Conseils de sécurité WordPress pour récupérer le site Web piraté WordPress et verrouiller WordPress en cas d'urgence.
Dernière mise à jour le
La sécurité de WordPress est un aspect très important de WordPress. Sans la sécurité appropriée de WordPress, vous ne pouvez jamais être sûr du succès de votre entreprise. Statistiques en direct sur Internet stipule que environ 70000 sites Web sont piratés chaque jour en moyenne. Parfois, il est sage d’utiliser la sécurité à 100%.
Dans ce tutoriel, nous couvrons les étapes essentielles pour verrouiller WordPress en cas d'urgence.
Depuis plus de 32% des sites Web utilisent WordPress Pour publier du contenu tous les jours, WordPress est davantage destiné au piratage. L’une des raisons les plus courantes de piratage de sites Web est l’utilisation de logiciels obsolètes.
WordPress est-il sécurisé?
Non!
Par exemple, Rapport de site Web piraté 2017 de Sucuri indique que 39,3% des sites Web WordPress exécutaient un logiciel WordPress obsolète au moment du piratage.
le Base de données de vulnérabilité WPScan découvre que plus de 70% des vulnérabilités sont dues à des logiciels obsolètes. Les versions les plus vulnérables de WordPress sont toutes de retour dans WordPress version 3.X.
Il est évident que WordPress s’est beaucoup amélioré en matière de sécurité. Cependant, comment savez-vous si Avez-vous réussi à sécuriser WordPress ou non?
Et bien non.
Il existe toujours de nouvelles méthodes de piratage et de phishing. Tout ce que vous pouvez faire, c'est prendre une bonne préparation. Assurez-vous également de suivre les meilleurs Conseils de sécurité WordPress. Cependant, si vous pensez que votre site Web a déjà été compromis, suivez ce tutoriel.
Lockdown WordPress en cas d'urgence
Parfois, il est judicieux de verrouiller WordPress. Lorsque vous savez que vous courez un risque élevé d’être piraté, nos experts WordPress vous suggèrent devrait verrouiller WordPress pendant un moment.
Les backdoors sont l'une des pires vulnérabilités en matière de sécurité. Les vulnérabilités de porte dérobée permettent aux pirates informatiques de contourner la sécurité pour accéder aux sites Web WordPress. Les vulnérabilités de porte dérobée peuvent être exploitées via – SFTP, FTP, wp-admin, etc. Selon Sucuri, 71% des logiciels malveillants étaient des portes dérobées sur toutes les tentatives de piratage informatique en 2017.
Étapes pour verrouiller WordPress
1. UTILISEZ DISALLOW FILE EDIT sur wp-config.php
Si vous souhaitez renforcer la sécurité de votre site Web et protéger WordPress de toute injection frontale, vous devez ajouter DISALLOW_FILE_EDIT ', true
paramètre dans votre wp-config.php
fichier.
Ceci est très utile lorsqu'un site est piraté ou risque de l'être.
Ouvrez votre wp-config.php
déposer et ajouter la ligne suivante après l'ouverture <? php
étiquette.
define ('DISALLOW_FILE_EDIT', true);
2. Utiliser la dernière version de PHP
Le facteur de sécurité le plus crucial du site WordPress est PHP. PHP est la colonne vertébrale de votre site WordPress. Il est essentiel et absolument essentiel que vous utilisiez la dernière version de PHP sur votre serveur. PHP 7.3 est la dernière version de PHP au moment de la rédaction de l'article, nous vous recommandons de toujours utiliser la dernière version de PHP.
Cependant, selon Statistiques WordPress, seuls 0,3% des utilisateurs utilisent la dernière version de PHP.
Chaque version de PHP est généralement pris en charge pendant deux ans après sa sortie. Pour le moment, les versions de PHP inférieures à 5.6 ne prennent pas en charge la sécurité et sont vulnérables aux menaces pour la sécurité. Cependant, les statistiques montrent que plus de 34% des personnes utilisent encore PHP 5.2, ce qui est un peu triste.
Si vous utilisez cPanel, voyez comment changer la version de PHP dans cPanel.
3. Vérifier les utilisateurs existants dans votre tableau de bord WordPress
Si vous pensez que des pirates informatiques se sont déjà connectés à votre système WordPress, allez à Utilisateurs >> Tous les utilisateurs.
Dans la liste, essayez de rechercher s’il existe des utilisateurs inconnus enregistrés sur votre système. Si vous découvrez des problèmes qui vous sont inconnus, supprimez ces utilisateurs dès que possible.
Assurez-vous qu'il n'y a pas d'utilisateurs inconnus sur cette liste.
4. Utilisez un mot de passe fort
L’un des conseils de sécurité WordPress courants que vous trouverez dans tous les blogs consiste à utiliser un mot de passe fort et intelligent. C’est acceptable si vous utilisez un mot de passe mémorable sur vos comptes de messagerie et réseaux sociaux, mais lorsque vous gérez votre propre site Web avec le privilège d’administrateur (Companion read: Autorisations utilisateur WordPress, expliqué), assurez-vous d’utiliser un mot de passe fort.
Faire ne pas utiliser un mot de passe commun comme "123456", comme révélé par Les mots de passe les plus courants de Fortune. Ne pas utiliser «iloveyou» car c’est un mot de passe commun aussi.
- Vous pouvez utiliser des services tels que Dernier passage, Bitwarden (une alternative open source à LastPass), 1Password générer un mot de passe fort avec des chiffres, des lettres majuscules, des lettres minuscules et des symboles. Ces gestionnaires de mots de passe peuvent également enregistrer votre mot de passe derrière un mot de passe principal pour votre commodité.
