15 façons d’empêcher votre blog WordPress d’être piraté

Il y a de cela plusieurs années un de mes sites sous wordpress a été piraté. C’était drôle; le fichier index avait été modifié et contenait l’adresse d’une image avec un texte disant « Vous avez été piraté? » J’étais content que le hacker ait laissé son adresse email pour le remercier de se moquer de la sécurité de mon site,

Ce type n’a même pas touché la base de données; il n’a même pas injecté de virus. J’ai trouvé que c’était bizarre mais après avoir vérifié chaque fichier, j’ai trouvé qu’ils étaient tous propres.

J’étais tellement impliqué dans d’autres projets que je n’ai pas prêté beaucoup d’attention à la sécurité, qui est en fait la chose la plus importante ici. Si ce mec n’avait pas violé ma sécurité, je n’aurais pas su qu’il était vulnérable et n’aurait donc pas pris la peine d’agir. Quoi qu’il en soit, je lui ai envoyé une note de remerciement 😉

Aujourd’hui, j’ai décidé d’écrire un post sur comment j’ai fait ce que j’ai fait: renforcer la sécurité de mon blog wordpress pour éloigner les hackers . Certains réglages de base peuvent aider à protéger tout votre contenu durement gagné. Consultez les conseils suivants pour éviter le piratage de votre site/blog sous WordPress.

 

15 conseils pour empêcher votre WordPress de se faire Hacker

1. Sauvegarde

C’est le premier pas et le plus important. Avant de procéder à des modifications, assurez-vous de sauvegarder la totalité de votre base de données. Vous pouvez le faire manuellement ou utiliser un plugin disponible.

Contrairement aux plugins gratuits qui ne font que sauvegarder votre base de données, backup buddy exporte toute votre base de données avec des images, des fichiers et tout ce que vous avez dans le dossier de contenu de votre blog.

Mais assurez-vous de le télécharger directment depuis le store de WordPress pour éviter des surprises

Lire aussi: Le plug-in Captcha de WordPress a été récemment mis à jour avec une faille de sécurité

 

2. Mettre à jour la version WordPress

Deuxième étape cruciale après la sauvegarde de votre blog est de le mettre à jour vers la dernière version stable. Vous devriez toujours vous assurer que la version de votre blog est à jour. L’équipe WordPress crée des correctifs pour aider à corriger les failles de sécurité. Suivez wordpress feed pour connaître les dernières mises à jour ou vous pouvez simplement vous connecter à votre Tableau de bord admin.

Je vous recommande également de suivre WordPress Development et BlogSecurity car ils vous informeront chaque fois qu’un nouveau patch / correctif est publié.

• Développement WordPress
• BlogSecurity.net

 

3. Changez votre identifiant / mot de passe

Le login wordpress par défaut est « admin » et la plupart des hackers le savent. Nous devrions changer cela en quelque chose d’autre qui serait difficile à deviner. Quelque chose comme « dessozak78 » ou « katerpilar-44 » est un bon exemple. La meilleure chose à faire est de supprimer l’administrateur par défaut et de créer un nouveau login personnalisé.

Je suggère que vous utilisiez des mots de passe forts qui comprennent des touches supérieures / inférieures, des chiffres et des symboles. Quelque chose comme « rockSTAR19! @ » Ou « Anabel2 @! » Est un bon exemple de mot de passe fort.

La plupart des pirates essaient de forcer le mot de passe, donc si votre mot de passe est vraiment fort comme je l’ai mentionné plus tôt, ça devrait aller.

N’utilisez pas les jours de naissance, les noms, les noms de familiers ou les passe-temps comme mots de passe. Les gens qui sont proches de vous en savent un peu plus sur vous;

 

4. Clés WordPress dans wp-config.php

Je ne savais pas grand-chose sur les touches wordpress mais c’est une autre mesure de sécurité importante. Ces touches fonctionnent comme des sels pour les cookies WordPress, assurant ainsi un meilleur cryptage des données de l’utilisateur.

