Le Guide de sécurité WordPress Ultimate (étape par étape)

WordPress sécurité est un sujet d’une importance capitale pour tout propriétaire de site Web. Chaque semaine, Google listes noires environ 20,000 sites Internet pour les logiciels malveillants et environ 50.000 de phishing. Si vous êtes sérieux au sujet de votre site Web, vous devez faire attention pour les meilleures pratiques de sécurité de WordPress. Dans ce guide, nous partageons tous le top WordPress sécurité conseils pour vous aider à protéger votre site contre les pirates et les logiciels malveillants.

Improve WordPress Security

logiciel de base tandis que WordPress est très sûr et il est régulièrement audité par des centaines de développeurs, il y a beaucoup qui peut être faite pour durcir votre site WordPress.

qui WordPress, nous croyons que la sécurité n’est pas à peu près élimination de risque. Il s’agit aussi de la réduction des risques. Comme un propriétaire de site Web, il y a beaucoup de choses que vous pouvez faire pour améliorer votre sécurité de WordPress (même si vous n’êtes pas tech savvy).

, nous avons un certain nombre d’étapes une action que vous pouvez prendre pour améliorer votre sécurité de WordPress.

pour le rendre facile, nous avons créé une table des matières pour vous aider à naviguer facilement dans notre guide de sécurité WordPress ultime.

table des matières

les bases de la sécurité WordPress

  • Pourquoi WordPress sécurité est-elle importante ?
  • garder WordPress mis à jour
  • mot de passe et d’autorisations de l’utilisateur
  • le rôle de Web Hosting

sécurité WordPress en étapes simples (pas de codage)

WordPress sécurité pour les utilisateurs DIY

  • changent le nom d’utilisateur « admin » par défaut
  • désactiver l’édition de fichiers
  • désactiver l’exécution des fichiers PHP
  • les tentatives de connexion limite changement WordPress préfixe de base de données
  • mot de passe protègent votre WP-Admin et Login
  • répertoire désactiver l’indexation et la navigation
  • désactiver XML-RPC dans WordPress
  • automatiquement déconnecter les utilisateurs inactifs
  • ajouter des Questions de sécurité à WordPress Login
  • fixant un piraté le Site de WordPress

prêt ? Let’s get started.

Pourquoi Website Security est Important ?

un site WordPress piraté peut causer des dommages graves à votre chiffre d’affaires et de la réputation. Les pirates peuvent voler des informations utilisateur, mots de passe, installer des logiciels malveillants et peut même distribuer de malware pour vos utilisateurs.

le pire, vous pouvez trouver vous-même payer ransomware deux pirates juste pour retrouver l’accès à votre site Web.

Why WordPress Security is Important

en mars 2016, Google a indiqué que plus de 50 millions site utilisateurs ont été avertis sur un site Web qu’ils visitent peut-être contenir des logiciels malveillants ou voler des informations.

en outre, Google listes noires environ 20,000 sites Internet pour les logiciels malveillants et environ 50.000 pour phishing chaque semaine.

Si votre site est une entreprise, vous devez prêter une attention particulière à la sécurité de votre WordPress.

semblable à comment c’est la responsabilité de propriétaires d’entreprise pour protéger leur magasin physique de construction, comme un propriétaire d’entreprise en ligne, c’est votre responsabilité de protéger votre site Web commercial.

[Back to Top ↑]

garder WordPress mis à jour

Keeping WordPress Updated

WordPress est un logiciel open source qui est régulièrement mise à jour. Par défaut, WordPress installe automatiquement les mises à jour mineures. Pour les versions majeures, vous devez lancer manuellement la mise à jour.

WordPress est également livré avec des milliers de plugins et des thèmes que vous pouvez installer sur votre site Internet. Ces plugins et des thèmes sont maintenus par des développeurs tiers qui libèrent régulièrement mises à jour aussi bien.

WordPress ces mises à jour sont essentielles pour la sécurité et la stabilité de votre site WordPress. Vous devez vous assurer que votre noyau WordPress, plugins et thème sont à jour.

[Back to Top ↑]

mots de passe forts et autorisations de l’utilisateur

Manage strong passwords

les plus courantes WordPress piratage tente utilisent des mots de passe volés. Vous pouvez faire que difficile en utilisant des mots de passe plus forts qui sont uniques pour votre site Web. Non seulement pour la zone d’administration WordPress, mais aussi pour les comptes FTP, base de données, compte d’hébergement WordPress et votre adresse e-mail professionnelle.

la principale raison pourquoi les débutants n’aime pas l’utilisation de mots de passe forts est parce qu’ils sont difficiles à mémoriser. La bonne chose est que vous n’avez pas besoin de se rappeler les mots de passe plus. Vous pouvez utiliser un gestionnaire de mot de passe. Consultez notre guide sur la façon de gérer les mots de passe WordPress.

une autre façon de réduire le risque est de ne pas donner un accès à votre compte d’admin de WordPress à moins que vous devez absolument. Si vous avez une grande équipe ou auteurs invités, alors assurez-vous que vous comprenez les rôles d’utilisateur et les fonctionnalités de WordPress avant d’ajouter un nouvel utilisateur et auteurs sur votre site WordPress.

