WordPress est une cible courante pour le piratage. Les pirates ciblent le thème, les fichiers WordPress clés, les plugins et même la page de connexion. Ce sont les étapes à suivre pour réduire les risques de piratage et faciliter la récupération si cela se produit de toute façon.

Comment les pirates attaquent WordPress

Tous les sites Web sur le Web sont constamment attaqués, qu’il s’agisse d’un forum phpBB ou d’un site Web WordPress. Tous les sites Web sont vérifiés par des pirates. Il n’est pas rare qu’un pirate informatique scanne des milliers de pages ou tente de se connecter des centaines de fois par jour.

Et ce n’est qu’un hacker. Plusieurs pirates informatiques attaquent des sites Web en même temps.

Ce n’est généralement pas une personne qui essaie de vous pirater. Les pirates utilisent un logiciel automatisé pour explorer le Web et rechercher des vulnérabilités spécifiques sur le site Web.

Ces logiciels automatisés qui explorent le Web sont connus sous le nom de robots. Je les appelle hacker bots pour les distinguer des scraper bots (logiciels qui essaient de copier du contenu).

La publicité

Lisez ci-dessous

Sécurisez votre site WordPress avec un pare-feu

Un pare-feu est un logiciel qui bloque un intrus. À mon avis, le meilleur pare-feu WordPress est un plugin appelé Wordfence.

Wordfence vérifie si le comportement d’un visiteur du site Web correspond à celui d’un bot abusif. Si le bot enfreint certaines règles, par exemple Si, par exemple, vous demandez trop de sites Web en peu de temps, Wordfence bloque automatiquement le bot.

Wordfence est également programmé pour autoriser des robots légitimes comme Google et Bing sur le site Web.

Il existe des fonctionnalités avancées qui permettent à un éditeur de voir quels bots attaquent un site et de voir d’où vient le bot, telles que: Par exemple, s’il s’agit d’un mauvais bot provenant d’Amazon Web Services ou de Bluehost. Wordfence offre à l’éditeur la possibilité de bloquer le bot en fonction de son adresse IP, de toute la plage d’adresses IP ou même d’un faux agent utilisateur de navigateur utilisé par le bot.

Informations sur les agents utilisateurs (UA)

La publicité

Lisez ci-dessous

UNE Agent utilisateur identifie les informations envoyées par un navigateur et qui indiquent à un site Web de quel navigateur il s’agit (Chrome, Firefox, Vivaldi) et sur quel système d’exploitation il s’exécute (Windows 10, Mac OS X).

Par exemple, il s’agit d’une chaîne d’agent utilisateur pour un navigateur Safari 11 sur un ordinateur Mac OS X:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15

Les robots utilisent de nombreux agents utilisateurs différents pour tromper et se faufiler dans les sites Web. Par exemple, certains robots se font passer pour un navigateur sous Windows XP.

Le nombre réel d’utilisateurs réels sous Win XP est proche de zéro. Avec Wordfence, je peux créer une règle pour bloquer tous les agents utilisateurs avec Windows XP comme système d’exploitation. Avec cette règle, je peux bloquer des milliers de bots bogués quel que soit leur pays ou leur adresse IP.

Les mauvais robots répondent parfois en passant à un autre agent utilisateur. Lorsque vous combinez ces règles, un éditeur a la possibilité de bloquer une grande variété de robots malveillants.

Et cela avec la version gratuite de Wordfence.

La version payante peut bloquer des pays entiers. Ainsi, si vous n’avez pas de visiteurs légitimes sur le site Web de certains pays, vous pouvez bloquer tout visiteur de ces pays.

Défense WordPress contre les exploits

De plus, la version payante de Wordfence vous protégera à l’avance de nombreux thèmes et plugins vulnérables avant que ces plugins ne soient corrigés.

Dès que les chercheurs de Wordfence prennent connaissance d’un exploit, ils mettent à jour la version premium du pare-feu pour protéger les abonnés de ces exploits, parfois des semaines avant que l’exploit ne soit corrigé par le développeur du thème ou du plugin compromis.

Renforcement de la sécurité du site Web

Un autre plugin gratuit qui offre une couche de protection supplémentaire s’appelle Sucuri Security. Sucuri (propriété de GoDaddy) contribue à améliorer la sécurité de WordPress pour empêcher les mauvais bots de profiter de certains types d’attaques. Il dispose également d’une fonction d’analyse des logiciels malveillants qui vérifie tous les fichiers pour voir s’ils ont été modifiés.

La publicité

Lisez ci-dessous

Sucuri vous avertit chaque fois que quelqu’un s’inscrit sur votre site Web et aide les éditeurs à déterminer si un pirate s’inscrit. Sucuri peut également avertir un éditeur lorsqu’un fichier a été modifié, ce que font les pirates.

Voici les fonctionnalités de la version gratuite de Sucuri:

  • « Examen des activités de sécurité
  • Surveillance de l’intégrité des fichiers
  • Analyse à distance des logiciels malveillants
  • Surveillance de la liste noire
  • Durcissement efficace de la sécurité
  • Mesures de sécurité après le piratage
  • Notifications de sécurité « 

La version payante de Sucuri comprend un pare-feu de site Web.

Limitez les inscriptions à votre site

WordFence peut bloquer les bots qui entrent à plusieurs reprises des noms d’utilisateur et des mots de passe sur la page de connexion WordPress.

Cependant, si vous souhaitez vous concentrer sur la limitation de ces connexions, il existe un plugin appelé Limit Log In Tempts Reloaded qui permet aux éditeurs de bloquer automatiquement tous les pirates qui saisissent un nombre défini de combinaisons de noms et de mots de passe ayant échoué. Par exemple, vous pouvez choisir de bloquer les pirates après trois tentatives pour deviner le mot de passe.

Voici les fonctionnalités du bloqueur de connexion:

La publicité

Lisez ci-dessous

  • „Limitez le nombre de tentatives lors de la connexion (par IP). Ceci est entièrement personnalisable.
  • Informe l’utilisateur des tentatives de relance restantes ou du temps de blocage sur la page de connexion.
  • Journalisation en option et notification par e-mail en option.
  • Il est possible de mettre sur liste blanche / noire les adresses IP et les noms d’utilisateur.
  • Compatibilité du pare-feu du site Web Sucuri.
  • Protection de la passerelle XMLRPC.
  • Protection de la page de connexion Woocommerce.
  • Compatibilité multi-sites avec des paramètres MU supplémentaires.
  • Conforme au RGPD. Si cette fonction est activée, toutes les adresses IP enregistrées sont masquées (hachage md5).
  • Prise en charge des origines IP personnalisées (Cloudflare, Sucuri, etc.) « 

Le plugin Limit Login Reloaded fournit un moyen rapide d’arrêter les hack bots qui tentent de deviner un mot de passe.

Sécurisez votre site WordPress

Il est important de faire automatiquement une sauvegarde quotidienne de votre site Web. Tout événement catastrophique qui arrête le site peut être restauré à partir d’une sauvegarde.

Il existe de nombreuses solutions de sauvegarde, mais celle que j’ai trouvée extrêmement utile s’appelle le plugin de sauvegarde WordPress UpdraftPlus. UpdraftPlus est approuvé par plus de deux millions d’utilisateurs.

Il peut être configuré pour envoyer les sauvegardes tous les jours par e-mail ou vers un emplacement de stockage dans le cloud comme Dropbox.

Une fois, j’ai accidentellement supprimé tous les fichiers de mise en page de conception d’un site et supprimé complètement l’apparence du site. Cependant, avec une sauvegarde UpdraftPlus, j’ai pu restaurer le site exactement comme il était auparavant. C’était facile et j’étais très reconnaissant.

La publicité

Lisez ci-dessous

Mettre à jour tous les thèmes et plugins

Il est important de toujours mettre à jour tous les thèmes et plugins. WordPress offre un moyen de mettre à jour automatiquement tous les plugins. Ceci est utile pour les éditeurs ou les entreprises qui ne s’inscrivent pas et ne mettent pas à jour fréquemment.

En activant la fonction de mise à jour automatique, un éditeur peut être sûr de disposer de la dernière version du logiciel disponible. Un plug-in obsolète est l’une des principales causes d’attaques de pirates.

Capture d'écran de la fonction de mise à jour automatique de WordPress

Il y a des raisons de ne pas activer la fonction de mise à jour automatique, mais les négatifs apparaissent rarement. Par exemple, un plugin mis à jour peut ne pas être compatible avec d’autres plugins.

La publicité

Lisez ci-dessous

Pour les sites Web qui ne changent pas souvent, la fonction d’actualisation automatique peut être une bonne option.

Méfiez-vous des plugins abandonnés

Un dernier avertissement concernant les plugins abandonnés. Certains plugins peuvent fonctionner pendant des années après avoir été abandonnés par leur développeur. Ce qui peut arriver, c’est que ces anciens plugins peuvent contenir une faille de sécurité. Mais parce qu’ils sont abandonnés, cela ne sera jamais réparé.

Un autre problème est que les pirates informatiques achètent parfois les anciens plugins et les mettent à jour avec des logiciels malveillants et des virus.

Vérifiez tous vos plugins WordPress pour vous assurer qu’ils n’ont pas été abandonnés et qu’ils sont régulièrement mis à jour.

Protégez votre site WordPress contre les pirates

Pour de nombreux sites Web, il suffit de prendre ces petites mesures pour sécuriser un site Web pour empêcher le piratage des sites Web. Les versions gratuites de ces plugins offrent une protection exceptionnelle et les versions premium offrent encore plus de protection.

Il existe de nombreux plugins de type de sécurité, dont certains avaient eux-mêmes des vulnérabilités. À mon avis, Wordfence et Sucuri sont les meilleurs choix pour la sécurité WordPress.

La publicité

Lisez ci-dessous

Devis

Sécurité WordFence
https://wordpress.org/plugins/wordfence/

Jus de sécurité
https://wordpress.org/plugins/sucuri-scanner/

Limiter le nombre de tentatives de connexion rechargées
https://wordpress.org/plugins/limit-login-attempts-reloaded/

UpdraftPlus
https://wordpress.org/plugins/updraftplus/





Source link

Recent Posts