Utilisez le Générateur de Clé WordPress pour générer ces clés. Maintenant, ouvrez votre wp-config.php, trouvez les lignes qui ressemblent à ci-dessous et remplacez simplement par celles qui sont générées:

define (‘AUTH_KEY’, ‘mettez votre phrase unique ici’);
define (‘SECURE_AUTH_KEY’, ‘mettez votre phrase unique ici’);
define (‘LOGGED_IN_KEY’, ‘mettez votre phrase unique ici’);
define (‘NONCE_KEY’, ‘mettez votre phrase unique ici’);

Sauvez et vous avez terminé!

 

5. Installez WP Security Scan

Ce plugin est la vraie affaire. C’est simple et automatise les choses. Il va scanner votre blog wordpress pour les vulnérabilités et vous informer s’il trouve des codes malveillants, etc. Si les textes sont en vert dans le panneau d’administration alors vous devriez être bon. Cependant, ils ne seront pas seulement verts; parfois vous devez les faire :). Et je vais vous dire comment.

 

6. Modifier la table de préfixe

Le préfixe de table par défaut pour wordpress est wp_. Je le sais, vous le savez et je suis sûr que le hacker aussi. Les attaques par injection SQL sont plus faciles avec le préfixe de table par défaut car il est plus facile à deviner. Un bon préfixe serait « mashjg23_ » ou « sasdoe265_ ». Changer votre préfixe de table de base de données est fortement recommandé et vous pouvez le faire de deux façons. La manière manuelle exige un peu de travail et ne convient pas pour le débutant; Voici quand WP Security Scan Plugin rend votre travail beaucoup plus facile. Il a un onglet appelé « Base de données ». Une fois que vous y êtes, vous avez la possibilité de renommer votre préfixe de table entier en quelque chose de difficile à deviner. Faites cela et vous serez un pas de plus vers le renforcement de la sécurité de votre blog.

 

 

7. Empêcher WordPress Hack en bloquant les robots des moteurs de recherche d’indexer la section d’admin

Les robots des moteurs de recherche rampent sur l’ensemble de votre blog et indexent tous les contenus à moins qu’ils ne leur disent de ne pas le faire. Nous ne souhaitons pas indexer la section admin car elle contient toutes les informations sensibles. Le moyen le plus simple d’empêcher les robots d’indexation du répertoire admin est de créer un fichier robots.txt dans votre répertoire racine. Puis placez le code suivant dans le fichier:

#
User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins/
Disallow: /wp-content/cache/
Disallow: /wp-content/themes/
Disallow: */trackback/
Disallow: */feed/
Disallow: /*/feed/rss/$
Disallow: /category/*

 

8. Protégez votre .htaccess

.htaccess (accès hypertexte) est le nom par défaut des fichiers de configuration au niveau de l’annuaire qui permettent une gestion décentralisée de la configuration lorsqu’ils sont placés dans l’arborescence Web. Les fichiers .htaccess sont souvent utilisés pour spécifier les restrictions de sécurité pour le répertoire particulier. Ce n’est pas une astuce exacte qui tombe sous la liste, mais vous devriez savoir sur. Htaccess parce que vous pouvez faire beaucoup avec ce fichier pour éviter le piratage wordpress. Je ne vais pas aller en profondeur pour ce terme, mais j’ai découvert quelques tutos pour votre .htaccess qui peuvent renforcer votre sécurité wordpress. Voir les ci-dessous

Après avoir modifié votre .htaccess pour protéger votre blog contre les pirates, vous ne pouvez pas laisser le .htaccess s’ouvrir aux attaques. L’astuce ci-dessous empêche l’accès externe à n’importe quel fichier avec .hta. Placez simplement le code dans le fichier .htaccess racine de votre domaine.

# STRONG HTACCESS PROTECTION</code>
<Files ~ "^.*\.([Hh][Tt][Aa])">
order allow,deny
deny from all
satisfy all
</Files>

 

9. Aucune navigation de répertoire

Ce n’est pas une bonne idée de permettre à vos visiteurs de parcourir l’ensemble de votre répertoire. C’est un moyen facile de se renseigner sur les structures de répertoires, ce qui permet aux pirates de détecter plus facilement les failles de sécurité.

