WordPress est la plus populaire de logiciels de blog et le système de gestion de contenu le plus populaire. Pas étonnant que des attaquants essaient donc d'attaquer et de pirater aléatoirement les installations WordPress et les serveurs, car il existe sur Google diverses instructions sur comment exploiter les failles de sécurité.
Le Scanner de Sécurité WordPress
Es tu es incertain si votre site web WordPress ou votre blog sont vulnérables aux attaques de hackers et s'ils doivent être particulièrement protégés ? Alors effectuez le Scan de sécurité (page externe, gratuit). Le scan vérifie notamment la version de WordPress, qui doit être à jour. De plus, tous les plugins reconnus sont contrôlés et comparés avec une base de données de plugins dangereux. Si tout se passe bien, le résultat du test ressemblera à ceci:
Le scan vérifie également les noms utilisés par les administrateurs. Il convient de s'efforcer d'éviter que ce nom ne soit ni admin , ni identique à celui du site web lui-même.
Un autre scanner nommé Nikto vérifie votre site Web et votre serveur en général sur les failles de sécurité (il faut vous inscrire ou télécharger la version hors ligne).
Mesures générales
Il est absolument nécessaire d'utiliser un mot de passe fort pour votre utilisateur Admin WordPress, afin de sécuriser facilement WordPress et protéger contre les attaques. Ne jamais utiliser le même mot de passe plusieurs fois, ni pour plusieurs utilisateurs dans une installation WordPress, ni pour différents services et applications !
Parmi les mesures de sécurité les plus simples, il s'agit du suppression du compte standard avec l'identifiant 1 et le nom d'utilisateur »admin«. Car le nom de l'auteur avec l'index 1 peut être facilement déterminé en appelant la URL suivante.
www.yourblog.com/?author=1
Le domaine d'administration sur ton serveur devrait également être protégé par un Protection de répertoire. Sinon, on peut simplement appeler l'écran de connexion comme suit:
www.yourblog.com/wp-admin
Pour créer un verrouillage de répertoire pour l'espace administrateur:
Une fichier de mot de passe en dehors du répertoire à protéger et en dehors du répertoire principal déposer, nommé .htpasswd et ayant la structure suivante:
username:passworthash
Pour username , vous choisissez un nom d'utilisateur aléatoire qui ne doit pas être identique à votre nom d'utilisateur WordPress. passworthash est la valeur hashée du mot de passe avec lequel vous souhaitez authentifier l'accès au répertoire. Vous pouvez facilement générer le contenu de ce fichier avec un générateur htpasswd. Assurez-vous d'avoir des mot de passes sécurisés , cela devrait aller de soi !
Après cela, créer un fichier nommé .htaccess dans le répertoire wp-admin de ton installation WordPress avec le contenu suivant:
AuthType Basic AuthName "Passwortgeschuetzter Bereich" AuthUserFile /pfad/zur/Datei/.htpasswd AuthGroupFile /dev/null require valid-user
Une authentification à plusieurs facteurs, également appelée MFA, est ainsi garantie. Une rupture de média serait encore meilleure, mais cela irait probablement trop loin pour les sites Web d'information. Cela pourrait être différent en matière de banque en ligne.
Nun aussi interdire l'accès à partir de l'extérieur sur le fichier wp-config.php dans le chemin de WordPress, car dans ce fichier se trouvent toutes les informations d'accès importantes comme l'utilisateur de la base de données et son mot de passe correspondant. Dans le même répertoire ou dossier que wp-config.php se trouve une fichier htaccess. Dans ce fichier, ajoutez les lignes suivantes tout en bas:
\# Zugriff auf wp-config.php von außen verbieten <files wp-config.php> Order deny,allow deny from all </files>
Ces mesures devraient apporter une sécurité bien plus tangible, avec lesquelles vous pouvez déjà protéger efficacement WordPress contre les hackers !
