WordPress sécurisé
Chaque jour , un certain rapport effrayant sur un site d’être piraté ou une base de données qui est sensible à être corrompu frappe le web … et fout tout le monde .
La semaine dernière , en préparation pour une entrevue au sujet de mon travail à WordPress géré la division hébergement de Copyblogger , j’ai rayé une liste des 10 meilleurs cons
eils pour garder votre site (s ) WordPress sécurisé .
Nous avons discuté de la sécurité WordPress beaucoup plus sur le blog de synthèse , ici , ici , et surtout ici ) , mais ces jours-ci , vous ne pouvez pas être suffisamment en sécurité , non?
Il vaut la peine de votre temps à regarder par-dessus cette liste de conseils de sécurité , et de prendre quelques actions simples pour les mettre en œuvre . Comment sécuriser votre site Web?
Passons en revue les bases en ce moment …
Pourquoi prendre tellement au sérieux la sécurité WordPress ?
Pourquoi tous les discours de la sécurité ? Parce que rester vigilant sur la sécurité est une responsabilité permanente pour tout propriétaire de site WordPress .
En fait , c’est une responsabilité permanente pour tout le monde en ligne , si vous utilisez WordPress ou pas .
Nous continuerons donc d’en discuter ici autant , sinon plus , que la performance. Hey , sous- deuxième temps de chargement sont très bien, mais pas si vous hébergez des liens cachés vers des sites de Viagra ou Google est en baisse votre site que les logiciels malveillants infectés .
Je sais que la sécurité peut parfois être un sujet nébuleux. Si vous n’avez pas de connaissances techniques , les risques et les garanties nécessaires peuvent être difficiles à comprendre .
Vous n’êtes pas seul .
La première fois je ne pouvais pas vous dire la différence entre DDOS et Mike Doss . J’étais parmi les rangs de ceux qui ont utilisé le même mot de passe pour mon MSF admin login que pour mon compte Gmail … et mon compte en banque … et , vous voyez l’idée .
Au fil du temps , j’ai appris l’importance de prendre au sérieux la sécurité . Certaines des leçons n’étaient pas agréables. Mais ils m’ont fourni les connaissances nécessaires pour être en mesure de vous informer sur les mesures simples que vous pouvez prendre dès maintenant pour rendre votre site plus sûr .
Comme vous lisez cette liste , pensez moins un » top 10 » et plus d’une liste . Si vous tombez sur un, deux , ou dix d’entre eux que vous ne pouvez pas vérifier mentalement hors comme faisant partie de votre arsenal de sécurité actuel , arrêter de lire et aller le mettre en œuvre .
Que ce vous motiver : nous voyons entre 50,000-180,000 tentatives de connexion non autorisées tous les jours sur les sites que nous hébergeons . La grande majorité d’entre eux sont les pirates utilisant des techniques de force brute pour obtenir dans les sites Web et faire des ravages . Il est possible , peut-être même probable , que la moitié des hackers dans le monde essaie de pirater votre site en ce moment même …
J’espère que votre mot de passe n’est pas password123 .
Et maintenant, à la liste la plus importante top 10 vous lirez toute la semaine :
1 . Maintenir mots de passe forts
Disons coup d’envoi de la liste à l’étape la plus facile que vous pouvez mettre en œuvre immédiatement. J’espère que vous avez déjà .
Si non, ne pas tergiverser sur celui-ci.
J’ai lié à ce poste avant , et je vais lier à nouveau : «La protection par mot de passe : Comment faire pour créer des mots de passe forts » de PCMag . J’ai utilisé un certain nombre de conseils énumérés dans ce poste à une refonte complète de ma stratégie de mot de passe personnel .
Prendre cela au sérieux .
Excuses aiment , » Mais je veux un mot de passe pour tous mes sites afin que je n’oublierai pas ! » Ou » Mon ( générique ) mot de passe est assez bon , et quelles sont les chances que quelqu’un va vraiment essayer de me pirater ? » ne sont pas acceptables .
