Nous avons compilé une liste de recommandations pour vous aider à protéger au mieux votre [appareil/produit]. WordPressÉtant le système de gestion de contenu le plus utilisé au monde, il est fréquemment la cible d'attaques de pirates informatiques, d'attaques par force brute et de bots. Si vous avez sélectionné toutes les options par défaut, vous risquez de rencontrer des problèmes. sécurité Cela pourrait mettre votre site web hors service ou contenir du code malveillant. Découvrez les mesures à prendre pour renforcer votre protection.

1. N'utilisez pas le préfixe wp_ pour la base de données.

Dès l'installation de WordPress, vous devez fournir une série d'informations pour que WordPress puisse communiquer avec la base de données.

La plupart de ces informations sont fournies par votre hébergeur, comme le nom de la base de données, votre nom d'utilisateur et votre mot de passe. Il vous reste cependant une décision à prendre : choisir le préfixe des tables qui seront créées pour WordPress.

Par défaut, le préfixe proposé sur cet écran est wp_vos tableaux ressembleront donc à ceci : wp_options, wp_comments, wp_posts, etc.

Et, bien sûr, c'est quelque chose que tous les hackers savent, et c'est informations gratuites que nous fournissons à tout attaquant potentiel, qui sait que si vous n'effectuez pas une installation sécurisée, les tables WordPress – qui sont standard – auront ces noms complets si vous ne modifiez pas le préfixe.

Si La première étape pour sécuriser WordPress est même avant son installation., dans cette étape : modifier le préfixe des tables par défaut (wp_) par une autre personne de votre choix, par exemple wptabla_ o X1jM_ Ou tout autre nom que vous souhaitez. L'important n'est pas la longueur ni la complexité du nom, mais au moins, n'utilisez pas le préfixe par défaut.

2. N’utilisez pas le compte administrateur pour accéder à WordPress.

Une autre décision que nous devons prendre lors de l'installation de WordPress Il s'agit du nom du premier utilisateur à avoir accédé à l'administration de notre site web., utilisateur qui disposera par défaut de tous les droits de gestion.

Depuis des années, WordPress propose un nom d'utilisateur par défaut qu'il est évidemment déconseillé d'utiliser. Par conséquent, lors du choix de votre premier nom d'utilisateur pour vous connecter à WordPress, évitez les noms courants, tels que… admin, Administrateur, racineetc., car ce sont les premières choses qu'un pirate informatique qui souhaite prendre le contrôle de votre site web vérifiera.

3. Utilisez un mot de passe fort

Je sais qu'il est difficile de vous faire écouter ce conseil très basique, mais il est crucial que vous compreniez que plus un mot de passe est facile à retenir (pour vous), plus il sera facile pour les systèmes d'accès par force brute automatisés des attaquants de le pirater.

WordPress, dans ses dernières versions, intègre un générateur de mots de passe robustes et vous recommande de l'utiliser. Il s'agit toujours de la meilleure solution. Vous pouvez toutefois ignorer cette recommandation et utiliser un mot de passe simple et peu sécurisé, mais vous commettriez alors une violation de la confiance. la principale et la plus importante faille de sécurité de toutes les possibilités.

Il est actuellement inutile d'utiliser des mots de passe faciles, car tous les navigateurs offrent la possibilité de les mémoriser sur votre ordinateur. Utilisez toujours des mots de passe forts.qui contiennent des lettres minuscules, des lettres majuscules, des chiffres et des caractères spéciaux.

Si vous avez de nombreux utilisateurs enregistrés, vous pouvez même imposer des changements de mot de passe afin de garantir la sécurité de tous les mots de passe, y compris celui de l'administrateur. Par exemple :

• Imposer un changement de mot de passe tous les 30 jours
• Réinitialisation de tous les mots de passe

4. Utilisez toujours la dernière version de WordPress.

Le seul danger réside dans le travail sur un réseau doté de logiciels obsolètes ou insuffisamment mis à jour. Les pirates informatiques ciblent généralement les sites dont les versions sont anciennes et obsolètes.car elles ont tendance à être plus vulnérables, n'intégrant pas une protection suffisante contre les types d'attaques connus.