Afin d’arrêter cela, ajoutez simplement le morceau de 2 lignes dans votre fichier .htaccess dans le répertoire racine de votre blog WordPress.

# disable directory browsing
Options All -Indexes

 

10. Sécuriser wp-config.php

Wp-config.php est important car il contient toutes les données sensibles et la configuration de votre blog et nous devons donc le sécuriser via .htaccess. Ajouter simplement le code ci-dessous au fichier .htaccess dans le répertoire racine peut faire l’affaire

# protect wp-config.php
<files wp-config.php>
Order deny,allow
Deny from all
</files>

Le code refuse l’accès au fichier wp-config.php à tout le monde (y compris vous -:)

 

11. Limiter l’accès au répertoire Wp-Content

Wp-content contient tout. C’est un dossier très important et vous devriez le sécuriser. Vous ne voulez pas que les utilisateurs naviguent et accèdent aux données indésirables / autres. Les utilisateurs ne devraient pouvoir voir et accéder qu’à certains types de fichiers comme les images (jpg, gif, png), Javascript, css et XML.

Placez le code ci-dessous dans le fichier .htaccess dans le dossier wp-content (pas la racine).

Order deny,allow
Deny from all
<Files ~ “.(xml|css|jpeg|png|gif|js)$”>
Allow from all
</Files>

 

12. Protéger les fichiers d’administration WordPress

Wp-admin ne devrait être accessible que par vous et vos collègues blogueurs (le cas échéant). Vous pouvez utiliser .htaccess pour restreindre l’accès et n’autoriser que des adresses IP spécifiques à ce répertoire.

Si vous avez une adresse IP statique et que vous bloguez toujours depuis votre ordinateur, cela peut être une bonne option pour vous. Toutefois, si vous exécutez un blog à plusieurs utilisateurs, vous pouvez soit désactiver cette option, soit autoriser l’accès à partir d’une série d’adresses IP. Vous pouvez vous référer à la documentation d’Apache sur mod_access pour des instructions complètes sur la façon de configurer ceci.

Copiez et collez le code ci-dessous dans le fichier .htaccess dans le dossier wp-admin (pas dans le dossier racine)

# deny access to wp admin
order deny,allow
allow from xx.xx.xx.xx # This is your static IP
deny from all

Le code ci-dessus empêchera l’accès du navigateur à n’importe quel fichier dans ces répertoires autre que « xx.xx.xx.xx » qui devrait être votre adresse IP statique.

 

13. Empêcher l’injection de script

J’ai trouvé ce code sur wprecipes et ça fonctionne bien. Maintenant, vous pouvez protéger votre blog WordPress de l’injection de script, et la modification indésirable de _REQUEST et / ou GLOBALS.

Copiez simplement et collez le code ci-dessous sur votre fichier .htaccess à la racine

# protect from sql injection
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

 

14. Modifier les autorisations de vos vichiers

Prenez bonne note de la permission de vos fichiers avant de les modifier. Wp Security scan montre cela d’une manière agréable; mais vous pouvez le faire manuellemnt.

Parcourez les fichiers spécifiques sur votre racine en utilisant votre client FTP ou votre Tableau de bord préféré et modifiez les autorisation des fichiers si nécessaire.

Le forum reste ouvert pour d’éventuelles questions et suggestions

 

15. Installer un pare-feu

Dernier mais pas des moindres; vous pouvez installer WordPress Firewall 2 qui protège votre blog contre les pirates malveillants. Il bloque les tentatives du pirate et vous avertit lorsqu’il est maltraité. Le seul point négatif de ce plug-in est qu’il bloque parfois même notre action. Cela peut vraiment devenir ennuyeux et je ne recommande pas vraiment ce plug-in, sauf si vous avez de SUPER Hackers et bots qui vous font chier sur votre blog.

Modifiez bien votre fichier .htaccess car il fera le travail plutôt bien et votre blog devrait être très bien.

 

Vous avez ici, le lien d’inscription pour avoir des Hébergements web gratuits