Si vous n’utilisez pas un mot de passe qui est au moins dix caractères , des chiffres et des lettres , capitales et minuscules … vous le faites mal . Faites-le bien . Surtout celui-ci.
2 . Gardez toujours des mises à jour
Les mises à jour WordPress ne sont pas seulement libérés pour les résultats de recherche de Google Actualités . Ils sont libérés pour corriger les bugs , introduire de nouvelles fonctionnalités , ou , plus important encore, pour patcher les trous de sécurité .
Seront WordPress ( ou tout logiciel , d’ailleurs) toujours une longueur d’avance sur les pirates ? Bien sûr que non . Bien au contraire . Pour la plupart , comme le dépistage de drogues améliorant la performance dans le sport , le logiciel va toujours être un pas derrière les pirates . C’est comme ça que ça se passe, c’est le monde dans lequel nous vivons
Mais quand trous de sécurité majeurs sont connus – et les patchs sont disponibles – il n’ya aucune excuse pour ne pas les mettre en œuvre . Ainsi , il n’y a aucune excuse pour ne pas suivre les mises à jour de WordPress . La même chose vaut pour les plugins et des thèmes .
Je sais que beaucoup d’entre vous se sentent appréhension quand il s’agit de la mise à jour de WordPress , de peur que cela pourrait briser votre thème ou perturber le fonctionnement d’un plugin . Ma réponse à cela est simple : si vous avez peur de lui, alors vous devez réévaluer votre thème et stratégie de plugin. Votre thème sera certainement obtenir perturbée lorsqu’un pirate injecte une demi-page d’un code chiffré méchant en elle .
Un des avantages d’investir dans un cadre de thème WordPress comme Genesis , c’est que notre division StudioPress aura la Genèse cadre mis à jour bien failli instantanément quand une mise à jour WordPress est disponible . En fait, il ya une bonne chance qu’ils avaient d’entrée dans le WordPress se mettre à jour ! Ainsi, vous n’aurez jamais à vous soucier de votre rupture de thème.
Comme pour les plugins , c’est pourquoi plugins de vetting est si important. Si un plug-in n’est pas régulièrement mis à jour , ou que vous n’êtes pas payer pour le soutien , alors vous devriez avoir peur d’elle à briser éventuellement avec des mises à jour de WordPress . Ainsi, vous voudrez peut-être repenser l’utiliser du tout .
3 . Protégez votre accès administration de WordPress
Si vous changez le nom de l’ utilisateur «admin» par défaut que chaque installation de WordPress commence avec ? Bien sûr, vous le pouvez. Il ne va certainement pas faire du mal .
Il suffit de savoir que ce n’est pas le summum de mesures de sécurité . Les pirates peuvent trouver les noms d’utilisateurs assez facilement de messages de blog ou ailleurs .
Plus important que de déguiser l’ nom d’utilisateur administrateur spécifique est de faire en sorte que chaque nom d’utilisateur de votre site avec un accès administrateur est protégé par un mot de passe fort . ( Oui , je vous renvoyant à # 1 dans cette liste. )
Et , si vous voulez vraiment protéger votre site , allez à l’étape supplémentaire d’exiger un Yubikey pour vous connecter. De cette façon , même si quelqu’un a le mot de passe pour un nom d’utilisateur avec un accès administrateur , il ou elle ne peut pas se connecter sans posséder physiquement le Yubikey ( qui est facilement utilisée par insertion simple d’USB quand il est temps de vous identifier ) .
Et non, ce n’est pas un problème. C’est la paix d’esprit .
4 . Prémunir contre les attaques de force brute
Rappelez-vous la stat que j’ai cité ci-dessus ? Il vaut la peine de citer de nouveau : nous voyons entre 50K et 180K échoué tentatives de login, un jour sur les sites que nous hébergeons . Le site que vous lisez en ce moment ( Copyblogger au cas où vous êtes en quelque sorte la lecture d’un site grattoir ) voit 275 tentatives de connexion non autorisées … toutes les heures .
