirates du monde entier. Si vous ne parvenez pas à mettre à jour à temps, ces failles seront exploitées pour reprendre des sites sur des versions plus anciennes (et votre site pourrait en faire partie si vous ne mettez pas à jour).

Et si votre site est piraté, il sera malheureusement trop tard pour trouver des excuses pour ne pas passer à la dernière version.

Alors ne donnez pas aux pirates une chance de se faufiler. Installez la dernière version de WordPress dès sa sortie.

Si vous craignez que cela ne gâche votre site Web, assurez-vous d'avoir une sauvegarde fonctionnelle avant de mettre à jour. La version mise à jour résoudra tous les problèmes de sécurité qui existaient dans la version précédente - et permettra d'éviter les piratages WordPress.

Vous voulez que votre site Web soit mis à jour automatiquement? Découvrez InMotion VPS pour votre hébergement - ils ont d'excellentes fonctionnalités spécifiques à WordPress afin que vous puissiez mettre à jour votre site automatiquement dès leur sortie. Nous sommes sur un VPS InMotion, et nous l'adorons!

3. Assurez-vous que votre serveur d'hébergement est sécurisé

 

Saviez-vous qu'en 2019, environ 54% des sites Web utilisent toujours PHP 5.x - une version de PHP qui est en fin de vie et ne reçoit donc aucune mise à jour de sécurité. Cela signifie que tous les sites fonctionnant sous PHP 5.4 sont vulnérables aux hacks via les vulnérabilités du logiciel serveur. (Source Rapport sur le site Web piraté Sucuri 2019)

Même la version 7.1 de PHP est en fin de vie au 1er décembre 2019. Les anciennes versions de logiciels comme celles-ci ne sont plus prises en charge et présentent des vulnérabilités qui n'ont pas été corrigées!

Ces anciennes versions de logiciels sont sujettes aux hacks.

Si vous savez que votre site Web héberge sur PHP 5 ou éventuellement PHP jusqu'à 7.1, demandez à votre hébergeur de vérifier si votre site peut être déplacé vers une version plus récente de PHP.

Non seulement cela, mais le la majorité des sites Web / blogs sont hébergés sur des serveurs partagés. Fondamentalement, si un site sur un serveur partagé est infecté, tous les autres sites sont à risque, qui concerneless de la façon dont le site/blog est sécurisé par ailleurs.

Vous serez piraté sans aucune faute de votre part.

Exercice de réflexion: Avez-vous déjà été dans une soupe populaire? Pouvez-vous en imaginer un et imaginer ce qui se passe là-dedans? Si vous êtes l'un de ceux qui ont la chance d'avoir échappé à cette parodie, je vais vous donner un avant-goût (jeu de mots prévu). Pensez à tout ce qui s'est passé depuis la création de la cuisine, aux déversements et aux bris, aux fuites et aux éclaboussures. Dans un serveur de soupe populaire, ces choses ne sont jamais parties. Ils deviennent une partie de la cuisine.

Imaginez maintenant la même chose sur votre site. Un serveur d'hébergement d'une entreprise qui ignore la maintenance et ne met pas à jour les dernières versions du logiciel est déjà devenu une soupe populaire.

De plus, si vous ou votre webmaster hébergez plusieurs sites Web ensemble, les fichiers, données, sites, etc. inutilisés s'accumulent jusqu'à ce qu'ils deviennent une menace pour les sites actuels.

Alors choisissez une solution fiable et sécurisée hôte.

Le VPS et l'hébergement géré minimisent les risques de violation et sont excellents pour les sites de commerce électronique. Si l'hébergement mutualisé vous suffit, vérifiez leur sécurité avant de vous abonner pour de l'espace sur eux.

Assurez-vous de vérifier qu'ils maintiennent régulièrement leurs serveurs et de mettre à jour les dernières versions du logiciel. C'est une autre étape qui devrait figurer sur votre liste de priorités si vous souhaitez empêcher le piratage de WordPress.

4. Utilisez des transmissions sécurisées pour empêcher l'interception de mots de passe et de données

Sur une connexion non sécurisée, les données peuvent être interceptées et vous pouvez être piraté avant de pouvoir dire «non chiffré».

C'est pourquoi vous devez vous concentrer sur les connexions réseau sécurisées et le chiffrement: côté serveur, côté client et tous les côtés. Trouvez un hôte qui permet au cryptage SFTP / SSH de protéger vos données et informations contre les interceptions malveillantes.

Votre site doit également avoir un certificat sécurisé installé et mis en place de sorte que lorsque vous vous connectez, vos informations d'identification soient transmises en toute sécurité.

5. Empêchez le piratage via des mots de passe complexes

Mots de passe complexes pour une sécurité améliorée

Astuce essentielle: créez un mot de passe fort et ne réutilisez JAMAIS les mots de passe

Notre prochaine étape sur la façon de protéger WordPress des pirates informatiques parle d'un sujet très cliché: les mots de passe.

Un nombre surprenant de personnes pensent que les mots de passe longs et compliqués sont surestimés et préféreront quelque chose de plus court et de plus facile à retenir; un fait que les hackers connaissent et exploitent.

Il n'y a pas d'autre moyen de le dire: un bon mot de passe fort composé de lettres, de chiffres et de tout autre caractère valide ira vraiment un long chemin pour protéger votre blog.

Une attaque de piratage par force brute peut fonctionner sur un mot de passe court en utilisant un mot simple (par exemple un mot-clé de dictionnaire ou un mot de passe commun facile), oui. Mais plus il y a de caractères dans votre mot de passe, plus il faut de temps pour le déchiffrer.

Il faut exponentiellement plus de temps pour déchiffrer des mots de passe longs et complexes.

Ce que vous essayez de faire, c'est de briser les schémas connus pour rendre le piratage difficile, voire impossible.

Tous les détails personnels, ou les mots de passe basés sur eux (comme les anniversaires ou les noms de personnes), seront faciles à déchiffrer. N'utilisez pas de mots isolés (en ce qui concerneless de longueur), des mots de passe contenant uniquement des lettres ou des chiffres.

Créez un mot de passe facile à retenir mais difficile à deviner pour empêcher le piratage de WordPress - si votre blog concerne la sécurité, faites-en quelque chose comme pressmyWORDSand5ecurit! $ 

Envoyez-moi la liste de contrôle de sécurité WordPress  

6. Gardez vos bases de données sécurisées et isolées

Votre base de données sait tout ce qui s'est passé sur votre site. C'est une véritable source d'informations et cela le rend irrésistible pour les hackers.

