Comment protéger wordpress d`une intrusion: votre liste incontournable

Video: Protéger Efficacement Votre Blog Wordpress des Virus et Hackers

Botnets dans le monde ont tourné leur attention d`envoyer des e-mails de spam pour le piratage systématique dans WordPress installs- c`est une entreprise lucrative étant donné que les pouvoirs WordPress 40% de tous les blogs. D`autant plus que même nous a été victime de cette, il est temps que nous avons fait un poste complet sur exactement comment protéger votre WordPress auto-hébergé installer.

Remarque: ce conseil est valable uniquement pour `autonome WordPress installations. Si vous utilisez WordPress.com, vous n`avez pas besoin généralement de se soucier de la sécurité, parce qu`ils gèrent tout pour vous. Quelle est la différence entre WordPress.com et WordPress.org?Quelle est la différence entre l`exécution de votre blog sur Wordpress.com & Wordpress.org?Quelle est la différence entre l`exécution de votre blog sur Wordpress.com & Wordpress.org?Avec Wordpress maintenant mise sous tension 1 dans tous les 6 sites, ils doivent faire quelque chose de bien. Pour les développeurs expérimentés et le novice, Wordpress a quelque chose à vous offrir. Mais comme vous commencez à ...Lire la suite

Installez Google Authenticator en deux étapes

Si vous avez déjà l`authentification en deux étapes activée pour votre compte Gmail ou d`autres services, vous pouvez utiliser la même application authentificateur avec ce plugin pour WordPress.

Heureusement, vous pouvez limiter l`authentification en deux étapes pour embêter être utilisé que sur les comptes de niveau supérieur afin que vous ne devez pas tous vos utilisateurs.

protéger wordpress

Connexion Lockdown

Un vieux plug-in, mais toujours travailler comme intended- Connexion Lockdown vérifie l`adresse IP de tentatives de connexion et bloque une plage d`adresses IP pour une heure si elle échoue 3 fois dans les 5 minutes. Simple, efficace.

Prenez des sauvegardes régulières

Les pirates informatiques ne seront pas seulement changer un fichier, mais placeront leur propre panneau de contrôle caché quelque part et d`autres backdoors cachés - de sorte que même si vous fixez le hack original, ils viennent de retour et tout faire à nouveau. Faites des sauvegardes quotidiennes ou hebdomadaires afin que vous puissiez facilement restaurer à un point où il n`y avait aucune trace du pirate - et assurez-vous de patcher quoi qu`il en soit, ils l`ont fait entrer en personnellement, je viens d`investir dans une licence de développeur d`amis de sauvegarde 150 $. - il est la solution de sauvegarde la plus simple et la plus complète que j`ai trouvé encore.

protéger le site wordpress

L`indexation des dossiers éviter

Vérifiez la racine de votre installation de WordPress pour le fichier .htaccess (remarquez la période au début - vous devrez peut-être afficher les fichiers invisibles pour voir ce sujet), et assurer qu`il a la ligne suivante. Sinon, ajoutez-le - mais faire une sauvegarde d`abord comme ce fichier est assez crucial.

Options Tous -Indexes

Restez à jour

Ne faites pas la même erreur que nous avons fait: toujours mettre à jour WordPress dès qu`une mise à jour est disponible. Parfois, les mises à jour contiennent des corrections de bugs mineures et pas des correctifs de sécurité, mais prendre l`habitude et vous n`aurez pas un problème. Si vous avez plus d`un WordPress installer et ne peut pas garder une trace de tous, consultez ManageWp.com, un tableau de bord prime pour tous vos blogs qui comprend l`analyse de sécurité.

Pas seulement les fichiers core WordPress, mais aussi des plugins: un des plus grands hacks WordPress du passé impliqué une vulnérabilité dans un script générateur miniature commun appelé timthumb.php, et il y a encore des thèmes là-bas qui utilisent l`ancienne version. Bien que les plugins ont été rapidement mis à jour, en gardant des thèmes à jour est plus difficile, bien sûr - WordPress ne vous dira pas si votre thème est vulnérable, et que vous une sorte de plug-in de balayage de sécurité - faites défiler jusqu`à la Plugins sécurité section ci-dessous quelques suggestions.

Jamais Télécharger Thèmes au hasard

Sauf si vous savez ce que vous faites avec le code PHP, il est très facile de tomber dans le piège de télécharger un thème belle au hasard de quelque part, pour trouver qu`il est a un code méchant là-dedans - Backlinks le plus souvent que vous ne pouvez pas supprimer, mais le pire peut être trouvé. Tenez-vous à la prime et les concepteurs de thème bien connus (Comme Smashing Magazine ou WPShower), ou pour thèmes gratuits utiliser uniquement le répertoire du thème WordPress.