Heureusement, WordPress propose un système de mise à jour automatique, aussi bien pour le noyau WordPress lui-même que pour les plugins et les thèmes.

Par défaut, vous n'avez pas à vous soucier de la maintenance et des mises à jour de sécurité de WordPress, car elles sont effectuées automatiquement. Vous serez simplement averti lorsqu'une mise à jour sera terminée. Cependant, vous devrez effectuer les mises à jour vers les versions majeures, même si cela ne nécessite qu'un seul clic.

Par exemple, la mise à jour de WordPress de la version 4.3.1 à la version 4.3.2 se fait automatiquement. En revanche, la mise à jour de la version 4.3.xa à la version 4.4 nécessite une intervention, même si elle se résume à un simple clic.

[Tweet « Les pirates informatiques ciblent principalement les sites web dont les versions sont obsolètes car ils sont plus vulnérables »]

5. Mettre à jour les plugins installés

WordPress est sécurisé, et c'est normal car une large communauté assure sa maintenance, son développement et sa croissance, mais on ne peut pas en dire autant des plugins.

Aussi populaire que soit un plugin, il se cache souvent derrière lui un seul programmeur qui, pour des raisons évidentes, n'a ni les ressources ni le temps de le maintenir constamment à jour.

C'est pour cette raison que Le principal point d'entrée des attaques contre une installation WordPress se fait généralement via des plugins obsolètes..

WordPress propose un système de notification et de mise à jour automatique des plugins installés ; n’hésitez donc pas à le mettre à jour dès que vous en voyez un.

Si vous n'utilisez pas d'extensions provenant du répertoire officiel, WordPress risque de ne pas détecter automatiquement les mises à jour disponibles. Dans ce cas, vous devrez consulter régulièrement le site web du développeur.

6. Mettez à jour le thème actif

Il est tout aussi important d'utiliser systématiquement une version mise à jour du thème actif, car Les pirates informatiques savent qu'ils ne changent généralement pas très souvent.Cela leur donne le temps d'apprendre de votre code et d'inventer des moyens de vous compliquer la vie, voire de vous causer des ennuis.

Si vous utilisez un thème du répertoire officiel de WordPress, WordPress vous informera des mises à jour. En revanche, si vous utilisez une extension achetée ailleurs, vous devrez suivre les annonces de son créateur et la mettre à jour dès que de nouvelles fonctionnalités seront disponibles.

7. N’utilisez pas de plugins ou de thèmes obsolètes.

L'une des principales sources de vulnérabilité est l'utilisation de plugins et de thèmes obsolètes ou abandonnés. Consultez régulièrement la page du développeur de votre thème et de vos plugins pour vérifier s'il a récemment mis à jour son produit. Si ce n'est pas le cas, Recherchez une alternative offrant les mêmes fonctionnalités.

Si vous utilisez des thèmes et des plugins provenant du répertoire officiel de WordPress, vous trouverez toutes les informations disponibles, telles que la date de la dernière mise à jour et la compatibilité avec les dernières versions de WordPress.

De plus, le répertoire officiel de WordPress supprime automatiquement les plugins et les thèmes qui n'ont pas été mis à jour depuis plus de deux ans, offrant ainsi une garantie supplémentaire.

Si vous utilisez des thèmes et des plugins téléchargés depuis d'autres sites, vous devez consulter leur site web et installer manuellement les mises à jour.

8. Supprimez les plugins et thèmes que vous n'utilisez pas.

Conformément à l'action précédente, Avoir des plugins et des thèmes inactifs installés est dangereux.Tout simplement parce que nous y prêterons moins attention puisqu'elles sont inactives. Non seulement elles occupent de l'espace sur votre hébergement, mais elles constituent également un point d'entrée pour d'éventuelles vulnérabilités de votre site web.

Le seul thème actif que vous devriez laisser installé est le dernier thème WordPress par défaut disponible (actuellement). Vingt-quinze), ce qui implique une règle de protection supplémentaire pour votre site web, Car si WordPress détecte un problème avec votre thème actif et ne parvient pas à le charger, il tentera d'activer automatiquement le thème par défaut s'il le trouve installé.