Des codes automatisés pour les injections SQL peuvent être exécutés pour pirater la base de données de votre site Web avec une relative facilité. Si vous exécutez plusieurs sites / blogs à partir d'un seul serveur (et base de données), tous vos sites sont menacés.

Comme le dit la ressource de code, il est préférable d'utiliser des bases de données individuelles pour chaque blog / site et de les gérer par des utilisateurs distincts. En termes simples, chaque site Web que vous hébergez devrait avoir sa propre base de données et son propre utilisateur de base de données.

Seul cet utilisateur de la base de données doit avoir accès à la base de données.

Vous pouvez aussi révoquer tous les privilèges de base de données sauf données lues et écriture de données des utilisateurs qui ne travailleront qu'avec la publication / le téléchargement de données et l'installation de plugins.

Ce n'est pas recommandé, cependant, en raison de changement de schéma privilèges requis dans les mises à jour majeures.

Vous devez également renommer votre base de données (en changeant son préfixe) pour mal diriger les pirates informatiques qui visent leurs attaques sur elle. Bien que cela n'empêche pas le piratage de WordPress en soi, cela garantit que si des bases de données sont compromises, les pirates ne peuvent pas accéder à la prochaine installation de WordPress.

7. Masquez la connexion et le nom d'administrateur de votre site Web

La prochaine étape sur la façon de sécuriser WordPress contre les pirates concerne l'administrateur WordPress.

Laisser les paramètres par défaut de WordPress inchangés est pratiquement demandant pour les ennuis.

Il est ridiculement simple de trouver le nom d'administrateur de votre site si vous ne le cachez pas activement.

Tout ce dont un hacker a besoin, c'est d'ajouter ? author = 1 après votre URL et la personne / membre qui apparaît est probablement l'administrateur. Imaginez à quel point il serait facile pour les pirates d'utiliser la force brute une fois qu'ils ont trouvé le nom d'utilisateur de l'administrateur.

Comment pouvez-vous empêcher le piratage si vous laissez autant d'informations disponibles, faciliter l'exploitation?

Solution pour dissuader les hacks WordPress: Cachez tous les noms d'utilisateur avec ce code dans le fichier functions.php:

add_action ('template_redirect', 'bwp_template_redirect');
fonction bwp_template_redirect ()
{
  if (is_author ())
  {
    wp_redirect (home_url ()); sortir;
  }
}

 

Votre page de connexion est également facile d'accès, et pas seulement pour vous. Si vous ajoutez simplement wp-admin ou wp-login.php après l'URL de votre page d'accueil, remplissez le nom d'utilisateur que nous avons appris de? Author = 1, il ne reste qu'un peu de force brute ou de devinettes jusqu'à ce qu'un mot de passe soit craqué. 

Utilisez la technique de la «sécurité par l'obscurité» et changez l'URL de votre page de connexion pour rendre le travail des pirates un peu plus difficile.

Des plugins de sécurité comme iThemes Security avoir un paramètre Masquer la connexion qui supprimera l'accès facile à la connexion WordPress.

masquer la connexion au backend

Encore une fois, cette étape simple contribuera grandement à empêcher le piratage de WordPress.

Vous ne savez pas si vous pouvez gérer tout cela?

Besoin d'aide? Jettes un coup d'oeil à iThemes Security Pro - un plugin et votre site Web est en sécurité. Garanti. Cliquez sur les liens ci-dessous pour visiter le site.

8. Empêchez le piratage via des plugins de sécurité WordPress et des astuces pour protéger wp-admin

 

Votre wp-admin est la partie la plus importante de votre installation WordPress - celle avec le plus de "puissance".

Malheureusement, la page de connexion et le répertoire d'administration sont accessibles à tous, y compris à ceux qui ont une intention malveillante. Pour le protéger et arrêter les attaques de piratage, vous devrez travailler un peu plus dur.

iThemes Security

Un mot de passe fort, un compte administrateur différent (avec un nom d'utilisateur qui est tout sauf 'admin'), et en utilisant le iThemes Security plugin pour renommer vos liens de connexion contribuera certainement à empêcher le piratage.

ithemes plugin de sécurité wordpress

PAIEMENT iThemes Security

Malveillance

Vous pouvez également renforcer la garde autour de l'administrateur avec des plugins de sécurité de site Web tels que Malcare.

Ce service classé 5 étoiles est celui que nous avons découvert assez récemment.

tableau de bord de sécurité du site malcare

 

Malcare est développé par l'équipe derrière Blogvault, que nous avons déjà utilisé et que nous avons trouvé incroyable.

Leur dernière offre offre un service complet de sécurité et de gestion de site Web. Il propose au personnel une analyse des fichiers pour les changements de base (pour détecter les hacks), un nettoyage d'urgence, un pare-feu intégré pour arrêter le trafic malveillant, la mise à jour des thèmes et des plugins directement à partir de leur tableau de bord et des sauvegardes en un clic.

Le meilleur à ce sujet est que vous pouvez gérer TOUS vos sites à partir d'un seul tableau de bord, sans avoir à vous connecter à chacun d'entre eux individuellement.

Découvrez Malcare

Limit Login Attempts Reloaded

Avec un peu de code couplé à des tentatives de connexion illimitées, tout pirate finira par s'introduire par effraction.

Vous pouvez limiter le nombre de tentatives de connexion qu'un seul utilisateur est autorisé à effectuer dans la page de connexion de l'administrateur en utilisant Limit Login Attempts Plugin rechargé. Cela limitera le nombre de tentatives de connexion pour chaque adresse IP, y compris la vôtre (avec des cookies d'authentification).

limite de tentative de connexion capture d'écran rechargée

Really Simple SSL

Utilisez la puissance du SSL privé pour sécuriser la connexion de l'administrateur, la zone, les publications et plus encore. En utilisant le Really Simple SSL plug-in active le cryptage sur vos sessions de connexion, ce qui signifie que le mot de passe est difficile à intercepter.

Vous devrez obtenir un certificat SSL et l'installer sur votre serveur d'hébergement. InMotion offre des certificats SSL gratuitement sur leurs plans d'hébergement - donc si vous ne l'avez toujours pas, il est peut-être temps de passer à InMotion pour obtenir votre SSL également.

Une fois que vous avez confirmé auprès de votre hébergeur que vous disposez du SSL partagé, vous pouvez activer le plugin.