[Back to Top ↑]

le rôle de WordPress hébergement

votre WordPress hébergeur joue le rôle le plus important dans la sécurité de votre site WordPress. Un bon partage hébergeur que BlueHost ou Siteground prendre des mesures supplémentaires pour protéger leurs serveurs contre les menaces communes.

Cependant, sur l’hébergement mutualisé, vous partagez les ressources serveur avec de nombreux autres clients. Cela ouvre le risque de contamination multisite où un pirate informatique peut utiliser un site voisin d’attaquer votre site Web.

à l’aide d’un WordPress géré Hébergeur gratuit d’images fournit une plateforme plus sûre pour votre site Web. WordPress gérés hébergeurs offrent des sauvegardes automatiques, mises à jour automatiques de WordPress et des configurations plus avancées de sécurité pour protéger votre site Web

nous recommandons WPEngine comme notre préféré géré WordPress fournisseur d’hébergement. Ils ont aussi celui plus populaire dans l’industrie. (Voir notre coupon spécial de WPEngine).

[Back to Top ↑]

sécurité WordPress en étapes simples (pas de codage)

, nous savons que l’amélioration de la sécurité de WordPress peut être un terrifiant pensé pour les débutants. Spécialement si vous n’êtes pas irritable. Devinez quoi-vous n’êtes pas seul.

, nous avons aidé des milliers d’utilisateurs de WordPress à renforcer leur sécurité de WordPress.

, nous allons vous montrer comment vous pouvez améliorer la sécurité de votre WordPress en quelques clics (aucun codage requis).

si tu peux pointer-cliquer, vous pouvez le faire !

installer une Solution de sauvegarde WordPress

Install a WordPress backup solution

sauvegardes sont votre première défense contre toute attaque de WordPress. N’oubliez pas, rien n’est sûr à 100 %. Si les sites Web du gouvernement peut être piraté, alors si vôtre peut.

sauvegardes permettent de restaurer rapidement votre site WordPress, dans le cas où une mauvaise chose devait arriver.

il existe de nombreux gratuits et payants WordPress sauvegarde plugins que vous pouvez utiliser. La chose la plus importante que vous devez savoir en ce qui concerne les sauvegardes, c’est que vous devez enregistrer régulièrement des sauvegardes full-site vers un emplacement distant (pas votre compte d’hébergement).

, nous vous recommandons de stocker sur un service cloud comme Amazon, Dropbox ou des clouds privés comme cachette.

se fondant sur la fréquence à laquelle vous mettez à jour votre site Internet, le cadre idéal peut être soit une fois par jour, soit des sauvegardes en temps réel.

Heureusement cela peut être facilement fait en utilisant des plugins comme VaultPress ou BackupBuddy. Ils sont fiables et surtout facile à utiliser (aucun codage requis).

[Back to Top ↑]

meilleur sécurité WordPress Plugin

après les sauvegardes, la prochaine chose que nous devons faire est de configurer une vérification et surveillance système qui garde la trace de tout ce qui se passe sur votre site Internet.

Ceci inclut l’intégrité des fichiers de surveillance, les tentatives de connexion qui ont échoué, malware scan, etc.

heureusement, cela peut être tous pris en charge par le meilleur gratuit plugin WordPress sécurité, Sucuri Scanner.

vous devez installer et activer le plugin gratuit de Sucuri sécurité. Pour plus de détails, veuillez consulter notre guide étape par étape sur comment installer un plugin WordPress.

lors de l’activation, vous devez aller dans le menu de Sucuri dans votre admin de WordPress.

Sucuri Admin Menu

la première chose que vous aurez à faire est de générer une clé API gratuite. Cela permet l’enregistrement d’audit, vérification de l’intégrité, alertes par e-mail et les autres caractéristiques importantes.

Sucuri Generate Free API

, la prochaine chose que vous devez faire est cliquez sur l’onglet de durcissement dans le Menu de Sucuri. Passer par toutes les options et cliquez sur le bouton « Harden ».

