Imaginez avec moi un instant que vous êtes un pirate à la recherche des moyens pour pirater des sites web ayant de bonnes réputations afin de les utiliser pour canaliser le trafic légitime vers une escroquerie « phishing » néfaste.
Comment voulez-vous cibler des sites Web pour un impact maximum? Une option serait de localiser et de cibler une seule vulnérabilité qui affecte des centaines ou des milliers de sites. Si une telle chose pourrait être trouvée et exploitée, vous pouvez créer un carnage numérique à très court terme.
Vous commencez à voir pourquoi renforcer votre site web est-il important ?
Etant le système de gestion de contenu le plus populaire sur le web, WordPress est une cible de choix pour les pirates. Mais il y a quelque chose que vous pouvez faire à ce sujet.
Pourquoi les mauvais « Hacks » arrivent à de bons sites Web ?
Heureusement, la version de base de WordPress est tout à fait sûre. Les Hacks sont rarement possible lorsqu’il s’agit de briser une faille sur la version de base de WordPress. Lorsque les exploits dans le noyau sont identifiés, elles sont rapidement corrigées.
Plutôt que d’aller attaquer le noyau (qui est une noix dure à casser) les pirates ciblent généralement des choses comme les mots de passe maladroitement choisis, des plugins mal codés, les permissions de fichiers laxistes, et les sites qui ne sont pas mises à jour avec beaucoup de vulnérabilités.
Puisque les pirates ont tendance à attaquer « des fruits mûrs », il n’est en contrepartie pas si compliqué que ça de rendre votre blog plus robuste pour le conserver en toute sécurité. Nous allons dans ce tutoriel vous présenter 5 méthodes que vous pouvez appliquer sur votre blog pour le rendre plus robuste.
Première Etape : Tout mettre à jour
Chaque fois qu’après un certain temps, une mise à jour WordPress est publié et accompagné d’un avertissement sinistre : « Ceci est une version de sécurité critique » Bien qu’un tel avertissement rend les choses très clair, il est important d’installer chaque mise à jour de WordPress aussi rapidement que possible (même celles qui ne vantent pas leur importance).
Cela ne vaut pas seulement pour le noyau soit. Installation des mises à jour du plugin et thème est rapidement tout aussi important que l’installation des mises à jour de base le plus rapidement possible.
Beaucoup de mises à jour des thèmes, des plugins, et du noyau WordPress sont proposées pour traiter des failles de sécurité importantes. Donc, la première chose que vous devez faire pour garder blog WordPress en sécurisé est de tout mettre à jour.
Étape 2: Utilisez un nom d’utilisateur unique et mot de passe sécurisé
Qu’est-ce qu’il y a de pire que d’utiliser un nom d’utilisateur « admin » ? Eh bien, c’est certainement d’utiliser un mot de passe « mot de passe ».
La page de connexion de WordPress est un objectif commun pour les attaques par force brute. Ces robots, feront plusieurs tentatives de connexion, en testant plusieurs noms d’utilisateur et de mots de passe.
La solution est d’utiliser un nom d’utilisateur et mot de passe sécurisé. Vous n’êtes pas toujours obligé d’utiliser un mot de passe qui n’a pas de sens, mais le faire rendra ce dernier encore plus complexe à deviner. C’est également le cas de votre nom d’utilisateur.
Considérant que WordPress dispose d’un générateur intégré mot de passe sécurisé, il n’y a vraiment aucune excuse pour ceux qui utilisent un mot de passe faible. Donc, si votre mot de passe n’est pas sécurisé, accéder à votre profil et modifiez-le.
Étape 3: Désactiver les Trackbacks et les Pingbacks
Si vous n’utilisez pas les trackbacks et pingbacks sur votre site WordPress, désactivez-les. Accédez à votre tableau de bord puis aux paramètres de discussions et décochez la case « Tentez de notifier les sites liés depuis le contenu des articles », et « Autoriser les liens de notification d’autres blogs… ».
Changer ces paramètres permettront encore à ces fonctionnalités d’être activé pour des articles et pages individuelles. Donc, la meilleure option est d’utiliser un plugin qui va complètement verrouiller les pingbacks et les trackbacks une bonne fois pour toutes.
Il y a au moins deux bonnes raisons pour lesquelles vous devriez envisager de désactiver les trackbacks et les pingbacks: ils peuvent conduire légitimer un spam et ils peuvent être utilisés dans une attaque DDoS coordonnés ou par attaque par force brute. Si vous les utilisez, alors prenez le temps de protéger votre site contre les trackbacks indésirables et les attaques par force brute.
Lisez notre tutoriel sur Comment désactiver les Trackbacks et Pings sur WordPress.
Étape 4: Cachez les erreurs PHP
PHP a intégré des capacités de débogage et vous pouvez afficher les messages d’erreur générés par PHP sur le frontend de votre site en ajoutant « define( ‘WP_DEBUG’, true); » sur votre fichier wp-config.php. C’est un outil très utile pour développeurs de thèmes et plugins. Cependant, vous ne devriez jamais afficher les erreurs PHP sur un site en production.
Dans certains cas, l’affichage des erreurs PHP peut fournir des informations qu’un pirate sophistiqué peut utiliser pour compromettre votre site. La solution simple est de désactiver le mode débogage en définissant « false » pour « WP_DEBUG ». Vous pourrez ajouter ce code sur le fichier « wp-config.php » de votre site.
Tutoriel recommandé : Quelles modifications sur wp-config.php pour sécuriser votre blog WordPress
Étape 5: Utilisez un préfixe de table unique
Si un pirate identifie une vulnérabilité de sécurité qui leur permet d’accéder à votre base de données, le dernier morceau d’information dont ils ont besoin est de récupérer le préfixe des tables. Par défaut, WordPress utilise « wp_ » comme préfixe pour toutes les tables de la base de données. Donc, pour leur rendre la tâche encore plus dure, vous devez choisir un préfixe qui n’est pas difficile à deviner.
Alors que vous pouvez changer le préfixe de votre base de données manuellement, c’est un peu complexe, et si vous vous trompez, vous aurez beaucoup de travail à restaurer. Au lieu de cela, il suffit de changer le préfixe de votre base de données avec un plugin en quelques secondes.
C’est tout pour ce tutoriel. J’espère qu’il vous permettra de rendre votre blog WordPress encore plus robuste. N’hésitez pas à partager ce tutoriel avec vos amis vos réseaux sociaux préférés.