Si vous préférez ne pas utiliser de plugin mais souhaitez forcer SSL uniquement sur la connexion, ajoutez ce code au fichier wp-config.php:

define ('FORCE_SSL_ADMIN', vrai);

WordPress sécurisé Acunetix

Cette plug-in est une excellente solution de sécurité en général, mais certaines fonctionnalités clés la rendent encore meilleure.

Tout d'abord, il exécute une analyse de sécurité du site Web. Il accorde également une attention particulière aux mesures préventives afin que vous arrêtiez réellement le piratage WordPress de se produire en premier lieu. Pour protéger la zone d'administration, il supprimera les informations d'erreur de la page de connexion.

Cela peut ne pas sembler grand-chose, mais le message d'erreur aide en fait les pirates à savoir s'ils ont bien fait quelque chose. La suppression du message (indice) enlève cet avantage.

Si vous voulez éviter le piratage, installez au moins certains de ces plugins.

Astuce principale: le reste de l'article présente des conseils avancés sur la sécurité des sites Web

Le reste des astuces nécessite de bricoler votre installation WordPress, ce qui comporte des risques. Si vous préférez ne pas bricoler votre installation, vous voudrez peut-être embaucher un développeur WordPress pour vous aider.

9. Comment sécuriser WP via wp-includes

Soyons clairs: le wp-includes Le dossier fait partie intégrante de WordPress. Il devrait être laissé seul, même par vous. Et en aucun cas, il ne doit être laissé accessible aux pirates potentiels.

Pour empêcher toute personne / bots malveillants d'envoyer des scripts indésirables directement au cœur de votre site Web pour éviter les attaques de piratage.

Ajoutez ceci avant #COMMENCER WordPress dans votre fichier .htaccess:

# Bloquez les fichiers inclus uniquement.

  RewriteEngine On
  RewriteBase /
  RewriteRule ^ wp-admin / includes / - [F, L]
  RewriteRule! ^ Wp-includes / - [S = 3]
  RewriteRule ^ wp-includes / [^ /] + \. Php $ - [F, L]
  RewriteRule ^ wp-includes / js / tinymce / langs /.+ \. Php - [F, L]
  RewriteRule ^ wp-includes / theme-compat / - [F, L]

# COMMENCE WordPress

 

Notez que vous devrez omettre la troisième RewriteRule si vous voulez que le code fonctionne sur Multisite.

10. Protégez votre wp-config pour une sécurité de site Web améliorée

C'est l'une des questions un peu controversées. Tout le monde n'est pas d'accord avec cela.

Que vous déplaciez ou non wp-config.php en dehors du dossier racine, on ne peut nier qu'un peu de peaufinage du code dans ce fichier peut aider à renforcer votre site Web et à rendre plus difficile les hacks WordPress.

Vous ne savez pas si vous pouvez gérer tous ces trucs techniques? Il y en a un plugin de sécurité pour les gouverner tous

  • Commencer avec désactivation de la modification des fichiers PHP à partir du tableau de bord, c'est là que l'attaquant se concentrera après un piratage via un point d'accès. Ajoutez ceci à wp-config.php

define ('DISALLOW_FILE_EDIT', vrai);

  • $ table_prefix est placé avant toutes les tables de votre base de données. Vous pouvez empêcher les attaques basées sur l'injection SQL en modifiant sa valeur par défaut wp_. Faites attention si vous faites cela, vous devrez renommer toute table existante avec le nouveau préfixe que vous avez défini.

$ table_prefix = 'r235_';

  • Déplacer le répertoire wp-content de sa position par défaut avec ce

define ('WP_CONTENT_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content');
define ('WP_CONTENT_URL', 'https: // exemple / blog / wp-content');
define ('WP_PLUGIN_DIR', $ _SERVER ['DOCUMENT_ROOT']. '/ blog / wp-content / plugins');
define ('WP_PLUGIN_URL', 'https: // exemple / blog / wp-content / plugins');

Maintenant si tu n'es pas un promoteur, vous n'utilisez pas beaucoup les journaux d'erreurs. Vous pouvez les empêcher d'être accessibles avec ceci:

error_reporting = 4339
display_errors = Désactivé
display_startup_errors = Désactivé
log_errors = On
error_log = /home/example.com/logs/php_error.log
log_errors_max_len = 1024
ignore_repeated_errors = Activé
ignore_repeated_source = Désactivé
html_errors = Désactivé

 

11. Sauvegardez votre site Web (au cas où)

Sauvegarde Wordpress

C'est le filet de sécurité. Une sauvegarde est l'une des premières choses dont vous aurez besoin pour restaurer votre site si vous êtes piraté.

Sauvegardez votre site au moins aussi souvent que vous exécutez la maintenance ou le mettez à jour. Il n'y a aucune excuse pour être laxiste dans ce département, pas quand il existe d'excellents services de sauvegarde et plugins qui exécuteront des sauvegardes automatisées pour vous. Voici quelques suggestions de plugins:

Lectures recommandées: Natif vs plugin - Sauvegarde WordPress en utilisant différentes méthodes

Créez un calendrier et laissez le plugin faire le reste.

Certains de ces plugins sont livrés avec des options de restauration faciles. Vérifiez que le plugin sauvegarde l'intégralité du site, y compris toutes les bases de données et répertoires. Bien que cela n'empêche pas les hacks WordPress, cela vous donne la tranquillité d'esprit de restaurer votre site si l'impensable se produit.

Envoyez-moi la liste de contrôle de sécurité WordPress

12. Utilisez des sources fiables uniquement pour les téléchargements

 

Si vous utilisez un budget serré (et même si ce n'est pas le cas), vous pourriez être tenté par l'option d'obtenir gratuitement toutes les fonctionnalités et fonctionnalités des plugins / thèmes premium: plugins piratés ou fissurés.

Vous ne pouvez pas déjouer un pirate informatique si vous téléchargez des contenus premium à partir de sources mal réputées ou non autorisées - ils reviendront vous mordre. Ils sont mal réputés car ils rempliront ces plugins / thèmes `` premium '' légitimes avec des logiciels malveillants et vous permettront de faire le reste.

Les plugins ou thèmes fissurés contiendront des portes dérobées cachées, qui leur permettront de prendre le contrôle de votre site à volonté. L'utilisation d'un tel téléchargement sera tout ce dont ils auront besoin pour convertir l'apparence en ligne de votre marque en une affiche géante pour les pilules d'agrandissement - ou pire encore, les logiciels malveillants.

n'utilisez pas de téléchargements piratés ou annulés

Votre site sera rapidement mis sur liste noire, même de la part des moteurs de recherche et des navigateurs s'il contient des logiciels malveillants. 