Sucuri Hardening

ces aide options vous verrouiller les domaines clés que les pirates utilisent souvent dans leurs attaques. La seule option qui est une mise à jour payante de durcissement est le Firewall applicatif que nous expliquerons à l’étape suivante, donc l’ignorer pour l’instant.

que nous avons vu aussi un grand nombre de ces « durcissement » des options plus loin dans cet article pour ceux qui veulent le faire sans utiliser un plugin ou ceux qui nécessitent des étapes supplémentaires comme « Base de données de table Prefix, changer » ou « Change the Admin Username ».

après la fête de durcissement, la plupart des paramètres par défaut de ce plugin sont bons et n’a pas besoin de changer. La seule chose que nous vous recommandons de personnalisation est les alertes Email.

les paramètres par défaut d’alerte peuvent encombrer votre boîte de réception de messages électroniques. Il est recommandé de recevoir les alertes pour les actions-clés comme les changements dans les plugins, enregistrement nouvel utilisateur, etc.. Vous pouvez configurer les alertes en allant dans paramètres Sucuri « alertes.

Sucuri Email Alerts

ce WordPress plugin de sécurité dans les très puissant, donc parcourir tous les onglets et paramètres pour voir tout ce qu’il fait comme Malware scanning, journaux, la vérification a échoué tentative de connexion de suivi, etc.

activer Web Application Firewall (WAF)

la meilleure façon de protéger votre site Web et d’être confiants quant à la sécurité de votre WordPress est en utilisant un pare-feu d’application web (WAF). Le pare-feu bloque tout le trafic malveillant avant qu’il atteigne même votre site Internet.

Sucuri Website Application Firewall

nous utilise et recommande Sucuri comme le meilleur pare-feu d’application web pour WordPress. Vous pouvez lire comment Sucuri nous a aidés à bloquer les attaques de WordPress 450,000 dans un mois.

Sucuri Attack Block Chart

la meilleure partie de pare-feu de Sucuri, c’est qu’il est également livré avec une garantie d’enlèvement malware nettoyage et liste noire. Fondamentalement, si vous deviez être piraté pendant leur montre, ils garantissent qu’ils fixeront votre site Internet (quel que soit le nombre de pages que vous avez).

c’est une garantie assez forte parce que la réparation des sites piratés est cher. Les experts en sécurité charger normalement 250 $ / heure. Alors que vous pouvez obtenir toute la pile de sécurité Sucuri pour 199 $ par année.

améliorer votre sécurité de WordPress avec le pare-feu Sucuri « 

Sucuri n’est pas le seul fournisseur de pare-feu là-bas. L’autre concurrent populaire est Cloudflare. Voir notre comparaison de Sucuri vs Cloudflare (avantages et inconvénients).

[Back to Top ↑]

sécurité WordPress pour les utilisateurs DIY

Si vous faites tout ce que nous avons parlé jusqu’ici, alors vous êtes dans une assez bonne forme.

mais comme toujours, il y en a plus que vous pouvez faire pour durcir la sécurité de votre WordPress.

certaines de ces étapes peuvent nécessiter la connaissance de codage.

changer le nom d’utilisateur par défaut « admin »

dans l’ancien temps, le nom d’admin de WordPress par défaut est « admin ». Étant donné que les noms d’utilisateurs représentent la moitié des identifiants de connexion, ce qui rend plus facile pour pirates de force brute des attaques.

heureusement, WordPress a changé cela et maintenant vous oblige à choisir un nom d’utilisateur personnalisé au moment de l’installation de WordPress.

Toutefois, certains installateurs de WordPress 1-click, toujours définir le nom d’utilisateur par défaut admin « admin ». Si vous remarquez que pour être le cas, alors c’est probablement une bonne idée pour passer votre hébergement web.

étant donné que WordPress ne permet pas de changer les noms d’utilisateur par défaut, il y a trois méthodes, vous pouvez utiliser pour modifier le nom d’utilisateur.

  1. créer un nouveau nom d’utilisateur admin et supprimer l’ancien.
  2. utiliser le changeur de nom d’utilisateur plugin
  3. mise à jour username de phpMyAdmin

, nous avons couvert tous les trois d’entre eux dans notre guide détaillé sur la façon de modifier correctement votre nom d’utilisateur WordPress (étape par étape).

note : nous parlons le nom d’utilisateur appelé « admin », pas le rôle d’administrateur.

[Back to Top ↑]

désactiver l’édition de fichiers

WordPress est livré avec un éditeur de code intégré qui vous permet d’éditer vos fichiers de thème et plugin à partir de votre zone d’administration de WordPress. En de mauvaises mains, cette fonctionnalité peut être un risque pour la sécurité c’est pourquoi il est recommandé de l’éteindre.

