22 conseils pour empêcher le piratage de votre blog Wordpress

Comment éviter que votre site WordPress ne soit piraté

Que vous utilisiez ou non des mesures de sécurité sur votre site Web ou votre blog en ce moment ou non, le fait est…

Les blogueurs sensés prennent la sécurité de leur site Web au sérieux et font tout leur possible pour empêcher le piratage de leur blog WordPress.

La sécurité en ligne est un problème très réel.

Beaucoup de gens oublient de mettre à jour les plugins et n'utilisent pas la dernière version de WordPress. Ne pas le faire peut signifier un désastre si vous n'avez pas pris les mesures nécessaires pour empêcher le piratage de votre blog.

La perte du contenu de votre blog ou de votre site Web peut détruire une entreprise, une réputation ou simplement la présence en ligne que vous avez essayé de développer. Imaginez avoir un blog contenant des centaines de publications, de commentaires et même de liens d'affiliation pour découvrir qu'il a été détruit dès le lendemain ! Pas une sensation agréable. Cependant, il existe des moyens de renforcer la sécurité de votre site Web.

Vous pouvez ajouter des plugins, mettre à jour le cadre de votre blog, en gros, il existe de nombreuses façons de sécuriser votre blog ou votre site Web. Donc, pour vous aider, j'ai écrit cet article court mais instructif. J'espère que cela aidera certains d'entre vous.

Cet article a été rédigé par moi-même bien sûr, mais aussi par mon ami blogueur de génie, Julius qui dirige And Break ! Consultez son blog pour mes bons conseils.

Comment empêcher votre site WordPress d'être piraté

Sauvegardez votre blog

Avant d'apporter des modifications à votre blog, assurez-vous de sauvegarder votre blog. Le problème avec la plupart des plugins gratuits est qu'ils ne sauvegardent pas toutes vos données. Par exemple, si votre blog WordPress est supprimé et que vous restaurez la sauvegarde à partir d'un plugin gratuit, vous aurez toujours perdu beaucoup de vos données telles que les images, car elles ne sont pas sauvegardées avec ces plugins. C'est pourquoi je recommanderais d'utiliser Backup Buddy qui sauvegarde votre blog WordPress complet et vous permet de le restaurer facilement ultérieurement.

Si vous vous demandez si votre blog pourrait être piraté, assurez-vous de jeter un coup d'œil à Backup Buddy.

Utilisez des mots de passe forts

Des mots de passe forts sont essentiels pour les utilisateurs à privilèges élevés tels que les administrateurs. Sans eux, votre blog sera vulnérable aux attaques par force brute. Il s'agit essentiellement d'attaques dans lesquelles l'attaquant essaie de deviner le mot de passe en passant par de nombreux mots de passe - combinaisons d'utilisateurs. Si vous utilisez des mots de passe sécurisés, les chances de réussite des attaques par force brute deviennent extrêmement faibles.

Voici quelques conseils sur ce que les mots de passe sécurisés doivent inclure :

• utiliser au moins 1-2 chiffres utiliser des caractères majuscules et minuscules
• utilisez des caractères spéciaux tels que !@#…

Vous ne devez pas non plus utiliser de mots de passe tels que votre date de naissance ou vos loisirs. Ces types de mots de passe sont très peu sûrs car les pirates peuvent trouver facilement des informations personnelles.

Une autre étape importante que vous devez franchir est d'avoir beaucoup de mots de passe différents. C'est bien d'avoir un seul mot de passe et d'accéder à tout via celui-ci, mais imaginez ce qui se passe si quelqu'un connaît ce mot de passe. Il peut essentiellement accéder à tous vos comptes.

Pour cette raison, utilisez de nombreux mots de passe différents.

Suivez les correctifs et les mises à jour

C'est une autre étape essentielle dans la sécurisation de votre blog. Des correctifs et des mises à jour sont créés afin de corriger les failles de sécurité et d'ajouter aux fonctionnalités du logiciel. Il n'y a aucune raison de ne pas les installer.

Essentiellement, vous devez également vous tenir informé des changements dans WordPress et des vulnérabilités en général. Je vous conseille donc de suivre ces deux flux :

• Développement WordPress
• BlogSecurity.net

Le premier est le flux de développement WordPress où les nouvelles versions et les dernières mises à jour de WordPress sont publiées. L'autre est le flux de BlogSecurity.net. Ces gars-là publient souvent des vulnérabilités existantes dans les plugins WordPress ou dans WordPress lui-même.

Utilisez SSH au lieu de FTP

FTP en général n'est pas aussi sécurisé qu'on le pense. Vos informations d'identification FTP ne sont généralement pas cryptées et faciles à capturer.