C'est une tactique connue et très populaire des pirates.

thèmes annulés

Les thèmes et plugins piratés sont criblés de portes dérobées et de logiciels malveillants. C'est l'un des problèmes de sécurité WordPress les plus faciles à résoudre vraiment. Il est préférable d'opter pour un thème de confiance provenant d'une source fiable, telle que celle que nous avons examinée ici: Thème Avada

Des trucs piratés, annulés ou fissurés? Ne vous en faites pas.

Vous maîtrisez les répertoires officiels de thèmes et de plugins, alors essayez de vous en tenir à ceux-ci. Vous pouvez également faire confiance à des sources comme ElegantThemes, Thème Forêt, Code Canyon, etc.

13. Sécurisez votre site Web en ressemblant à un pro

Une recrue est plus facile à pirater.

Du moins, c'est ce que pensent la plupart des hackers (pas à tort). 

Modifiez tous les paramètres par défaut: publications, commentaires, noms d'utilisateur, noms de répertoire, etc.

C'est plus facile lors de la configuration.

Si votre WordPress est déjà opérationnel, allez dans Paramètres> Divers (dans vos commandes d'administration) pour changer les noms de répertoire. Ce sera une autre étape dans votre démarche pour arrêter les problèmes de sécurité de WordPress et rendre le piratage de votre site beaucoup plus difficile.

Pour masquer la version de WordPress sur laquelle vous vous trouvez, pensez à effacer /wp-admin/install.php et wp-admin / upgrade.php. Allez plus loin et supprimez balise Meta Generator ("") de wp-content / votre_nom_thème / header.php. Tu devrais aussi supprimer le détail de la version du flux RSS.

Pour ce faire, ouvrez wp-includes / general-template.php. Vers la ligne 1860, vous trouverez ceci:

function the_generator ($ args) {
  echo apply_filters ('the_generator', get_ the_generator ($ args), $ args). "\ n";
}

Ajouter un hachage avant 'écho' commande et vous êtes trié.

function the_generator ($ args) {
  #echo apply_filters ('the_generator', get_ the_generator ($ args), $ type). "\ n";
}

14. Une bonne sécurité WordPress nécessite de bonnes autorisations de fichier

La règle d'or est 755 pour les répertoires et 644 pour les fichiers.

Bien que cela puisse varier en fonction du serveur et du type de fichier en question, dans la plupart des cas, vous devriez très bien travailler avec ces autorisations.

Il serait préférable de demander à votre hôte de vérifier, ou si vous avez un accès direct, vous pouvez le faire vous-même.

Pour les répertoires:

trouver / chemin / vers / votre / wordpress / install / -type d -exec chmod 755 {} \;

Pour les fichiers:

trouver / chemin / vers / votre / wordpress / install / -type f -exec chmod 644 {} \;

15. Sécurité du site Web: ne définissez jamais les autorisations de fichier sur 777

Si vous voulez vraiment arrêter les pirates WordPress, ne définissez JAMAIS l'autorisation de fichier/répertoire sur 777 unless vous voulez en donner le contrôle total à tout le monde, y compris aux pirates.

Il y a une tendance très dangereuse parmi les débutants à définir les permissions de fichiers sur 777, «parce que c'est facile», ou «parce que nous allons le réparer plus tard», ou «parce que je le changerai plus tard».

C'est extrêmement dangereux - 777 signifie que n'importe qui sur Internet peut modifier le contenu de ce fichier.

Avec ces autorisations définies, votre site Web est une journée portes ouvertes. Une fois qu'ils ont accès à un fichier, soyez assuré qu'il est très facile de passer à d'autres fichiers ou d'installer des portes dérobées et d'autres éléments désagréables sur votre site.

Le Le codex WordPress a un guide complet des autorisations de fichiers: comment les modifier et les autorisations recommandées pour certains fichiers.

Vous devez trouver un équilibre entre la sécurisation de votre site Web et la fonctionnalité, alors commencez doucement et augmentez progressivement les autorisations jusqu'à ce que vous ayez raison. Les bonnes autorisations de fichiers aideront sûrement à éviter le piratage de sites Web. Encore une fois, c'est l'un des problèmes de sécurité WordPress les plus faciles à éviter, il vous suffit d'en être conscient.

16. Autorisez l'accès à l'administrateur WP et connectez-vous à votre adresse IP uniquement via le filtrage IP

Le filtrage IP est un moyen très simple et élégant de restreindre l'accès à la page de connexion et à la zone d'administration.

Tout ce que vous avez à faire est d'ajouter ce code à .htaccess. Cette suggestion vient avec grâce à Sucuri, qui fournit un excellent service de sécurité WordPress


Commander Refuser, Autoriser
Refuser de tous
Autoriser de [Ajoutez votre (vos) adresse (s) IP ici]

Maintenant, cela ne fonctionne que pour les adresses IP statiques, mais vous pouvez faire de même pour les adresses IP dynamiques avec ça:


Commander Refuser, Autoriser
Refuser de tous
Autoriser de [Ajoutez votre nom de domaine ici]

Pour restreindre l'accès à répertoire wp-admin, ajoutez ceci à .htaccess :


Commander Refuser, Autoriser
Refuser de tous
Autoriser de [Ajoutez votre (vos) adresse (s) IP ici]

Par nom de domaine:


Commander Refuser, Autoriser
Refuser de tous
Autoriser de [Ajoutez votre nom de domaine ici]

La source: blog.Sucuri.net

17. Plugins de sécurité pour bloquer les hacks WordPress

Bien que nous n'ayons pas tendance à préconiser l'utilisation de nombreux plugins, quand il s'agit de Plugins de sécurité WordPress, il y en a que vous voudrez peut-être vraiment installer pour augmenter la résilience de votre site.

Plugins de sécurité Wordress

  • iThemes Security Pro - Écoutez, la plupart des actions ci-dessus sont un peu techniques, cela ne fait aucun doute. Nous comprenons cela. Si vous n'êtes pas techniquement enclin, nous avons la solution pour vous. iThemes Security est le meilleur plugin de sécurité WordPress pour sécuriser et protéger votre site Web.