- Regardez notre Guide de sécurité WordPress sur la façon de choisir un mot de passe fort en plus de détails
5. Mise à jour de WordPress Core, des plugins et des thèmes
Les gens aiment les plugins WordPress. Certains meilleurs plugins WordPress aider les utilisateurs à optimiser les sites web pour le référencement ou améliorer PageSpeed sur WordPress.
Cependant, un indépendant enquête de Wordfence a découvert que plus de 60% des webmasters disent que les attaquants ont accès à leur site via des plugins ou des thèmes.
La mise à jour de plugins et de thèmes WordPress peut constituer un excellent choix. Bien sûr, cela consommerait toujours un peu de CPU en arrière-plan, mais cela en vaut la peine. Consultez notre guide sur Comment gérer les mises à jour automatiques de WordPress comme un pro pour apprendre à automatiser les mises à jour dans WordPress.
Comment gérer les mises à jour automatiques de WordPress comme un pro! [2019]
À emporter: Wordfence a récemment rapporté que une vulnérabilité dans AMP pour WordPress plugin pourrait ouvrir la voie à XSS (script intersite) touchant près de 100 000 sites Web sur lesquels le plugin a été actif.
6. Remplacer les fichiers WordPress Core
Si vous découvrez que votre site a été compromis mais que vous ne trouvez pas comment le résoudre, suivez cette procédure simple.
Si votre site WordPress est piraté et que vous vous demandez comment le réparer, essayez de remplacer vos principaux fichiers WordPress.
En suivant cette procédure, vous vous assurerez que votre site fonctionne à nouveau (sans aucun logiciel malveillant). Si vous remplacez des fichiers de base WordPress, assurez-vous d'avoir déjà effectué l'étape 1 décrite dans l'article.
- Téléchargez la dernière version de WordPress à partir de WordPress.org
- Déballez l'archive. et ouvrez le dossier WordPress.
- supprimer le wp-content et
wp-config-sample.php
fichier du dossier extrait - Zip tout à nouveau (sans le wp-content dossier et
wp-config-sample.php
fichier) - Connectez-vous à votre cPanel, supprimez tous les fichiers sauf le dossier wp-content et
wp-config.php
- Téléchargez le fichier zip WordPress nouvellement créé et extrayez-le dans votre dossier racine.
- Voir la vidéo suivante pour remplacer manuellement les fichiers de base WordPress.
À emporter: Cette procédure remplace tous les fichiers existants de votre installation WordPress, à l’exception de ceux du dossier wp-content. Habituellement, les pirates informatiques placent des fichiers malveillants dans wp-comprend dossier. Le remplacement de tous les fichiers de base WordPress garantira que votre installation WordPress est propre et ne contient aucun logiciel malveillant.
7. Effectuer une analyse de sécurité WordPress
Les analyses de WordPress Security sont un bon moyen de savoir exactement comment votre site a été compromis. Cependant, la plupart des analyses de sécurité WordPress sont payées. Voici une liste de sites Web sur lesquels vous pouvez planifier une analyse gratuite de WordPress Security.
Comment supprimer les logiciels malveillants de mon site wordpress?
– Les analyses de sécurité sont utiles pour détecter les vulnérabilités de sécurité.
Nous vous recommandons d'utiliser le site complet services de sécurité et d'accélération comme Cloudflare ou Incapsule
8. Activer la sécurité de connexion WordPress
Limiter les tentatives de connexion est un excellent plug-in qui empêche les adresses IP de faire des tentatives en continu une fois que la limite spécifiée de tentatives a été atteinte. C'est un bon outil contre les attaques par force brute.
9. Vérifiez les autorisations de vos utilisateurs WordPress
- Assurez-vous que les autorisations utilisateur WordPress correctes sont définies pour chaque utilisateur.
- Ne donnez pas l'accès administrateur à tout le monde. Ne fournissez qu'un accès administrateur en lequel vous avez confiance
- Explorez d'autres Autorisations utilisateur WordPress comme éditeur, contributeur
10. Utilisez HTTPS
HTTPS renforce la sécurité de votre site Web et rend plus difficile l’écoute des pirates. HTTPS est incontestablement essentiel pour une connexion sécurisée entre un site web et un navigateur.
La plupart des hébergeurs fournissent déjà Encryptons service SSL gratuit de nos jours. Regardez la vidéo suivante pour savoir comment vous pouvez activer Let’s Encrypt Free SSL dans cPanel.
Google a commencé à dynamiser le référencement des sites Web HTTPS depuis juillet 2018. Un article de blog sur Chromium intitulé Un Web sécurisé est là pour rester a expliqué la position de Google sur HTTPS.
11. Suivez le Guide de sécurité ultime de WordPress pour WP Hive [2019]
Avant de terminer, nous vous suggérons de marquer notre article dans les favoris 31+ conseils de sécurité pour WordPress: Guide de sécurité ultime pour WordPress [2019]. Nous mettons toujours à jour cet article avec de nouvelles façons de sécuriser votre site Web. L'article suivant inclut les meilleurs plugins de sécurité WordPress pour votre commodité.
31+ conseils de sécurité pour WordPress – Guide de sécurité ultime pour WordPress [2019]
Nous espérons que ces conseils de sécurité WordPress vous ont aidé à sécuriser votre site Web. Si nous avons manqué des conseils de sécurité WordPress essentiels, n'hésitez pas à nous le faire savoir via des commentaires.