10 étapes pour WordPress protection de sécurité

S criptés sites / blogs utilisant WordPress sont de plus en plus commun. Et en tant que tels, ils sont de plus en plus tentant cibles pour les pirates et les Trashers. Il serait peut-être quelque chose d'aussi simple que de mettre une image sur votre site qui va "phhpttttt! J'étais ici! "Ou il peut aller aussi loin que de prendre sur votre site, vous refuser l'accès, pour ensuite la tenue de votre site pour obtenir une rançon. Les programmes malveillants peuvent être placés sur votre site qui pourrait infecter les ordinateurs des visiteurs et pas le moindre de vos soucis, vous vous interdit par les moteurs de recherche.

ordpress.org W fait un excellent travail de l'élimination de portes d'entrée possibles dans le code de WordPress avec mises à jour fréquentes. Toutefois, il est le code open-source et est développé par des centaines sinon des milliers de personnes. (Surtout quand on considère la multitude de thèmes et de plugins disponibles) Malheureusement, les pirates travaillent aussi dur de trouver des moyens d'exploiter WordPress toute façon, ils peuvent.

Q u'est-pouvez-vous faire?

J'ai compilé un certain nombre de choses que vous pouvez faire de façon proactive pour aider à garder votre WordpPress sécurisé. Note: je l'ai dit "aider" garder votre site sécurisé. Quand il s'agit de sites Web et les pirates, il n'ya aucune garantie que votre site ne peut être attaqué avec succès. Mais vous pouvez rendre votre site désagréable à l'attaque et plus sûr.

Attention! Les mesures de sécurité ci-dessous vont de facile et rapide à ceux qui exigent des côtelettes "dans le codage. Il est possible de mettre en œuvre certaines mesures de manière incorrecte et vous-même ces lock-out à partir de votre site sans aucun moyen de corriger votre erreur. Vous pourriez même endommager votre site. Je ne peux prendre aucune responsabilité pour tout problème que vous pourriez avoir l'application de ces mesures de sécurité.

chapeau T étant dit ... Nous allons commencer par ceux de base et d'obtenir plus compliqué que nous continuons.

1. oujours A utiliser la dernière version de WordPress. Comme je le disais, la sécurité des logiciels est un combat permanent et WordPress.org fait un grand travail de répondre aux menaces les plus récentes. Si vous avez des préoccupations au sujet de l'entreprise a adopté «première» des nouvelles versions, attendez quelques jours ou une semaine avant la mise à jour. Soyez conscient que la mise à jour peut provoquer des problèmes avec vos plugins ou thèmes. Vous devez sauvegarder vos WordPress avant la mise à jour. Voir wordpress.org pour plus de détails.




2. D on't utilisation d'un simple mot de passe facile. Saviez-vous que les mots de passe les plus utilisés sont "password" et "1234567"? Est-ce vous? Comme indiqué par PCmag.com Voici les 10 mots de passe plus commune. Vous devez utiliser un mot de passe fort qui intègre des chiffres, des lettres majuscules et minuscules et des caractères "spéciaux" comme! »? ^% $ &) Je sais, je sais, ça va être difficile de se souvenir. Écrivez-le, votre navigateur le mémoriser ... C'est mieux que de donner carte blanche pour votre site! WordPress peut générer un mot de passe aléatoire fort pour vous. Dans votre tableau de bord aller à "utilisateur" et sélectionnez votre nom de compte (pour la plupart des gens, c'est probablement "admin") et assurez-vous que votre adresse e-mail est correcte. Connectez-vous à partir de WordPress et puis au lieu de vous connecter à nouveau, cliquez sur "Vous avez perdu votre mot de passe?" Votre WordPress Envoyer à un nouveau mot de passe, forte généré de façon aléatoire.




3. aintenant que nous avons parlé de votre "compte d'utilisateur admin ... Débarrassez-vous! Eh bien, pas totalement. Ajouter un nouvel utilisateur avec des privilèges d'administrateur. Utilisez un nom d'utilisateur n'est pas totalement évident et un mot de passe. Déconnectez-vous de WordPress et puis vous connecter avec votre nouveau nom d'utilisateur et mot de passe. Maintenant vous pouvez aller à la "Utilisateurs" zone et modifier le compte d'utilisateur admin ". La plupart des gens quitter le nom d'utilisateur principal "admin" ... des attaquants le savent! Modifier votre "admin" utilisateur en changeant son rôle de «l'administrateur» à «abonné». Enregistrez les modifications. Maintenant, si un hacker tente de prendre en charge la norme compte "Admin", ils n'ont pas de privilèges pour changer quoi que ce soit.
   Remarque: Si vous avez installé votre site WordPress en utilisant Fantastico, vous étiez probablement déjà invité à entrer votre nom d'utilisateur et mot de passe lors de l'installation. Changez votre mot de passe pour un fort si vous ne l'avez pas fait à l'origine.