  • installer Plug-in WP Security Audit Log - c'est le plugin de journal d'activité WordPress le plus complet. Le plugin garde une trace de tout ce qui se passe sur votre site Web WordPress dans un journal d'audit (aka Journal d'activité WordPress) afin que vous gardiez les pirates à distance. En effet, vous pouvez identifier leurs tentatives d'attaque avant qu'elles ne piratent réellement votre site Web WordPress, ayant ainsi le temps de contrecarrer leurs actions malveillantes. Visionneuse du journal d'audit 

Authentificateur Google et Authentification Duo à deux facteurs sont d'excellents choix pour ajouter une couche de protection supplémentaire sur votre page de connexion. Un code d'autorisation sera envoyé à votre email / mobile, sans lequel l'utilisateur / hacker ne pourra pas se connecter.

Y a-t-il quelque chose de mieux qu'un bon barbecue? Ce plugin bloquera les chaînes d'URI contenant eval (base 64 et autres chaînes de requête étrangement longues.

Vérifiez votre thème pour les logiciels malveillants et les portes dérobées cachées avec ce plugin avant que quelqu'un n'exploite ces faiblesses dans un site / blog par ailleurs sécurisé.

  • Plugins antivirus

Celui-ci est une évidence. Effectuez des analyses fréquentes du site et supprimez-les avant qu'elles ne s'installent. Plugins / services comme SucuriWordfence, etc. Acunetix Secure WordPress mentionné précédemment est un autre bon. Scanner d'exploit vérifiera également votre site à la recherche de codes malveillants.

Si vous êtes intéressé, nous avons écrit une excellente comparaison sur Sucuri contre Wordfence qui compare ces deux grands garçons en tête-à-tête.

Envoyez-moi la liste de contrôle de sécurité WordPress

La liste de contrôle essentielle à la sécurité complète du site Web - version YouTube

Merci à Webucator, un fournisseur de Formation WordPress, nous avons créé cette liste de contrôle sous forme de vidéo.

DNutpR5VpT0

Notre prochaine partie de cet article traite de la résolution d'un piratage de sécurité WordPress, une fois que cela s'est produit.

Site Web piraté? 7 étapes pour restaurer complètement votre site Web

Sucuri publie un rapport sur les tendances des sites Web piratés pour chaque trimestre. Dans leurs dernier rapport, ils ont révélé que diverses versions de WordPress alimentaient 94% des sites piratés en 2019

Les sites WordPress piratés restent un réel problème. Étant la plate-forme la plus populaire pour la création de sites Web, la possibilité de se faire pirater est nettement plus élevée pour les sites WordPress.

Cela n'est pas surprenant puisque WordPress est de loin la plus grande plate-forme pour créer de nouveaux sites Web. Tant que WordPress restera populaire, les pirates continueront à trouver rentable de rechercher des vulnérabilités dans les sites WordPress. C'est vraiment un jeu de nombres.

Et peu importe les mesures préventives que vous prenez; il est impossible de garantir la sécurité parfaite pour aucun site Web. Ce que vous pouvez faire, c'est rendre le piratage plus difficile afin que ceux qui recherchent des fruits à portée de main ne se dérangent pas ou ne parviennent pas à le pirater.

Dans ce tutoriel, nous allons vous présenter 7 étapes à suivre pour réparer un site WordPress piraté.

Avant de commencer la procédure, découvrons ce qui cause le problème en premier lieu. En général, il existe deux types de vulnérabilités:

  1. Vulnérabilités courantes et
  2. Vulnérabilités de sécurité.

Examinons de plus près chaque type. Les deux types peuvent être exploités par des pirates.

Avant de commencer - la restauration d'un site Web piraté ne peut pas être entreprise par des personnes sans connaissances suffisantes. Il est fortement conseillé de demander de l'aide à Les développeurs de WordPress qui sont hautement qualifiés avant d'essayer de le faire si vous n'êtes pas à l'aise pour bricoler.

Vulnérabilités courantes qui entraînent des sites WordPress piratés

Les vulnérabilités courantes peuvent provenir de votre machine locale ou du fournisseur d'hébergement. La plupart d'entre nous connaissent probablement ces types de problèmes.

Ces problèmes peuvent survenir si votre PC ou votre réseau local est compromis. Lorsque les pirates ont accès à votre PC ou au réseau, ils peuvent facilement cibler un site Web que vous possédez - le résultat étant un site WordPress compromis ou piraté.

Vous pouvez éviter ces situations en utilisant des outils d'analyse antivirus et anti-programme malveillant fiables. Vous devez faire preuve de bon sens lorsque vous utilisez Internet. Comodo et les logiciels malveillantsbytes ont quelques conseils pratiques pour protéger votre PC contre les pirates. La plupart d'entre eux relèvent du bon sens si vous y réfléchissez, comme la mise à jour du logiciel pour votre ordinateur de bureau et vos périphériques tels que votre routeur Internet. 

utiliser un antivirus

Le deuxième type de vulnérabilité peut provenir de votre fournisseur d'hébergement, en particulier si vous utilisez un package d'hébergement partagé. Comme vous le savez peut-être, un package d'hébergement partagé partage le serveur entre de nombreux utilisateurs.

Si l'un de ces utilisateurs ne suit pas les meilleures pratiques, l'ensemble du serveur est gravement menacé. Bien sûr, dans un scénario d'hébergement partagé, il est très peu probable que tous les utilisateurs utilisent de bonnes pratiques de sécurité, de sorte que les packages d'hébergement partagé sont, par définition, risqués.

Dans certains cas, un site dans un package d'hébergement partagé est compromis, et cela permet au pirate de se déplacer latéralement ou de sauter vers d'autres sites sur le même serveur. Dans ce cas, vous devez consulter votre fournisseur d'hébergement et il prendra les mesures nécessaires.

Cela signifie que même si votre site est entièrement mis à jour et protégé, vous pouvez toujours vous retrouver avec un site WordPress piraté.

Incidemment, si vous recherchez un fournisseur d'hébergement très sécurisé, vous devriez sérieusement envisager de lire notre Revue de l'hébergement InMotion - nous nous sentons très bien protégés sur ce service.

Maintenant que nous avons identifié les vulnérabilités courantes, examinons les aspects de sécurité.

Piraté à travers des vulnérabilités

Il existe plusieurs types de vulnérabilités de sécurité pour WordPress. Nous parlerons de ceux qui sont les plus courants:

Faibles combinaisons nom d'utilisateur / mot de passe

Nous ne devrions pas avoir à vous parler de l'importance d'utiliser un mot de passe sécurisé. Depuis la version 3.0, WordPress lui-même s'est davantage attaché à obliger les utilisateurs à utiliser un mot de passe fort, par exemple, il existe une fonction de détection de la force du mot de passe intégrée dans le tableau de bord d'administration.