Avant de passer à l’ ampleur de ce nombre , sachez que vous êtes loin d’être impuissants contre ces anonymes , les tentatives de hack sans visage .
Tout d’abord, votre hébergeur devrait aider à vous protéger contre les attaques par force brute . Nous faisons . Nous surveillons régulièrement où des tentatives de connexion infructueuses viennent et puis bloquer les adresses IP concernées .
Deuxièmement, assurez-vous que vous avez coché conseils 1 , 2 et 3 ci-dessus.
Troisièmement, il existe des programmes qui peuvent être installés (comme limite de tentatives de connexion ) qui rendra beaucoup plus difficile pour les techniques de force brute à travailler .
5 . Surveillance de logiciels malveillants …
Il est impératif que vous avez une sorte de système en place pour surveiller en permanence votre site pour les logiciels malveillants .
Les gens de Sucuri font aussi bien que quiconque , et c’est pourquoi nous nous sommes associés avec eux pour le balayage côté serveur que nous faisons pour tous nos clients .
Comment surveillez- est d’une importance vitale . Choisissez une méthode qui peut réellement plonger dans la structure de fichiers et de détecter les violations profondes , plutôt que celui qui vous montre exactement où vous êtes vulnérable .
6 …. Alors faire quelque chose sur les logiciels malveillants !
La surveillance de logiciels malveillants n’est pas une solution en soi . La solution est ce qui se passe une fois malware est détecté .
Si vous n’êtes pas un client de synthèse , l’équipe Sucuri est un grand pour vous de collaborer avec , car ils vont non seulement numériser des logiciels malveillants , ils vont vous aider à nettoyer une fois qu’il est détecté .
Et si vous êtes un client de synthèse , vous savez déjà que nous allons prendre sur le travail de nettoyage et de réparation de votre site doit quelque chose de mal lui arriver .
Un couple des » coûts réels » souvent négligés de WordPress propriété sont ceux qui sont associés aux temps d’arrêt en raison de problèmes et de nettoyage de ces questions de sécurité . Cela fait partie de la proposition de valeur qui doit être roulé dans l’offre de votre fournisseur d’hébergement géré .
7 . Choisissez l’hébergeur droit
Je vous ai déjà dit à propos de la numérisation côté serveur et la garantie de suppression des logiciels malveillants que nous donnons à tous nos clients . Et c’est loin d’être la seule raison pour laquelle notre hébergement WordPress est un excellent choix pour l’utilisateur de WordPress soucieux de la sécurité . Il suffit de dire .
Un risque majeur pour la sécurité est en cours sur un serveur partagé . Pensez -y de cette façon : prendre les risques de sécurité inhérents à votre propre installation de WordPress , puis le multiplier par le nombre de sites sur le serveur . Et si vous y allez avec hébergement générique , les chances sont que vous allez être rangé dans des centaines et des centaines d’autres sites .
Ne pas .
Vos propres VPS peut pas la bonne option pour vous . Il peut être trop cher , ou votre trafic ne peut nécessitent. C’est très bien . Mais si vous allez être sur un serveur partagé , assurez-vous qu’il est partagée avec seulement un petit nombre de sites ( nos serveurs partagés n’ont pas plus de 10 sites de ) sur une pile d’hébergement qui a prouvé garanties en place pour les protéger.
En outre, trouver un hôte qui ne reçoit pas de complaisance sur la sécurité .
Quiconque prétendrait » ont compris la sécurité » n’a aucune idée . La sécurité en ligne est en constante évolution . Sociétés d’hébergement Web doivent évoluer en permanence avec cette évolution du paysage , et les menaces du livrés avec elle . Assurez-vous que celui qui vous faites confiance à votre site à coopère avec cette mentalité .