9. Téléchargez des plugins et des thèmes pour les sites web sécurisés

Le répertoire officiel est l'endroit le plus sûr pour télécharger des extensions et des thèmes. Vous y trouverez des versions mises à jour, testées et sécurisées des dernières nouveautés. Ce sont ces thèmes et extensions que vous pouvez installer à l'aide du programme d'installation inclus avec votre site WordPress, et auxquels vous pouvez également accéder aux adresses suivantes :

https://es.wordpress.org/plugins/

https://es.wordpress.org/themes/

De plus, il existe des plateformes de vente de thèmes et de plugins, telles que : Envato, Thèmes Woothemes o Elegant Themes, de grande qualité et de soin apporté à ses produits.

Bien sûr, Ne téléchargez jamais de plugins et de thèmes depuis des réseaux P2P comme Torrent ou eMule.Ils sont généralement tous infectés par des virus et des logiciels malveillants.

10. Protéger le fichier de configuration WordPress

Le fichier de configuration WordPress, le fichier fichier wp-config.php, Il contient des informations hautement sensibles concernant votre serveur :

• Nom de la base de données
• Utilisateur de la base de données
• Mot de passe de la base de données
• Préfixe de la table de base de données.

Pour cette raison Il est essentiel de le protéger des regards indiscrets et, bien sûr, des modifications indésirables..

Pour ce faire, vous pouvez effectuer les actions suivantes :

1. Déplacez-le dans un dossier parent, de sorte que s'il se trouve dans le chemin …/public_html/mydomain.es/ déplacez-le dans le dossier …/public_html/.
2. Protégez-le contre l'écriture en modifiant les permissions à 444.
3. Ajoutez les règles suivantes à votre fichier .htaccess Apache pour empêcher tout accès non autorisé :

   ordre autoriser, refuser refuser de tous

11. Protégez le dossier des fichiers téléchargés

Le tapis ajouts, situé sur la route votresite.com/wp-content/uploads où vous téléchargez les images et les documents que vous joignez à vos articles WordPress, C'est le plus vulnérable aux attaques. De façon que Il est extrêmement important de le protéger afin d'empêcher l'exécution de virus ou de scripts malveillants.

Par défaut, WordPress n'autorise pas le téléchargement de fichiers exécutables dans ce dossier, mais les pirates informatiques utilisent des techniques pour contourner cette règle. Nous devons appliquer une protection supplémentaire, en définissant expressément quelles extensions de fichiers peuvent y être téléchargées.

Pour ce faire, nous allons ajouter les lignes de code suivantes au fichier de configuration Apache caché .htaccess, situé dans le dossier où vous avez installé WordPress :

Autoriser, Refuser Refuser de tous  Ordre Refuser, Autoriser Autoriser de tous

12. Faites des sauvegardes

S'il existe une règle immuable en matière de sécurité, c'est que, quelles que soient les mesures mises en œuvre, il y aura toujours une nouvelle vulnérabilité contre laquelle nous ne serons pas protégés ; nous aurons toujours un coup de retard sur les attaques malveillantes. Ainsi, en cas de catastrophe, La seule chose qui puisse nous éviter la perte potentielle de tout notre contenu, c'est d'avoir des sauvegardes..

Regarde ça votre fournisseur d'hébergement web Il offre des sauvegardes entièrement automatiques. De plus, il installe un plugin de sauvegarde comme BackWPupqui vous permet de programmer différentes tâches de sauvegarde, vous permettant ainsi d'enregistrer vos sauvegardes sur un autre serveur, de les envoyer par e-mail, ou même automatiser son enregistrement sur les services cloud comme Dropbox, Amazon S3 ou Google Drive, entre autres.

[Tweet "Pour éviter les attaques de personnes inconnues sur votre site WordPress, la règle numéro 1 est d'avoir des sauvegardes"]

13. Limiter les tentatives d'accès

La plupart des attaques actuelles contre les sites WordPress sont menées via tentatives de connexion massives via l'écran de connexionIl est donc essentiel de protéger l'accès interne à votre site WordPress.