La règle de base est que vous ne devez jamais utiliser de nom d'utilisateur prévisible (tel que admin) et toujours utiliser des mots de passe forts. Cela rendra plus difficile pour les pirates d'accéder à votre site.

Bogues et vulnérabilités du thème / plugin 

Bien qu'il soit recommandé d'utiliser des thèmes et des plugins familiers, les produits populaires peuvent parfois avoir un faille de sécurité cachée trop. Si cela se produit, vous en entendrez probablement parler sur les blogs d'actualités informatiques populaires et d'autres sources d'informations sur la sécurité WordPress.

Cependant, vous serez probablement plus en sécurité si vous vous assurez que vous n'utilisez que des thèmes ou des plugins de confiance, car vous pourrez rapidement mettre à jour vers une version corrigée. Consultez les avis, les notes, le nombre de téléchargements, etc. pour analyser la fiabilité.

et ne gardent jamais utiliser des thèmes ou des plugins piratés ou annulés. Il est un fait connu que la plupart d'entre eux contiennent du code nuisible, qui crée une porte dérobée sur votre site. C'est littéralement un moyen d'avoir une commande à distance complète de votre site.

En réalité, si vous utilisez un thème ou un plugin fissuré, piraté ou annulé, votre site Web est DÉJÀ piraté. Vous utiliserez un site qui commencera soudainement à faire des choses étranges telles que l'affichage de liens douteux, la distribution de logiciels malveillants ou même de faire partie d'attaques DDoS.

Ce que vous pensez être gratuit vous coûtera beaucoup plus cher que prévu.

Ne pas mettre à jour WP core, thèmes ou plugins

L'utilisation d'une version obsolète du noyau, des thèmes ou des plugins WordPress est une autre raison majeure des violations qui entraîneront des sites Web piratés. La plupart des mises à jour incluent un code qui corrige la sécurité et les performances de votre site Web. Par conséquent, il est nécessaire de mettre à jour votre site Web, vos thèmes et vos plugins dès qu'ils sont disponibles. Assurez-vous d'effectuer une sauvegarde complète du site avant la mise à jour.

Que faire lorsque votre WordPress est piraté?

Même si vous avez peut-être pris des mesures pour atténuer les risques, vous avez peut-être encore été victime de piratage WordPress.

Ne paniquez pas et suivez les étapes décrites ci-dessous.

1. Identifiez le type de piratage

La solution pour récupérer votre site dépend du type de piratage WordPress. Cela signifie que la première étape consiste à définir le type.

détecter le type de piratage

Voici les questions que vous devriez vous poser pour ce faire:

  • Pouvez-vous accéder à la section d'administration?
  • Votre site est-il redirigé vers un autre site?
  • Y a-t-il des liens inconnus sur votre site?
  • Google avertit-il les visiteurs de votre site?
  • Votre hébergeur vous a-t-il informé que votre site semblait suspect?
  • Votre site affiche-t-il des publicités inconnues dans l'en-tête, le pied de page ou d'autres sections?
  • Y a-t-il des fenêtres contextuelles indésirables affichées?
  • Y a-t-il un pic inattendu d'utilisation de la bande passante?

Parcourez les questions une par une et essayez de trouver les réponses pour chacune d'elles. Cela vous aidera à trouver la meilleure solution pour reprendre le contrôle de votre site WordPress piraté.

2. Essayez de restaurer à partir de la sauvegarde

Si vous suivez les meilleures pratiques, vous devriez avoir des sauvegardes quotidiennes, hebdomadaires ou mensuelles de votre site. La fréquence de sauvegarde dépend de la fréquence à laquelle vous publiez ou modifiez votre site Web.

Lorsque vous effectuez des sauvegardes régulières, retrouver votre site WordPress piraté est aussi simple que de restaurer la dernière sauvegarde. Si vous avez mis en place une planification de sauvegarde automatique, recherchez la dernière sauvegarde avant le piratage de votre site et restaurez cette version.

restaurer à partir de sauvegardes

Vous devez ensuite vous assurer que vous mettez à jour tous les plugins, thèmes ou tout ce qui n'a pas été mis à jour.

Et si vous ne sauvegardiez pas votre site? Cela signifie-t-il que vous avez perdu votre site pour toujours?

Non en fait.

Il existe également d'autres options. La plupart des services d'hébergement réputés conservent des sauvegardes régulières de leurs sites clients. Demandez à votre hébergeur s'il garde une sauvegarde. Si tel est le cas, vous pouvez leur demander de restaurer votre site à partir de la dernière sauvegarde stable.

S'il n'y a pas de sauvegarde, vous devrez passer par une procédure de nettoyage de votre site WordPress piraté que nous montrons ci-dessous.

3. Demandez l'aide de votre fournisseur d'hébergement

Plus de 40% des sites Web piratés présentaient une faille de sécurité sur la plate-forme d'hébergement. Par conséquent, lorsque vous faites pirater votre WordPress, demander à votre hébergeur de vous aider à récupérer votre site pourrait être une bonne idée.

demander de l'aide à l'hôte

Toute société d'hébergement Web fiable devrait être prête à vous aider dans ces cas. Ils emploient des professionnels qui font face à ces situations au quotidien. Ils connaissent très bien l'environnement d'hébergement et ont accès à des outils avancés d'analyse de sites Web.

Par conséquent, ils pourront vous aider à récupérer les attaques de piratage de sites Web les plus courantes. Si le piratage provient du serveur, votre hébergeur pourra vous aider à récupérer le site.

4. Recherche de logiciels malveillants

Dans de nombreux cas, les pirates ont accès à votre site Web en utilisant des portes dérobées. Les portes dérobées créent des points d'entrée non autorisés sur votre site Web. Lors de l'utilisation de portes dérobées, les pirates peuvent accéder à votre site Web sans avoir besoin d'informations de connexion et rester pratiquement indétectés.

danger de malware

Voici quelques emplacements courants des portes dérobées dont vous avez besoin pour vérifier si votre site Web a été piraté -