Disable file editing

, vous pouvez le faire facilement en ajoutant le code suivant dans votre fichier URwp-config.php.

 //Disallow file edit définir (« DISALLOW_FILE_EDIT », true) ; 

alternativement, vous pouvez le faire avec 1-click en utilisant la fonctionnalité de durcissement dans le plug-in gratuit Sucuri que nous avons mentionné ci-dessus.

[Back to Top ↑]

désactiver l’exécution des fichiers PHP dans certains répertoires WordPress

une autre façon de se durcir votre WordPress sécurité est en désactivant l’exécution des fichiers PHP dans les répertoires où il n’a pas besoin tels que/wp-content/uploads /.

vous pouvez faire cela en ouvrant un éditeur de texte tel que le bloc-notes et collez ce code :

  nier de tous  

ensuite, vous devez enregistrer ce fichier .htaccess et transférez-le vers/wp-content/uploads/dossiers sur votre site Web en utilisant un client FTP.

pour plus d’explications, consultez notre guide sur comment faire pour désactiver l’exécution de PHP dans certains répertoires de WordPress

alternativement, vous pouvez le faire avec 1-click en utilisant la fonctionnalité de durcissement dans le plug-in gratuit Sucuri que nous avons mentionné ci-dessus.

[Back to Top ↑]

limite de tentatives de connexion

par défaut, WordPress permet aux utilisateurs d’essayer de connecter autant d’heures qu’ils le souhaitent. Cela laisse à votre site WordPress les vulnerable.txt deux attaques par force brute. Des hackers casser des mots de passe en essayant de vous connecter avec différentes combinaisons.

Ceci peut être facilement corrigé en limitant les tentatives de connexion qui ont échoué, un utilisateur peut effectuer. Si vous utilisez le pare-feu d’application web mentionné plus tôt, alors c’est automatiquement prendre soin de.

Toutefois, si vous n’avez pas la configuration du pare-feu, puis continuer avec les étapes ci-dessous.

tout d’abord, vous devez installer et activer le plugin Login LockDown. Pour plus de détails, consultez notre guide étape par étape sur comment installer un plugin WordPress.

lors de l’activation, visitez Paramètres » page Login LockDown pour configurer le plugin.

Login LockDown settings

pour obtenir des instructions détaillées, jetez un oeil à notre guide sur comment et pourquoi vous devez limiter les tentatives de connexion infructueuses dans WordPress.

[Back to Top ↑]

changement WordPress préfixe de base de données

par défaut, WordPress utilise wp _ comme préfixe pour toutes les tables dans votre base de données de WordPress. Si votre site WordPress utilise le préfixe de base de données par défaut, puis elle rend plus facile pour les pirates de deviner quel est votre nom de la table. C’est pourquoi nous vous recommandons de modifier il.

vous pouvez changer le préfixe de votre base de données en suivant notre tutoriel étape par étape sur comment faire pour modifier le préfixe de base de données de WordPress afin d’améliorer la sécurité.

note : cela peut casser votre site si il ne le fait pas correctement. Ne procéder, si vous vous sentez confortable avec vos compétences de codage.

[Back to Top ↑]

mot de passe protéger votre WordPress Admin et la Page de connexion

Password protecting wp-admin

normalement, les pirates peuvent demander votre dossier wp-admin et la page de connexion sans aucune restriction. Cela permet aux pirates d’essayer leurs astuces de piratage ou d’exécuter des attaques DDoS.

, vous pouvez ajouter la protection de mot de passe supplémentaire sur un côté de serveur qui permet de bloquer efficacement ces demandes.

Suivez nos instructions étape par étape sur la façon de mot de passe protègent votre répertoire de WordPress admin (wp-admin).

[Back to Top ↑]

désactiver l’indexation des répertoires et la navigation

Directory browsing

exploration d’annuaire peut être utilisé par les pirates pour savoir si vous avez des fichiers avec des vulnérabilités connues, afin qu’ils puissent profiter de ces fichiers pour pouvoir accéder.

exploration de répertoire permet également par d’autres personnes à regarder dans vos fichiers, copier des images, trouver votre structure de répertoires et d’autres informations. C’est pourquoi il est fortement recommandé que vous éteigniez répertoire d’indexation et de navigation.

vous devez vous connecter à votre site Web en utilisant FTP ou gestionnaire de fichiers de cPanel. Ensuite, localisez le fichier .htaccess dans le répertoire racine de votre site Web. Si vous ne le voyez pas là, alors consultez notre guide sur pourquoi vous ne pouvez pas voir le fichier .htaccess dans WordPress.

après cela, vous devez ajouter la ligne suivante à la fin du fichier .htaccess :

Options-Indexes

Don ‘ t oublier de sauvegarder et de charger le fichier .htaccess vers votre site. Pour en savoir plus sur ce sujet, lisez notre article sur comment faire pour désactiver l’exploration des répertoires dans WordPress.