Supprimer Plugins inutilisés et Thèmes

Le code moins exécutable que vous avez sur votre serveur, mieux - supprimer la chance d`avoir vieux, code vulnérable en supprimant les thèmes et les plugins que vous n`utilisez plus. La désactivation de simplement les arrêter leur chargement de fonctionnalité avec WordPress, mais le code lui-même peut encore être exécutable par un pirate informatique.

Retirer Meta Tell-tale dans votre tête

Par défaut, WordPress diffusé sa version au monde dans le code de votre fichier d`en-tête - un moyen facile pour les pirates informatiques pour identifier les installations plus anciennes. Ajoutez les lignes suivantes à votre thème de functions.php fichier à supprimer la version WordPress, informations Windows Live Writer et une ligne qui aide les clients distants trouver votre fichier XML-RPC.

remove_action ( `wp_head`, `wp_generator`) -remove_action ( `wp_head`, `wlwmanifest_link`) -remove_action ( `wp_head`, `rsd_link`) -

Supprimer le compte « admin »

Les plus attaques de force brute sur WordPress impliquer à plusieurs reprises essayer la admin compte - la valeur par défaut pour tous WordPress installe - et un dictionnaire de mots de passe communs. Si vous soit ouvrir une session avec admin ou avoir le compte administrateur figurant dans votre table utilisateur, vous êtes vulnérable à ce sujet.

Deux façons de le corriger: soit utiliser le plugin wp-optimize - un plugin qui entre autres choses, vous permet de désactiver les révisions post et d`effectuer l`optimisation des bases de données - pour renommer le compte administrateur. Ou tout simplement créer un autre compte avec des privilèges d`administrateur, connectez-vous en tant que nouvel utilisateur, puis supprimer le compte « admin » affecter tous les postes à votre nouvel utilisateur.

protéger le site wordpress

Les mots de passe sécurisés

Même si vous avez désactivé le compte administrateur, il peut être possible d`identifier le nom d`utilisateur de votre compte administrateur - à quel point vous êtes vulnérable à une attaque de force brute à nouveau. Faire respecter une politique de mot de passe fort de 16 ou plusieurs caractères aléatoires comprenant des majuscules et des minuscules, des signes de ponctuation et des chiffres.

Ou tout simplement utiliser le reallyLongSentenceThatsEasyToRememberMethod.

Désactiver la modification du fichier Dans WordPress

Pour ceux qui n`aiment pas se connecter via FTP, WordPress inclut un éditeur facile dans le tableau de bord d`administration pour les fichiers PHP thème et plugin - mais qui rend votre installation vulnérable si quelqu`un gagne l`accès. En fait, voici comment quelqu`un a réussi à injecter une redirection des logiciels malveillants dans notre tête. Ajoutez la ligne suivante au fond de votre wp-config.php (Dans le dossier racine) pour désactiver toutes les fonctions d`édition de fichiers - et l`utilisation SFTP pour vous connecter à votre serveur à la place.Qu`est-ce que SSH & Comment cela est différent de FTP [Technologie Explained]Qu`est-ce que SSH & Comment cela est différent de FTP [Technologie Explained]Lire la suite

définir ( `DISALLOW_FILE_EDIT`, true) -

Erreurs de connexion Cacher

Un mot de passe incorrect ou mauvais nom d`utilisateur peuvent être identifiés par les erreurs données lors de la connexion, qui pourraient être utilisés pour identifier les comptes de forçage brute. Ce n`est pas bon, évidemment, donc tuer les erreurs de cet ajout à votre thème functions.php fichier

fonction no_errors_please () {return `Non` -} add_filter ( `login_errors`, `no_errors_please`) -

activer Cloudflare

En plus d`accélérer votre site, de nombreux réseaux de zombies CloudFlare connus atténue et les scanners de même obtenir sur votre blog en premier lieu. Lis Tout à propos CloudFlare ici. L`installation est un clic si vous êtes hébergé chez MediaTemple, sinon vous aurez besoin d`un accès au panneau de commande de domaine pour changer les serveurs de noms.Protéger & Accélérez votre site web gratuitement avec CloudFlareProtéger & Accélérez votre site web gratuitement avec CloudFlareCloudFlare est une start-up fascinant des créateurs de Project Honey Pot qui prétend protéger votre site Web des spammeurs, robots et autres monstres web mal - ainsi que la vitesse de votre site un peu ...Lire la suite