4. D ans le tableau de bord sur Paramètres généraux. Assurez-vous que les "membres-Tout le monde peut s'inscrire" dans la case est cochée l'ONU. Assurez-vous que le «Nouvel utilisateur Rôle par défaut" est réglé à l'abonné.




5. C 'est un bon moment pour ajouter une certaine protection de connexion. Les pirates cherchent souvent une force brute moyen d'accéder à votre site en cherchant des milliers de mots de passe dans l'espoir de découvrir la bonne. Le "Login Lockdown" plugin, l'activation sur, refuser l'accès de connexion pour 60 minutes pour quiconque essaie 3 mots de passe mal dans 5 minutes. Si vous souhaitez modifier ces paramètres, vous pouvez les modifier à la connexion Lockdown page de configuration.




6. H avant un autre plugin qui peut aider à garder les loups aux abois. C'est le pare-feu WordPress plugin. Ce plugin fait beaucoup! Il surveille votre site WordPress pour les attaques, protège vos plugins, et est le couteau suisse de la protection ... Vous pouvez lire ses caractéristiques à la page d'accueil plugin .




7. aintenant c'est là que nous commençons à plus geek. Dans la racine de votre installation de WordPress est un fichier nommé. Htaccess. Il peut contrôler beaucoup de choses sur votre site web. Plus que je ne peux aller dans ce poste. Quoi qu'il en soit, vous pouvez ajouter cette ligne suivante dans le htaccess. Fichier en utilisant un éditeur de texte.

    # Empêcher exploration des répertoires  
    Options Tous les indices- 

   N ormalement navigateurs peut voir dans les dossiers et faire rapport sur l'accès et même les fichiers à l'intérieur. Pour éviter ce sort concepteurs de site Web affichés mettre un fichier vide index.html dans chaque dossier. WordPress a beaucoup, beaucoup de dossiers - un trop grand nombre pour faire de cette pratique. Faire cet ajout dans le fichier htaccess. Nie dossier tiendra navigateurs (et des personnes) en dehors des dossiers où ils n'ont pas besoin de l'accès.

   
   

8. Je n WordPress racine il ya un fichier nommé wp-config.php, il est tout à fait un fichier important et que vous ne voulez pas que quelqu'un "accidentellement accéder" à lui comme il contient le nom d'utilisateur et mot de passe pour votre connexion à la base mySQL. Nous pouvons refuser l'accès par l'ajout de quelques lignes plus les mêmes. Htaccess que nous l'avons mentionné dans le n ° 7.

   # protect wpconfig.php <files wp-config.php> Order deny,allow deny from all </files> 




9. T son prochain conseil que j'ai trouvé est de Jeff Starr à la presse périssables site. Plusieurs attaques récentes sur WordPress ont utilisé la demande de longues chaînes très ... beaucoup plus longtemps que les légitimes serait. Le code ci-dessous peut être copié à faire un fichier php qui peuvent être placés dans votre dossier plugin WP. Des explications complémentaires peuvent être consultées sur son blog " Protéger contre WordPress malveillants Prie URL "

    <? Php / * Plugin Name: Block Bad * Requêtes /
   
    if (strlen ($ _SERVER ['REQUEST_URI'])> 255 | | 
         strpos ($ _SERVER ['REQUEST_URI'], "eval (") | | 
   	 strpos ($ _SERVER ['REQUEST_URI'], "base64")) (
              tête @ ("HTTP/1.1 414 Request-URI Too Long");
              tête @ ("Status: 414 Request-URI Too Long");
              tête @ ("Connection: close");
              @ sortie;
    )?> 




10. ordPress.org W suggère de remplacer le Secret "clés" dans votre fichier wp-config.php avec vos propres ceux secret. Si vous allez à la Secret Key Generator WordPress au hasard, à fixer sera généré similaires à celles ci-dessous (ne pas utiliser ces .. ils ne seraient pas très secret!)
    

      define ('AUTH_KEY', 'N! 3MZ9 +> L-5) = K & + +) _j7mM ZK5UFvZQ E (=* Vzp0Eae + i ^ oxy]!) B @ VFJ? x; & y = c');
     define ('SECURE_AUTH_KEY', 'Oex> dl; turc $ w + eHD (2] k% k (3uhH | L | 8DNQu [/ Np8_ & qz_ rp7v + z6YODdjz9% s ~');
     define ('LOGGED_IN_KEY', 'oOO1smvP? <4fSU0Sv, 5yeT `z # ns5_I? tEEL9Y [| CW! YO @ @ fkjw 

    J uste copie et puis collez les clés secrètes sur les dans votre fichier wp-config.php. Ne vous inquiétez pas avoir à les mémoriser, ils sont utilisés par WordPress pour crypter les informations.