Pour ce faire, nous pouvons appliquer différentes mesures de sécurité :

1. Désactivez l'enregistrement des utilisateurs, empêchant ainsi les utilisateurs malveillants d'exploiter d'éventuelles vulnérabilités pour obtenir des autorisations supplémentaires sur votre installation et la possibilité d'y apporter des modifications.
2. Ajoutez un système de vérification humaine comme reCaptcha, ce qui empêche les accès indésirables par des machines automatisées tentant d'accéder à votre site.
3. Installez un plugin pour empêcher les tentatives de connexion massives, tel que : Limiter les tentatives de connexion, le module Protégé par JetPack ou les utilitaires de ce type que l'on trouve dans la plupart des plugins de sécurité, pour bloquer ces types d'attaques.

14. Installez un plugin de sécurité

Bon nombre des mesures de sécurité que nous pouvons appliquer à notre installation WordPress sont incluses dans des plugins spécialisés dans la sécurisation de WordPress.

La plupart d'entre eux contiennent Ajustements visant à prévenir les attaques par force brute, les injections de code et les modifications de fichiers systèmey compris des systèmes d'alerte pour vous tenir informé de toute attaque potentielle en cours.

Les plus recommandés sont les suivants :

• WordFence
• iThemes Security
• Conformité aux lois

15. Utilisez des permissions de fichiers et de dossiers sécurisées

Par défaut, WordPress applique autorisations de lecture et d'écriture sur les fichiers et les dossiers qui, à l'occasion, peut être modifié, soit automatiquement par certains plugins, soit manuellement lorsque vous téléchargez vous-même des fichiers à partir des utilitaires de cPanel ou même via des clients FTP.

Les permissions par défaut que les fichiers et les dossiers devraient avoir Dans WordPress, il s'agit des éléments suivants :

• Fichiers: 644
• Dossiers : 755

Tout fichier ou dossier disposant de permissions excessives peut constituer une faille de sécurité. Vous devrez rétablir les permissions par défaut à l'aide du gestionnaire de fichiers cPanel ou de votre client FTP préféré.

16. Utilisez un proxy inverse comme CloudFlare

Une mesure qui améliorera non seulement la sécurité, mais aussi celle de WordPress, est : utiliser un service CDNQu'il s'agisse d'un vin rare et exotique ou du même vin dans différents millésimes, quel que soit votre choix au  réseau de diffusion de contenu des endroits reculés comme CloudFlareavec une formule gratuite très complète et des plugins qui facilitent son intégration avec WordPress.

En plus d'offrir un système de cache très puissant, Elle intègre également des mesures de protection telles que les suivantes :

• Obfuscation des adresses électroniques, empêchant la capture des adresses électroniques affichées sur votre site web
• Blocage des adresses IP des visiteurs dont le comportement est suspecté d'être celui d'attaquants
• Toujours en ligne, pour afficher une version en cache de votre site web même en cas d'attaque.

17. Créez un compte dans Google Search Console

Les anciens Outils pour webmasters Google, maintenant connu sous le nom de Google Search ConsoleEn plus des outils d'analyse et d'analyse essentiels pour votre site web, il offre une protection supplémentaire pour votre site WordPress.

En bref, il est essentiel que Enregistrez votre site dans Search Console. afin que Google puisse vous informer sur :

• Mises à jour de WordPress
• injections de code
• Avis de problèmes d'utilisabilité
• Problèmes de vitesse

Des plugins comme Yoast SEO ou pack SEO tout-en-un Ils permettent une intégration facile de WordPress avec Search Console.

18. Empêche l'accès à sploggers

Si, pour une raison quelconque, vous autorisez l'inscription des utilisateurs sur votre site WordPress, vous devez vous protéger contre ce que l'on appelle... sploggers, les utilisateurs qui s'inscrivent en masse sur des sites web pour tenter d'accéder à leurs paramètres, ajouter des commentaires indésirables, voire injecter malware.

La solution idéale pour ce type d'utilisateurs est bien sûr de désactiver l'inscription (comportement par défaut de WordPress). Toutefois, si vous avez activé l'inscription à des fins de fidélisation ou de marketing, il est recommandé d'installer l'extension la plus adaptée. détecter et éliminer cette menace: WangGarde.

19. Protégez le fichier .htaccess

Nous avons vu plusieurs actions que nous pouvons effectuer à partir du fichier Apache. .htaccess, Mais pour la même raison, il est tout aussi important de protéger ce même fichier.

Le fichier .htaccess est un fichier serveur Apache qui applique des règles à toute application installée sur votre hébergement, dans notre cas WordPress, vous permettant notamment d'appliquer des mesures de sécurité.

Pour protéger également le fichier .htaccess contre les accès non autorisés, vous pouvez inclure les lignes suivantes dans ce même fichier :

ordre autoriser, refuser refuser de tous

20. Protégez-vous du spam

L'une des tâches régulières de tout administrateur d'un système de gestion de contenu, tel que WordPress, est Contrôler le spam dans les commentaires. Premièrement, parce que cela constitue une source de distractions et de liens indésirables dans les formulaires de commentaires. Deuxièmement, parce que Certains pirates informatiques utilisent ces formulaires pour injecter du code. ce qui pourrait compromettre la sécurité de votre installation WordPress.

Pour y parvenir, nous pouvons et devons appliquer différentes stratégies :

• Ajoutez un système de vérification humaine Captcha à l'aide de plugins. Really Simple CAPTCHA ou le WangGuard mentionné précédemment.
• Activez un plugin anti-spam comme Akismet.
• Protéger les formes de la injection de caractères spéciaux.

Et bien sûr, sans rien installer, appliquez les règles de contrôle anti-spam depuis Réglages -> Commentaires dans votre installation WordPress :

• Approbation manuelle de tous les commentaires.

• Ajout de règles pour marquer automatiquement les commentaires indésirables comme spam.

21. Évitez la vulnérabilité de pingback

Il existe une vulnérabilité spécifique, appelée vulnérabilité de pingback, ce point mérite une mention spéciale car, bien que facilement résoluble, il laisserait inactives d'importantes fonctions de WordPress telles que la gestion à distance, l'utilisation d'applications mobiles ou même le système de pingbacks et de trackbacks.

Il est lié à Protocole XML-RPCCe protocole permet à WordPress de se connecter, par exemple, à l'application WordPress pour iOS ou Android, ainsi qu'à des éditeurs hors ligne et à certains systèmes de syndication de contenu ; par conséquent, en principe, la désactivation de ce protocole ne semble pas judicieuse.

La mauvaise chose est Il s'agit d'une faille béante permettant potentiellement aux attaquants d'injecter du code..

Toutefois, si vous êtes certain de ne jamais utiliser ce type d'application, la solution est aussi simple que de supprimer le fichier d'installation WordPress appelé xml-rpc.php.

Le seul problème est que lors de la mise à jour de WordPress, ce fichier sera recréé. Une solution plus précise consisterait donc à ajouter ces lignes au fichier .htaccess déjà existant :

# protéger xmlrpc Refuser l'ordre, autoriser le refus de tous

22. Vérifiez si des modifications ont été apportées à vos fichiers d'installation WordPress.

Il est important de garder à l'esprit que la sécurité doit être une préoccupation constante et active. Heureusement, WordPress nous aide à automatiser bon nombre de ces tâches, presque toujours gratuitement.

Et une excellente façon de surveiller notre installation WordPress Ceci est réalisé grâce à des extensions comme iThemes Security ou WordFence, évoquées précédemment. Ces extensions surveillent l'intégrité et les modifications potentielles des fichiers de notre installation WordPress, tentant d'empêcher les modifications et, lorsque cela s'avère impossible, nous informer de ces changements afin que nous puissions les annuler et rester en sécurité.

Connaissez-vous d'autres astuces pour améliorer la sécurité ?

J'espère que ces conseils et astuces pour protéger WordPress vous seront utiles. Ils ne sont pas exhaustifs, mais ils sont parmi les plus importants.

[hover_color align="center" background="" background_hover="" border="" border_hover="" border_width="0px" padding="60px 60px" link="https://selfish.com.mx/servicios/" target="" class="cta-blog themecolorbg" style=""]Ne prenez pas de risques, avec Selfish Protégez tous vos projets web !