  • Thèmes: La plupart des hackers préfèrent placer la porte dérobée dans l'un de vos thèmes inactifs. En faisant cela, ils auront toujours accès à votre site Web même si vous le tenez régulièrement à jour. C'est pourquoi il est crucial de supprimer tous vos thèmes inactifs.
  • Extensions: Le dossier plugins est un autre endroit potentiel pour cacher le code malveillant. Il y a plusieurs raisons à cela. Tout d'abord, la plupart des gens ne pensent jamais à vérifier les fichiers du plugin. Ils préfèrent également ne pas mettre à jour les plugins tant qu'ils fonctionnent. De plus, il existe des plugins mal codés qui pourraient être exploités pour obtenir un accès non autorisé à n'importe quel site WP.
  • Dossier de téléversement: Dans la plupart des scénarios, vous n'avez jamais à vous soucier de vérifier le dossier des téléchargements car ce dossier ne contient que les fichiers que vous avez téléchargés. Cependant, certains hackers préfèrent ce dossier car ils peuvent facilement masquer le fichier malveillant parmi des centaines ou des milliers de fichiers répartis dans différents dossiers. Comme le dossier est inscriptible, il remplit également leur rôle.
  • Comprend le dossier: Il s'agit d'un autre dossier souvent ignoré par la plupart des utilisateurs. En conséquence, les pirates mettent la porte dérobée dans ce dossier et obtiennent un accès complet à votre site.
  • Fichier wp-config.php: Il est très courant de trouver du code malveillant caché dans ce fichier. Cependant, comme le fichier est très connu, les pirates sophistiqués évitent d'utiliser ce fichier. 

Vous n'aimez pas vous salir les mains avec des scripts malveillants? Essayer iThemes security et laissez-le faire le sale boulot.

Le seul moyen de se débarrasser de la porte dérobée est de supprimer le code malveillant du site Web. Il existe plusieurs plugins qui vous permettent d'analyser votre site Web à la recherche de code malveillant.

Parmi eux, les plugins premium suivants sont d'excellents choix:  iThemes SecuritySucuri SécuritéDéfenseur de WPMUDev sont d'excellentes options.

Ce qui suit sont également de bonnes options, mais sachez que les deux n'ont pas été mis à jour depuis plus de 3 ans à compter de la mise à jour de cet article. Cela signifie qu'ils ne sont peut-être pas aussi fiables qu'ils l'étaient auparavant:  Scanner d'exploitainsi que  Vérificateur d'authenticité du thème.

Vous pouvez utiliser ces plugins gratuits pour détecter tout changement indésirable dans les thèmes, les plugins et les fichiers principaux de votre site Web. Cependant, si vous souhaitez vraiment réparer votre site, nous vous recommandons vivement d'opter pour l'un des produits premium. 

Ils seront plus à jour et plus fiables en général que n'importe lequel des produits gratuits.

plugin de sécurité sucur

Si les plugins trouvent un fichier suspect, effectuez une sauvegarde complète et supprimez le fichier ou voyez la marche à suivre suggérée par le plugin. De plus, si vous effectuez une sauvegarde, assurez-vous de noter que vous effectuez une sauvegarde d'un site piraté.

Et si un thème ou un plugin est compromis, supprimez-le de votre site. Téléchargez la dernière copie et téléchargez-la sur votre site Web.

Dans le cas où le changement est détecté dans l'un des fichiers principaux, vous devez télécharger une nouvelle installation de WordPress et effectuer une mise à jour manuelle (c'est-à-dire écraser tous les fichiers par les nouveaux).

Vous pouvez également télécharger une nouvelle copie de la version de WordPress que vous êtes actuellement et ne remplacer que les fichiers compromis.

5. Vérifiez les utilisateurs de WordPress

Il est probable que vous ayez plusieurs utilisateurs sur votre site Web. Comme vous le savez déjà, ils ont des capacités différentes en fonction de leur rôle d'utilisateur.

Parfois, les pirates WordPress créent un nouvel utilisateur avec les autorisations nécessaires pour pouvoir se connecter à votre site même s'ils perdent la porte dérobée.

Ou ils peuvent en fait utiliser un nom d'utilisateur avec un mot de passe faible pour pirater votre site Web.

Pour éviter que cela ne se produise, accédez à Paramètres> Utilisateurs depuis le tableau de bord. Passez en revue tous les utilisateurs et leurs rôles. En outre, réinitialisez TOUS les mots de passe de TOUS les utilisateurs.

Plus important encore, assurez-vous qu'aucun compte non autorisé ne dispose du rôle d'administrateur. En cas de comptes douteux, supprimez-les instantanément. S'ils sont des utilisateurs valides, vous pouvez toujours recréer les comptes plus tard.

Voici quelques autres bonnes pratiques à suivre:

6. Changer les clés secrètes

Les clés secrètes sont une fonctionnalité de sécurité pratique de WordPress.

Ces clés contiennent du texte généré aléatoirement qui aide à crypter les informations enregistrées dans les cookies. Vous devez utiliser la procédure ci-dessous pour vérifier si vous les avez sur votre site. Si vous ne les avez pas, vous pouvez les créer.

Même si vous les avez déjà, si votre site a été piraté, c'est maintenant le bon moment pour les changer.

Tout d'abord, générez un ensemble de clés secrètes en utilisant ce lien. Le générateur de code aléatoire créera un nouvel ensemble de codes uniques à chaque fois que vous actualiserez la page.

Maintenant, allez sur votre site Web et ouvrez le wp-config.php déposer. Dirigez-vous vers la ligne 49 et vous verrez quelque chose comme ce qui suit. Le numéro de ligne peut varier sur votre fichier, mais vous devez trouver la section suivante:

clés de sécurité wordpress

Copiez et collez la valeur de celles que vous venez de générer dans le lien ci-dessus. Enregistrez le fichier. Cela réinitialisera tous les cookies et tous les utilisateurs connectés, donc si vous étiez connecté à l'administrateur, vous serez invité à vous reconnecter.

7. Changez TOUS vos mots de passe

Il s'agit d'une étape courante mais critique dans la restauration d'un site Web WordPress piraté - réinitialisez tous vos mots de passe. Les mots de passe courants incluent WP admin, cPanel, MySQL, FTP, etc.

Réinitialisez tous ces mots de passe ainsi que les mots de passe de tout service tiers que vous utilisez sur le site Web. 

Voici comment changer les mots de passe:

  • Pour modifier le mot de passe, accédez à Utilisateurs> Votre profil depuis le tableau de bord. Vous trouverez le nouveau champ de mot de passe dans la section «Gestion de compte».
  • Pour changer les mots de passe cPanel, MySQL, FTP, connectez-vous au panneau de contrôle de votre compte d'hébergement et suivez les options disponibles. Si vous êtes confus, contactez le support d'hébergement pour obtenir de l'aide.

Lors de la réinitialisation ou de la modification des mots de passe, assurez-vous que vous utilisez maintenant un mot de passe fort. Vous devez également forcer vos utilisateurs existants à effectuer une réinitialisation de mot de passe pour leurs comptes.