8 . Nettoyez votre site comme vous nettoyez votre cuisine
Saviez-vous que votre installation de WordPress aurait facilement pu bombes à retardement assis sur elle que vous n’êtes pas au courant?
Si vous avez des vieux thèmes et plugins que vous n’êtes pas plus à l’aide , surtout si elles n’ont pas été mis à jour , vous pouvez fondamentalement juste aller de l’avant et commencer le compte à rebours pour votre prochain violation de la sécurité . Un site désordre rend également beaucoup plus difficile pour les professionnels de la sécurité de fonctionnement de votre site doit être compromise .
Vous ne voudriez pas laisser la vaisselle sale et silverwear assis dans l’eau stagnante pendant trois jours dans votre évier voulez-vous ? Bien sûr que non . Ce serait un terrain fertile pour la saleté et la boue .
Donc, nettoyer et organiser votre structure de fichiers comme vous le feriez pour votre cuisine . Il vous garder en sécurité dans plus d’un titre .
Si vous vous demandez : «Où dois-je commencer ? » Démarrer à la racine. Comparez votre liste de fichier à celle de l’âme WordPress par défaut . A quelques fichiers supplémentaires , comme votre favori ? OK . Deux fois plus de fichiers, y compris les présentations Power Point pour le travail ? Le temps de faire quelques plats …
9 . Contrôle des informations sensibles
Et quand vous faites que le nettoyage de votre structure de fichiers , assurez-vous que vous ne partez pas de bits d’informations précieuses disponibles pour tout le monde de voir .
Par exemple , le fichier readme.html par défaut dira quelle version de WordPress que vous utilisez. Si vous utilisez une ancienne version de WordPress avec un trou de sécurité connu , les pirates vont vous trouver .
De même , regarder dans votre phpinfo.php ou fichiers i.php . Ils vous diront tout un pirate sur votre configuration et servent de » feuille de route pour la maison » avant de se briser même po
Et de partir. Base de données de sauvegardes SQL fichiers est un gros no-no . Si un pirate peut télécharger l’intégralité de votre base de données , ils auront tous les nom d’utilisateur et mot de passe crypté que vous avez déjà utilisé à leur disposition .
Bien que votre hébergeur du site doit être scanne des articles comme celui-ci , pourquoi rien laisser au hasard? Vous ne voulez pas sortir votre porte d’entrée sans pantalon ( au moins je l’espère ! ) … Afin de ne pas exécuter votre site de cette façon.
10 . Restez vigilants
C’est l’un est assez facile à expliquer. Il suffit de rester au top de ce qui se passe là-bas .
Vous n’avez pas besoin de comprendre les subtilités d’une attaque DDOS ou désabonnement un blog sur GoDaddy se descendu . Mais quand un problème comme le fiasco de TimThumb dresse sa tête hideuse , êtes-vous conscient de cela? La détection précoce est la meilleure prévention .
Vous devriez être avec une foule WordPress géré qui a votre dos , mais il n’est jamais mauvais d’avoir votre propre aussi.
Suivez comptes Twitter comme Sucuri de ou le nôtre , où nous vous informerons quand nous entendons des questions de sécurité pertinentes concernant le web. Et gardez vos yeux ouverts . Ne pensez pas que les questions de sécurité ne sont affectent ces autres sites . Ils pourraient tout aussi bien avoir une incidence sur le vôtre.
Respecter ton ennemi , comme ils disent .
C’est à vous …
Plus important encore, nous devons respecter la nature critique de la prise de la sécurité d’un site Web au sérieux.
Les dix étapes ci-dessus ne sont pas les seules garanties de sécurité que vous devriez considérer , mais ils sont un début bien arrondie , en particulier pour ceux qui peuvent avoir de la difficulté à mettre en œuvre les principes de base .
Agir sur ces conseils et vous aurez les mesures de sécurité de WordPress essentielles en place .
par : Jerod MORRIS