[Back to Top ↑]

désactiver XML-RPC dans WordPress

XML-RPC est activé par défaut dans WordPress 2.2 car cela vous permet de connecter votre site WordPress avec web et applications mobiles.

Cependant en raison de sa nature puissante, XML-RPC peut amplifier considérablement les attaques de force brute.

par exemple, traditionnellement si un hacker voulu essayer 500 mots de passe différents sur votre site Internet, ils auraient à faire 500 tentatives de connexion distinct qui seront interceptés et bloqués par le plugin login lockdown.

mais avec XML-RPC, un pirate peut utiliser la fonction de multicall système. essayer des milliers de mot de passe avec disons 20 ou 50 requêtes.

c’est pourquoi si vous n’utilisez pas de XML-RPC, nous vous recommandons de désactiver il.

il existe 3 façons pour désactiver XML-RPC dans WordPress, et nous avons couvert tous les dans notre tutoriel étape par étape sur comment faire pour désactiver XML-RPC dans WordPress.

tip : la méthode .htaccess est le meilleur parce que c’est le moins gourmand en ressources.

Si vous utilisez le pare-feu d’application web mentionné plus tôt, alors cela peut être pris en charge par le pare-feu.

[Back to Top ↑]

out Idle utilisateurs dans WordPress

connectés se connecter automatiquement aux utilisateurs peuvent parfois se promener loin de l’écran, et cela pose un risque pour la sécurité. Quelqu’un peut détourner leur session, changer les mots de passe ou apporter des modifications à leur compte.

c’est pourquoi beaucoup de sites bancaires et financiers se connecter automatiquement un utilisateur inactif. Vous pouvez implémenter une fonctionnalité similaire sur votre site WordPress ainsi.

vous devez installer et activer le plugin ralenti la déconnexion de l’utilisateur. Lors de l’activation, visitez Paramètres « page de déconnexion de l’utilisateur inactif pour configurer les paramètres du plugin.

Logout idle user

il suffit de programmer la durée de temps et décochez la case en regard de l’option « Désactiver dans l’admin wp » pour une meilleure sécurité. N’oubliez pas de cliquer sur le enregistrer les changements bouton pour stocker vos paramètres.

pour des instructions plus détaillées, consultez notre guide sur la façon de se connecter automatiquement les utilisateurs inactifs dans WordPress.

[Back to Top ↑]

ajouter des Questions de sécurité à l’écran de connexion de WordPress

Security questions on login screen

ajout d’une question de sécurité à votre écran de connexion de WordPress le rend encore plus difficile pour une personne d’obtenir un accès non autorisé.

, vous pouvez ajouter des questions de sécurité en installant le plugin WP Questions de sécurité. Lors de l’activation, vous devez visiter les paramètres » page de Questions de sécurité pour configurer les paramètres du plugin.

pour des instructions plus détaillées, consultez notre tutoriel sur comment ajouter des questions de sécurité à l’écran de connexion de WordPress.

[Back to Top ↑]

fixant un piraté le Site de WordPress

WordPress plusieurs utilisateurs ne réalisent pas l’importance des sauvegardes et de la sécurité de site Web jusqu’à ce que leur site est piraté.

nettoyer un WordPress site peut être très longue et difficile. Notre premier Conseil serait de laisser un ordre Take Care professionnel de celui-ci.

pirates installer des portes dérobées sur les sites affectés, et si ces portes dérobées ne sont pas fixé correctement, puis votre site Web sera probablement obtenir piraté à nouveau.

permettant à une entreprise de sécurité professionnel comme Sucuri fixer votre site fera en sorte que votre site est sécuritaire d’utiliser à nouveau. Il vous protégera également contre les attaques futures.

pour les utilisateurs aventureux et bricolage, nous avons compilé un guide étape par étape sur un site WordPress hacked de fixation.

[Back to Top ↑]

c’est tout, nous espérons que cet article vous a aidé à apprendre les premières WordPress sécurité meilleures pratiques ainsi que découvrir les meilleurs plugins WordPress de sécurité pour votre site Web.

Si vous aimé cet article, s’il vous plaît vous abonner à notre chaîne YouTube pour WordPress Tutoriels vidéo. Vous pouvez également nous trouver sur Twitter et Facebook.

l’enregistrement de The Ultimate Guide de sécurité de WordPress (étape par étape) est apparu en premier sur WordPress.

laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *