Sélectionner une page


La sécurité est toujours la principale préoccupation lors de l’exécution d’un site Web.

Mais … parfois, le battage médiatique sur le piratage semble un peu exagéré. Toutes les histoires effrayantes sur les grandes entreprises comme eBay, Target, Adobe, Steam et d’autres qui ont souffert Brèches de données volumineuses peut ressembler à des tactiques effrayantes. Les hackers ne poursuivront sûrement pas votre site Web quand ils auront de si gros poissons à faire frire?

Malheureusement, les données nous disent le contraire. Les petits sites Web sont piratés aussi souvent que les grands près de la moitié des petites entreprises La couverture est piratée et le coût qui en résulte est en moyenne de 8 700 $.

Et ce ne sont que les entreprises prêtes à déclarer avoir été piratées. Il est probable que d’autres gardent leurs vulnérabilités secrètes et ne souhaitent pas que leurs utilisateurs perdent confiance en leur capacité à protéger leurs informations privées.

Même si vous ne considérez que les instances signalées, Des dizaines de milliers de sites Web sont piratés tous les jours et beaucoup d’entre eux ne savent même pas qu’ils ont été piratés et que leurs sites Web sont utilisés pour diffuser du code malveillant.

En tant qu’utilisateur de WordPress, vous utilisez l’un des systèmes de gestion de contenu les plus sécurisés disponibles. Mais aucun CMS n’est invulnérable à 100%, et les pirates affinent leurs méthodes aussi rapidement que les développeurs peuvent corriger les vulnérabilités.

Vous avez peut-être entendu dire que cacher WordPress est le meilleur moyen de protéger votre site Web des pirates et des robots.

Les développeurs et les experts en sécurité discutent un peu de cette approche en ce moment.

Je vais vous expliquer les avantages et les inconvénients des deux côtés et les raisons qui les sous-tendent, en vous laissant décider si cacher votre CMS est bon pour votre site Web.

Ensuite, nous parlerons de la façon de masquer votre implémentation WordPress.

Commençons!

WordPress n’est-il pas déjà suffisamment sécurisé?

WordPress est connu pour être un très système de gestion de contenu sécurisé (CMS). Les problèmes de sécurité sont une préoccupation majeure des principaux développeurs WordPress. Le logiciel est régulièrement corrigé et mis à jour afin de corriger les faiblesses qui surviennent.

La sécurité WordPress est l’une des raisons pour lesquelles elle est si populaire. WordPress est l’un des systèmes de gestion de contenu les plus populaires sur le Web aujourd’hui et est utilisé pour des dizaines de millions de sites Web à travers le monde. Aime aussi les grands sites Web CNN, le New York Times, eBay et Mashable Utilisez WordPress pour vos blogs.

Le simple fait que vous utilisiez WordPress pour votre site Web ne rend pas votre site Web invulnérable aux pirates.

En fait, sa popularité est ce qui en fait une destination populaire.

Les pirates informatiques savent que des millions de sites Web utilisant WordPress n’utilisent pas les meilleures mesures de sécurité pour protéger leurs sites Web. Beaucoup de ces sites Web utilisent des mots de passe faibles, des versions obsolètes de WordPress avec des failles de sécurité connues, ou des plugins et des thèmes anciens et non sécurisés. Les pirates informatiques savent qu’une fois qu’ils découvriront ces vulnérabilités et trouveront un moyen de les exploiter, ils auront de nombreux objectifs.

Les moyens les plus courants par lesquels les pirates informatiques attaquent les sites WordPress sont les attaques par force brute ou les requêtes HTTP.

Pirates de la force brute Utilisez un logiciel pour essayer d’accéder à votre site Web en devinant votre mot de passe jusqu’à ce que vous ayez de la chance et que vous vous introduisiez par effraction. Souvent, de simples contre-mesures telles que la demande de CAPTCHA ou une vérification en deux étapes lors de la connexion peuvent facilement arrêter les tentatives de connexion par force brute sur leurs traces.

Les requêtes HTTP spécialement conçues envoyées à votre serveur sont une autre catégorie courante d’attaque de piratage. Ces exigences sont utilisées pour exploiter certaines vulnérabilités qui sont souvent causées par des logiciels, des thèmes ou des plugins obsolètes ou non sécurisés. Tout ce qui se trouve dans votre répertoire wp-content, actif ou inactif, peut potentiellement créer des failles de sécurité sur votre site Web que des pirates bien informés peuvent exploiter pour désactiver ou accéder à votre blog.

Pourquoi cacher WordPress?

C’est là que le débat entre en jeu.

Mais commençons par clarifier notre terminologie: parfois, les gens veulent dire des choses différentes quand ils disent qu’ils cachent WordPress.

Ce que l’on entend généralement par « cacher WordPress », c’est que vous essayez de dissimuler le fait que votre site fonctionne sur WordPress par quiconque ou bot essayant d’identifier le CMS.

Mais cacher WordPress peut aussi signifier simplement essayer de cacher le numéro de version de WordPress que vous utilisez, ou changer les permaliens, les noms de fichiers, les sous-répertoires, etc. pour les cacher des bots.

WordPress vaut-il la peine d’être caché? Cela dépend à qui vous demandez.

Le fait est qu’il n’y a aucun moyen de masquer complètement le fait que votre site Web fonctionne sur WordPress. Une personne technophile qui en sait assez sur WordPress peut découvrir votre CMS par un certain nombre de moyens.

Même si vous essayez simplement de masquer votre numéro de version WordPress, il existe une multitude d’options Découvrez quelle version de WordPress Ils n’utilisent que pour se familiariser avec les différences entre les versions.

Et les experts en sécurité mettent en garde contre cela La sécurité dans l’obscurité Il s’agit d’une pratique découragée car elle peut conduire à la négligence dans la correction des vulnérabilités de sécurité lorsque vous pensez que personne ne peut les trouver: «La sécurité d’un système doit dépendre de sa clé, et non de sa conception obscure», a écrit l’ingénieur en sécurité Ross Anderson.

Cela signifie-t-il que cacher WordPress est une perte de temps?

Peut-être peut-être pas. Cela ne vous aidera pas à contrecarrer un pirate informatique dédié qui vous cible spécifiquement.

Cependant, la plupart des tentatives de piratage sont effectuées par des bots et vous pouvez potentiellement contrecarrer les bots de piratage en masquant votre installation WordPress. En modifiant simplement quelques permaliens par défaut, vous pouvez potentiellement protéger votre site Web contre les attaques par force brute, l’injection SQL et les requêtes sur vos fichiers PHP.

Autres mesures de sécurité WordPress

Masquer WordPress en couvrant certains permaliens et fichiers peut être une bonne mesure de sécurité, mais ce n’est pas votre seule option et ne devrait pas être la seule mesure que vous prenez pour protéger votre site Web.

Il y en a quelques-uns de base Conseils de sécurité WordPress Vous pouvez facilement suivre pour protéger votre site Web des pirates sans cacher WordPress:

  • Utilisez toujours des mots de passe forts.
  • Gardez toujours votre noyau WordPress à jour.
  • Gardez tous vos thèmes et plugins à jour, supprimez les thèmes et plugins inactifs et arrêtez d’utiliser des thèmes et des plugins qui ne sont plus mis à jour.
  • Envisagez de protéger votre page de connexion des attaques par force brute en vous obligeant à le faire CAPTCHA et ou Authentification à 2 facteurs.
  • Pensez à installer un plug-in de sécurité tout-en-un comme Sécurité iThemes ou Sécurité à toute épreuve.

(Si votre site Web a déjà été piraté, consultez cet excellent guide de Nathan B. Weller ici sur ElegantThemes pour savoir comment y remédier: « Oh Sh * #! Que faire si votre site WordPress a été piraté. ”)

Voici comment cacher le fait que vous utilisez WordPress

Vous avez donc décidé de continuer à essayer de cacher le fait que vous utilisez WordPress à vos visiteurs ainsi qu’aux pirates et bots potentiels.

Comment procédez-vous exactement?

Il existe de nombreux tutoriels juste pour masquer votre numéro de version WordPress, mais je ne les retraiterai pas pour plusieurs raisons:

  • Si la sécurité est vraiment votre objectif, vous devez toujours mettre à jour la dernière version.
  • Le numéro de version de WordPress apparaît à divers endroits dans différents fichiers, donc les obscurcir tous peut être difficile et prendre du temps, et cela ne vaut pas la peine parce que …
  • Même si vous parvenez à effacer chaque mention de votre numéro de version WordPress, il existe encore de nombreuses façons de le faire. Découvrez quelle version de WordPress tu utilises.
  • Masquer votre numéro de version ne vous protège pas non plus des bots. Les robots ne vérifient généralement pas la version de WordPress que vous utilisez. Ils recherchent directement la vulnérabilité qu’ils ciblent. Si vous gardez votre noyau WordPress à jour, ils ne le trouveront pas. Et si vous utilisez une ancienne version de WordPress, ils sont sera Peu importe à quel point vous essayez de masquer votre numéro de version, vous le trouverez.

Toujours déterminé à cacher le fait que vous utilisez WordPress? Il se peut que vous ayez un client qui vous demande de cacher WordPress pour lui ou que vous pensez que votre entreprise ne semble pas professionnelle avec un logiciel de blogging pour gérer votre site Web.

Dans ce cas, je recommande un plugin premium appelé Masquer mon WP, disponible sur Code Canyon. Cela fonctionne bien comme un plugin de sécurité générale et cache le fait que vous utilisez WordPress en modifiant vos permaliens sans apporter de modifications aux emplacements réels de vos fichiers.

Hide My WP a un certain nombre de fonctionnalités qui amélioreront la sécurité de votre WordPress:

  • Modifie les permaliens des fichiers (comme wp-admin) pour les protéger des bots
  • Supprime les méta-informations (comme le numéro de version) de vos en-têtes et flux
  • Contrôle l’accès à vos fichiers PHP
  • Modifie les sous-répertoires par défaut des dossiers vulnérables comme wp-content
  • Modifie les URL de requête pour les protéger des injections SQL
  • Cache les fichiers qui peuvent donner aux pirates des informations sur votre installation WordPress (comme readme.html ou license.txt).
  • Vous permet de désactiver certaines archives, catégories, balises, pages et articles
  • Vous informe sur les risques de sécurité avec le nouveau «système de détection d’intrusion».

Hide My WP est également compatible avec de nombreux autres plugins de sécurité WordPress populaires. Il a été noté 4,5 étoiles sur 5 dans Code Canyon, et l’auteur du plugin est très rapide pour répondre aux demandes d’assistance.

Cachez-vous votre installation WordPress?

De retour à vous!

Après avoir lu les avantages et les inconvénients, êtes-vous déterminé à cacher le fait que votre site Web est propulsé par WordPress? Quelles mesures avez-vous prises pour obscurcir votre CMS et dans quelle mesure cela a-t-il fonctionné pour vous? Partagez dans les commentaires ci-dessous!





Source link

Recent Posts