Une alternative très sécurisée au FTP est SSH. SSH utilise un algorithme simple pour crypter toutes les données qui y sont envoyées, y compris les fichiers. Lisez cette histoire et vous pourriez changer d'avis sur l'utilisation de FTP pour télécharger !

Utiliser les thèmes WordPress pris en charge

La plupart des gens pensent que les thèmes WordPress eux-mêmes ne présentent pas de risque pour la sécurité, mais certains le font. Les thèmes peuvent présenter un risque pour la sécurité, car tous les développeurs Web ne savent pas comment écrire du code sécurisé.

Pour cette raison, il est bon de s'en tenir à un thème pris en charge et mis à jour de temps en temps. Les thèmes WordPress pris en charge sont généralement disponibles pour un peu d'argent, mais il vaut mieux prévenir que guérir. Ces thèmes payants sont appelés thèmes premium. De tels thèmes sont proposés par des sites Web tels que Woo Themes ou Thesis.

Un autre avantage des modèles professionnels est que lorsque vous rencontrez des problèmes, vous avez un endroit vers lequel vous tourner.

Analyser les plugins pour les virus après le téléchargement

Aujourd'hui, vous pouvez facilement télécharger des plugins et les installer en quelques secondes sur votre blog. Mais vous devez faire attention au type d'extensions que vous téléchargez. Les plugins peuvent contenir du code malveillant. Pour cette raison, il est logique de rechercher les logiciels malveillants juste après les avoir téléchargés.

Vous devez particulièrement le faire avec les plugins que vous avez téléchargés ailleurs que dans le répertoire des plugins WordPress.

Pour cette tâche, il est préférable d'utiliser un logiciel anti-virus. Les systèmes d'exploitation plus récents recherchent automatiquement les virus après le téléchargement des fichiers. Si vous utilisez un ancien système d'exploitation, je vous recommande d'analyser votre répertoire de téléchargement peut-être une fois par semaine ou juste après le téléchargement de nouveaux fichiers.

Modifier le préfixe de table de base de données

Afin de rendre votre base de données plus sécurisée, vous devez modifier le préfixe de votre table de base de données. Le préfixe par défaut est wp_ et il devrait être remplacé par quelque chose de différent, quelque chose de plus compliqué et plus difficile à deviner comme 5rt30k_ .

C'est là que WP Security Scan est utile car il le fera pour vous. Vous devez quand même installer le plugin WP Security car il vous montrera les risques de sécurité potentiels sur votre blog.

Limiter l'accès au répertoire Wp-Content

Wp-content est un répertoire Wordpress important. Les utilisateurs ne doivent pouvoir accéder qu'à certains types de fichiers dans ce répertoire. Ces types de fichiers incluent les images ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) et XML ( .xml ).

Il est donc logique d'interdire l'accès à tous les autres types de données. Le code ci-dessous permettra l'accès aux images, aux fichiers Javascript, CSS et XML mais ne permettra pas l'accès à d'autres données. Le code ci-dessous doit être placé dans le fichier .htaccess dans le dossier wp-content .

Commande refusée, autoriser
Refuser de tout
<Fichiers ~ ".(xml|css|jpe?g|png|gif|js)$">
Autoriser de tous
</Fichiers>

C'est tout ce que vous devez faire.

Sécuriser wp-config.php

Wp-config.php est un fichier très important car il contient toutes les informations d'accès et les clés indispensables à la sécurisation de votre blog. Nous pouvons sécuriser le fichier en ajoutant ces lignes au fichier .htaccess dans le répertoire racine de WordPress (où se trouve le fichier wp-config ) :

# protéger wp-config.php
<fichiers wp-config.php>
Ordre refusé, autoriser
Refuser de tout
</fichiers>

Ce code refuse à tout le monde l'accès au fichier wp-config.php .

Pas de navigation dans l'annuaire

Un autre changement essentiel concernant la sécurité de WordPress consiste à interdire aux personnes de parcourir la structure de répertoires de votre site Web. Si vous voulez voir à quoi cela ressemble, entrez simplement "index of" dans Google et Google listera tous les sites Web qui permettent la navigation dans les répertoires.

Afin d'arrêter ce comportement, il vous suffit d'ajouter la ligne de code ci-dessous à votre fichier .htaccess dans le répertoire racine de WordPress.

Options Tous -Index

Cela arrêtera le comportement une fois pour toutes.

Empêcher les moteurs de recherche d'indexer la section Admin

Les robots des moteurs de recherche indexent presque tous les contenus tant qu'on leur dit de ne pas le faire. L'indexation de votre section d'administration dans les moteurs de recherche peut constituer une menace majeure pour la sécurité.

Par conséquent, il est bon de simplement éloigner les crawlers de tous les répertoires WordPress. La façon la plus simple de le faire est de créer un fichier robots.txt dans votre répertoire racine. Placez ensuite le code suivant dans le fichier :

Interdire : /wp-*

Sécurisez votre répertoire de plugins

Les plugins que vous utilisez peuvent en dire beaucoup sur votre site Web à un utilisateur malveillant, il est donc sage de les masquer.

Vous pouvez facilement masquer les plugins. Tout d'abord, ouvrez un éditeur de texte et créez simplement un fichier vide nommé index.html . Téléchargez ensuite ce fichier dans votre répertoire wp-content/plugins/ .

Supprimer le compte administrateur par défaut

En supprimant le compte administrateur , les utilisateurs malveillants ne connaissent pas si facilement votre nom d'utilisateur. Comme chaque installation WordPress est livrée avec un compte administrateur, les pirates auront plus de facilité à pénétrer dans votre compte puisqu'ils connaissent déjà le nom d'utilisateur.

Vous ne pouvez pas supprimer votre compte administrateur immédiatement si vous n'avez pas de nouveau compte administrateur. Suivez donc ces étapes :

1. Créer un nouveau compte administrateur (avec un nom d'utilisateur plus difficile à deviner)
2. Se déconnecter
3. Connectez-vous en utilisant le nouveau compte administrateur et le nouveau mot de passe
4. Supprimer l'ancien compte

Modifier les droits d'accès par défaut des utilisateurs

Les droits d'accès par défaut sont assez sécurisés, mais si vous voulez être du bon côté et avoir plus de contrôle sur les droits de chaque utilisateur de votre blog, alors c'est essentiel.

C'est assez simple à mettre en place. Tout ce que tu dois faire est:

1. Télécharger le plug-in du gestionnaire de rôles
2. Téléchargez-le sur votre blog WordPress
3. Activez-le

Rendez-vous ensuite dans la section Utilisateurs de votre blog. Là, vous pouvez configurer le plug-in Role Manager en fonction de vos besoins.

Supprimer les comptes d'utilisateurs inactifs

Les comptes d'utilisateurs inactifs sont ennuyeux et représentent également un risque pour la sécurité. Certaines personnes choisissent des mots de passe faibles lorsqu'elles s'inscrivent à votre blog. Si le compte est inactif mais toujours sur votre blog, des utilisateurs malveillants pourraient utiliser ce compte pour accéder à votre blog.

Par conséquent, la meilleure chose à faire est de simplement supprimer les comptes d'utilisateurs inactifs dans WordPress (bien que vous deviez vous assurer que cela ne casse rien). Pour ce faire, accédez à votre tableau de bord WordPress et cliquez sur Utilisateurs . Cela vous amène à la page où chaque utilisateur sera répertorié.

Ensuite, allez-y et supprimez ceux que vous savez inactifs.

Ajouter des clés d'authentification WordPress à wp-config.php

L'ajout de clés WordPress est une autre mesure de sécurité importante. Ces clés doivent être aléatoires et fonctionner comme des sels pour les cookies WordPress, assurant ainsi un meilleur cryptage des données des utilisateurs.

Utilisez le Wordpress Key Generator pour générer ces clés et remplacez simplement, dans le fichier wp-config.php , les lignes ci-dessous par celles générées :

define('AUTH_KEY', 'mettez votre phrase unique ici');
define('SECURE_AUTH_KEY', 'mettez votre phrase unique ici');
define('LOGGED_IN_KEY', 'mettez votre phrase unique ici');
define('NONCE_KEY', 'mettez votre phrase unique ici');

C'est en fait tout ce que vous avez à faire.

Empêcher le piratage du blog WordPress – Installer un pare-feu WordPress

Il existe un plugin appelé WordPress Firewall 2 qui protège en fait votre blog contre les pirates malveillants. Ce qu'il fait, c'est vous alerter chaque fois que quelqu'un essaie de pirater votre blog. Cela bloquera également bien sûr la tentative du pirate.

Le problème avec ce plugin est qu'il fait trop bien son travail. Cela signifie qu'il vous empêche généralement d'apporter des modifications à votre blog. Si vous modifiez votre fichier de thème WordPress, puis cliquez sur Enregistrer, le plug-in de pare-feu le bloquera. Cela m'est également arrivé lors de l'utilisation manuelle du plugin Smush.it.

C'est extrêmement ennuyeux mais au moins cela vous montre que le plugin fonctionne bien. La seule chose que vous pouvez faire si vous voulez éditer des fichiers comme ceux-ci est de désactiver le plugin et de le réactiver plus tard.

Déposez la chaîne de version de Wordpress

<meta content=”Wordpress 2.5″ />

La chaîne de version que WordPress ajoute automatiquement à votre thème est importante car elle donne à un utilisateur malveillant des informations indiquant si un blog est corrigé ou non. S'il s'agit d'une version obsolète, l'attaquant commencera immédiatement à rechercher les failles de sécurité qui ont été rendues publiques à propos de cette version spécifique de WordPress.

WordPress ajoute généralement automatiquement cette chaîne de version à votre thème. La ligne de code ci-dessous indiquera à WordPress de ne pas ajouter la chaîne de version à votre en-tête. Tout ce que vous avez à faire est d'ajouter le code à votre fichier functions.php .

<?php remove_action('wp_head', 'wp_generator'); ?>

Examinez maintenant le code source de votre site Web. Si la balise meta du générateur est toujours là, vous devriez vérifier si votre header.php contient une telle ligne :

<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>" />

Si tel est le cas, allez-y et supprimez-le.

Empêcher le piratage du blog WordPress - Utilisez toujours HTTPS lors de la connexion à votre tableau de bord

HTTPS est la version sécurisée de HTTP. Lorsque vous utilisez HTTPS, vos données, c'est-à-dire les mots de passe et les noms d'utilisateur, ne sont pas envoyées en texte clair, mais elles sont cryptées. Il est donc plus difficile pour les personnes d'intercepter et de décoder correctement votre mot de passe et votre nom d'utilisateur.

Si vous souhaitez utiliser HTTPS lors de la connexion à votre tableau de bord WordPress, vous pouvez utiliser l'un des codes ci-dessous et les ajouter à wp-config.php .

définir('FORCE_SSL_LOGIN', vrai);

Le code ci-dessus oblige WordPress à utiliser SSL lors de la connexion à votre panneau d'administration, mais uniquement lors de la connexion. Il n'impose pas l'utilisation de SSL lors de l'utilisation de votre tableau de bord.

Au lieu de le faire manuellement, vous pouvez également simplement ajouter un plugin comme WordPress HTTPS (SSL)

Pour empêcher le piratage du blog WordPress - Bloquer les tentatives d'accès au répertoire wp-admin

Le dossier wp-admin est l'un des répertoires les plus importants de votre blog. Vous pouvez accéder à votre tableau de bord via celui-ci. Empêcher d'autres personnes d'accéder à ce répertoire est une étape essentielle pour sécuriser votre blog.

Vous pouvez le faire en créant un fichier .htaccess dans le répertoire wp-admin . Ajoutez-y le code ci-dessous, mais remplacez les adresses IP par les vôtres. Si vous ne savez pas quelle est votre adresse IP, visitez simplement WhatIsMyIP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Contrôle d'accès"
Type d'authentification de base
refuser la commande, autoriser
refuser de tous
# adresse IP personnelle sur liste blanche
permettre à partir de 64.233.169.99
# adresse IP professionnelle sur liste blanche
permettre à partir de 69.147.114.210
autoriser à partir de 199.239.136.200

Cela n'a pas de sens d'utiliser ce code si vous avez beaucoup de personnes qui écrivent sur votre blog, surtout si elles changent constamment. Le problème est que vous devez toujours ajouter/supprimer des adresses IP, en fonction de qui a besoin d'accéder à votre blog en ce moment.

Un autre inconvénient est lorsque votre fournisseur d'accès Internet vous attribue une adresse IP dynamique, ce qui signifie que votre adresse IP change constamment. Si tel est le cas, n'ajoutez pas le code au fichier .htaccess .

Pour empêcher le piratage du blog WordPress - Limitez le nombre de tentatives de connexion WordPress infructueuses

Limiter le nombre de tentatives infructueuses empêche les utilisateurs d'utiliser des techniques de force brute sur votre compte WordPress. Une attaque par force brute est une tentative de découvrir le mot de passe de l'utilisateur en essayant tous les mots de passe possibles.

En guise de contre-mesure, il existe des plugins qui bannissent automatiquement un utilisateur pendant une heure s'il se trompe de mot de passe trois fois de suite. Login Lockdown est l'un de ces plugins WordPress.

Masquer les erreurs de connexion au tableau de bord

Avez-vous déjà remarqué que lorsque vous essayez de vous connecter avec un nom d'utilisateur existant et un mot de passe erroné, vous obtenez un message indiquant Erreur : Mot de passe incorrect . Si vous vous connectez avec un nom d'utilisateur inexistant et un mot de passe, un message différent s'affiche et signale l' erreur : nom d'utilisateur non valide .

Cela aide les utilisateurs malveillants à déterminer quels types de noms d'utilisateur existent.

Je vous conseille donc d'ajouter la ligne suivante à votre fichier functions.php :

add_filter('login_errors',create_function('$a', "return null;"));

Chaque fois qu'une erreur se produit, une ligne vide apparaît. Essaye le.

Article recommandé : 10 façons d'améliorer la sécurité des blogs