Video: Protéger votre blog Wordpress avec BulletProof Sécurité

protéger le site wordpress

Plugins sécurité

  • Mieux WP Security met en œuvre un grand nombre de ces correctifs pour vous et est la solution gratuite la plus complète qui existe.protéger wordpress
  • WordFence est un package premium qui scanne activement vos fichiers pour les liens malveillants, les redirections, les vulnérabilités connues, etc. - et les fixe. Prix ​​à partir de 18 $ / an pour 1 site.
  • solution de sécurité Connectez-vous les limites tentatives de login et mots de passe sécurisés impose.
  • la sécurité est un plugin BulletProof complet mais complexe qui traite de certains aspects plus techniques comme l`injection XSS et les problèmes .htaccess. Une verison Pro du plug-in est également disponible qui automatise une grande partie du processus.

Je pense que vous serez d`accord avec cela est tout à fait une liste complète des mesures pour WordPress durcissent, mais je ne prétends pas vous mettre en œuvre tout d`eux. Si je devais faire toutes ces choses à tous les sites que j`ai jamais mis en place, je serais encore leur mise en place maintenant. L`exécution d`un type de système présente un risque, et il est en fin de compte à vous de trouver le juste équilibre entre le niveau de sécurité que vous voulez et l`effort que vous souhaitez mettre en fixant - rien ne va jamais à 100% sûr. Le fruit suspendu faible voici:

  • Garder WordPress à jour
  • La désactivation du compte admin
  • Ajout de l`authentification en deux étapes
  • L`installation d`un plug-in de sécurité

Faire les seuls devraient vous mettre au-dessus de 99% de tous les autres blogs là-bas, ce qui est suffisant pour rendre les pirates potentiels de passer à des cibles plus faciles.

Pensez-vous que je manqué quelque chose? Dites-moi dans les commentaires.

Articles connexes
Comment créer un blog en utilisant wordpressComment créer un blog en utilisant wordpress
Comment changer le nom d`un blog sur wordpressComment changer le nom d`un blog sur wordpress
Comment utiliser wordpressComment utiliser wordpress
Comment faire un blog wordpress privéComment faire un blog wordpress privé
Comment modifier des thèmes wordpressComment modifier des thèmes wordpress
Comment utiliser l`expression microsoft avec wordpressComment utiliser l`expression microsoft avec wordpress
Puis-je utiliser un nouveau thème sur un sous-domaine wordpress?Puis-je utiliser un nouveau thème sur un sous-domaine wordpress?
Comment utiliser windows live writer pour mettre à jour votre blog wordpress - fonctionnalités avancéesComment utiliser windows live writer pour mettre à jour votre blog wordpress - fonctionnalités avancées
Comment rendre votre site wordpress pour les visiteurs magnifique iphone ou ipod touchComment rendre votre site wordpress pour les visiteurs magnifique iphone ou ipod touch
Comment installer wordpress sur votre pc windowsComment installer wordpress sur votre pc windows
Comment installer windows vista dans wordpressComment installer windows vista dans wordpress
4 Doit-have plugins lors de l`utilisation en tant que portefeuille wordpress4 Doit-have plugins lors de l`utilisation en tant que portefeuille wordpress
Comment faire une sauvegarde à distance automatique de votre blog wordpressComment faire une sauvegarde à distance automatique de votre blog wordpress
Le thème de wordpress le plus impressionnant que vous ne savez probablement pas sur: p2Le thème de wordpress le plus impressionnant que vous ne savez probablement pas sur: p2
Comment ajouter un nuage de tags 3d cool de votre blog wordpressComment ajouter un nuage de tags 3d cool de votre blog wordpress
Pourquoi mettre à jour votre blog: vulnérabilités wordpress vous devriez être au courantPourquoi mettre à jour votre blog: vulnérabilités wordpress vous devriez être au courant
Quelle est la différence entre l`exécution de votre blog sur wordpress.com & wordpress.org?Quelle est la différence entre l`exécution de votre blog sur wordpress.com & wordpress.org?
Comment transformer facilement dans un blog wordpress site e-commerceComment transformer facilement dans un blog wordpress site e-commerce
6 Choses que vous pouvez faire pour sécuriser votre wordpress contre les pirates6 Choses que vous pouvez faire pour sécuriser votre wordpress contre les pirates
3 Des meilleurs plugins du forum wordpress3 Des meilleurs plugins du forum wordpress