Vous pouvez utiliser le plugin Réinitialisation d'urgence du mot de passe pour forcer la réinitialisation du mot de passe pour tous les utilisateurs.

vérificateur de force de mot de passe wordpress

 

Étapes futures pour éviter d'être piraté

Bien que les étapes mentionnées ci-dessus vous aideront à restaurer votre site Web, vous devez considérer cela comme un signe d'avertissement. Voici quelques étapes importantes à suivre pour vous assurer que votre site reste protégé à l'avenir contre toute autre tentative de piratage WordPress:

Créer une planification de sauvegarde

Comme vous le savez maintenant, il est crucial d'avoir des sauvegardes régulières de votre site Web. Les sauvegardes peuvent vous sauver si votre site a été piraté. Les sauvegardes multiples sont encore meilleures, car elles vous permettraient de remonter dans le temps à un instantané du site avant le piratage.

Capture d'écran updraftvault

 

Heureusement, vous n'êtes pas obligé de le faire manuellement. Il existe de nombreux plugins gratuits et premium pour vous aider à conserver des sauvegardes régulières de votre site. UpdraftPlus est un plugin de sauvegarde populaire, tandis que BackupBuddy et Jetpack sont des solutions de sauvegarde premium hautement recommandées.

Tout mettre à jour

Nous supposons que nous n'avons pas à insister sur l'importance de maintenir votre site à jour. Vous devez mettre à jour le noyau WordPress, les thèmes actifs, les plugins et tout ce que vous avez la possibilité de mettre à jour. Dans le même temps, assurez-vous de supprimer également les thèmes et plugins inutilisés.

Configurer un plug-in de sécurité

Si vous souhaitez améliorer la sécurité de votre site Web, vous devez utiliser un plugin de renforcement comme iThemes Security, Wordfence Security ou Defender. Ces plugins vous aident à créer un pare-feu afin que vous puissiez empêcher le trafic malveillant, bloquer les attaquants et gérer d'autres menaces. Vous pouvez également envisager d'installer un pare-feu d'application Web complet comme le pare-feu Sucuri.

Envisagez un hébergement géré

Lorsque vous choisissez un hébergement géré, ils gèrent la sécurité, la maintenance, les performances et d'autres problèmes de votre site Web. Cela signifie que vous n'aurez pas à vous soucier de toutes ces étapes. Certains fournisseurs d'hébergement géré fiables incluent InMotion, WPEngine, et Kinsta.

Limit Login Attempts 

Par défaut, WordPress permet à quiconque d'essayer des mots de passe illimités pour n'importe quel compte. Cela conduit à des attaques par force brute et à d'éventuelles vulnérabilités du site. Heureusement, il existe des plugins gratuits comme Connexion LockDown et Sécurité du loginizer pour vous aider à limiter les tentatives de connexion.

Désactiver l'exécution PHP 

Dans la plupart des cas, les pirates créent des portes dérobées en créant des fichiers PHP qui ressemblent à des fichiers de base. Vous pouvez prévenir ces menaces en désactivant l'exécution de PHP dans les répertoires appropriés, comme les dossiers de téléchargement et d'inclusion. Voici un tutoriel pas à pas pour faire ça.

Ajouter un mot de passe supplémentaire pour l'administrateur

Une autre astuce pratique pour assurer la sécurité de votre site consiste à utiliser un mot de passe supplémentaire pour accéder à la section d'administration. C'est très facile à faire dans cPanel. Suivre ce tutoriel pour ajouter le mot de passe dans votre administrateur WP.

Vous préférez la vidéo? Regardez cette vidéo de Sucuri

Si vous avez le temps de parcourir la vidéo suivante qui peut vous aider à identifier les sites WordPress piratés et comment les corriger. Nous avons mentionné Sucuri à quelques reprises dans cet article, cette vidéo de Sucuri est une vue assez complète des sites piratés.

a6UwUU-3B3w

Derniers mots: comment réparer votre site Web piraté

Être victime d'un site WordPress piraté est une expérience horrible, surtout si c'est la première fois. Cependant, maintenant que vous avez lu cet article, vous devriez avoir une idée claire des étapes nécessaires pour récupérer votre site Web piraté.

N'hésitez pas à ajouter et partager cet article à vos favoris afin que les autres puissent également connaître les étapes.

Conclusion

Si vous êtes confus, optez simplement pour une solution d'hébergement géré et laissez quelqu'un d'autre s'en occuper à votre place.

Ce n'est que le début. Au fur et à mesure que le Web continue d'évoluer, les pirates informatiques et leurs tentatives d'infiltrer votre site et de vous expulser le feront également. Gardez une longueur d'avance en en apprenant plus sur votre CMS convivial et en vous tenant au courant des mises à jour et en restant au courant de la sécurité de WordPress - cela vous assurera à coup sûr d'éviter le piratage de site Web.

Restez en sécurité.

Besoin d'aide pour nettoyer votre site Web? Essayez ces concerts abordables les mieux notés sur Fiverr!

logo fiverr

Cliquez ici pour trouver des experts sur WordPress sécurité.

Cliquez ici créer un site WordPress complet.

 

A propos de l'auteur
David Attard
Auteur: David AttardSite Web : https://www.linkedin.com/in/dattard/
David travaille dans ou autour de l'industrie en ligne / numérique depuis 18 ans. Il possède une vaste expérience dans les industries du logiciel et de la conception Web utilisant WordPress, Joomla et les niches qui les entourent. En tant que consultant numérique, son objectif est d'aider les entreprises à obtenir un avantage concurrentiel en utilisant une combinaison de leur site Web et des plates-formes numériques disponibles aujourd'hui.

Encore une chose ... Saviez-vous que les personnes qui partagent des informations utiles comme cet article ont l'air géniales aussi? ;-)
Si vous voulez, vous pouvez laisser un incontournable commentez vos pensées, puis partagez-les sur votre ou vos groupes Facebook qui trouveraient cela utile et récoltons ensemble les avantages. Merci d'avoir partagé et d'être gentil!

Divulgation: Cette page peut contenir des liens vers des sites externes pour des produits que nous aimons et que nous recommandons sans réserve. Si vous achetez des produits que nous suggérons, nous pouvons percevoir des frais de parrainage. Ces frais n'influencent pas nos recommandations et nous n'acceptons pas les paiements pour les avis positifs.

Auteur (s) présenté sur:  Logo du magazine Inc   Logo Sitepoint   Logo CSS Tricks    logo webdesignerdepot   Logo WPMU DEV   et beaucoup plus ...