Mettre à jour régulièrement les plugins et WordPress lui-même
Le tableau de bord signale la présence d'une mise à jour. Les mises à jour contiennent souvent mesures de sécurité ou du code pour fermer les failles de sécurité. Pour ceux qui trouvent l'actualisation manuelle trop fastidieuse, il suffit d'ajouter la ligne suivante dans le fichier wp-config.php pour activer l'actualisation automatique:
// Enable all automatic updates define( 'WP_AUTO_UPDATE_CORE', true );
Noch mehr Security-Tipps
Voici la traduction de l'extrait: Pour que les attaquants ou les hackers ne puissent pas lire directement la version de WordPress, et encore mieux si c'est automatique, ajoutez la ligne de code suivante en fin de fichier functions.php:
remove\_action('wp\_head','wp\_generator');
Vous pouvez modifier le fichier via le panneau d'administration, Design → Éditeur
Vous voulez encore plus sécuriser WordPress ? Alors ajoutez la ligne suivante à la fin du fichier wp-config.php:
define('DISALLOW\_FILE\_EDIT', true);
Empêche l'édition des fichiers PHP et CSS par les hackers via l'éditeur WP dans le panneau d'administration. Cependant, il ne faut interdire que les modifications de ces fichiers si vous n'avez pas besoin de modifier souvent ces fichiers (pour des raisons de confort). Vous pouvez cependant modifier tous ces fichiers directement sur le serveur web, par exemple via FTP ou Shell.
Si votre site WordPress ne prend pas en charge HTTPS ou SSL, vous ne devriez jamais accéder à votre installation en tant qu'administrateur via un réseau local sans fil d'un endroit public, car les attaquants pourraient alors lire votre mot de passe en clair ! Et ce chemin que vous voulez certainement éviter ! Il faudrait parfois accepter des conséquences juridiques si vous exposez des sécurités à travers les réseaux sans fil. SSL peut cependant être utilisé uniquement avec un certificat kostenpflichtigen qui est généralement payant, donc plutôt que les entreprises aient cette possibilité.
Authentification à deux facteurs
A l'aide d'un plugin, une authentification à deux facteurs peut être mise en place lors du connexion. Pour cela, il faut également créer une application Google. Outre le login WordPress proprement dit, il faut s'autoriser par téléphone. Le plugin s'appelle Google Authenticator – Two Factor Authentication (2FA). Merci à Ralf pour ce super commentaire qui m'a permis de faire cette mise à jour !
Limiter le nombre d'essais de connexion
Incroyable, mais vrai: par défaut, n'importe qui peut faire autant de tentatives d'authentification que vous le souhaitez dans votre espace administrateur ! Dans l'esprit de la sécurité WordPress, vous devez installer un plugin comme Login Lockdown pour mettre en place une limite. Après installation, vous trouverez les options du plugin sous Paramètres -> Lockdown d'authentification. Là, vous pouvez notamment configurer combien de fois quelqu'un peut tenter de se connecter sans interruption, c'est-à-dire combien d'échecs il a subis. Une fois que ce nombre est atteint, une connexion depuis la même adresse IP ne sera plus possible pendant 5 minutes. Vous pouvez également configurer cette durée. Maintenant, les malveillants devront faire davantage d'efforts pour essayer de vous pirater !
Il est également très utile de configurer Mask Login Errors. On devrait l'activer sur Yes. Ainsi, l'attaquant n'obtiendra aucune information quant à la raison pour laquelle son inscription a échoué. Sinon, on lui indique si le nom d'utilisateur est connu mais que le mot de passe est incorrect ou si déjà le nom d'utilisateur était incorrect.
Changer le préfixe de table
Normalement, chaque table commence par le préfixe wp . Cela facilite les attaques de SQL Injection en permettant la lecture ou la manipulation des contenus de tables dans la base de données. Avant l'installation, on peut modifier ce préfixe en éditant le fichier _wp-config.php. Si l'installation a déjà été effectuée, alors le plugin Change DB Prefix peut aider.
Nous avons ourselves récemment reçu un commentaire spam qui contenait une tentative d'injection SQL grossière et laisse deviner le chemin des hackers:
C'était probablement un compatriote russe qui ne sait ni écrire correctement l'anglais ni le SQL. Car la requête SQL contient des erreurs de syntaxe et n'a pas d'effet sur la base de données. Il est difficile d'en imaginer de plus bête, mais encore moins concevable si cette attaque avait réussi !
Lisez les fichiers Readme et Licence ou protégez-les ou supprimez-les
Les fichiers readme.html et license.txt se trouvent dans le répertoire principal de l'installation et contiennent des informations sur la version WordPress. Ils offrent un bon point de départ pour les attaquants afin d'évaluer leur cible. Soit on supprime ces deux fichiers, car ils ne sont pas nécessaires au fonctionnement. Ou soit on ajoute les lignes suivantes à la fichier htaccess qui se trouve dans le répertoire racine:
# Protect readme.html File <Files readme.html> order allow,deny deny from all </Files>Plugins de sécurité utilisent
Avec un plugin comme Bullet Proof Security, largement répandu et très apprécié par les administrateurs dans de nombreuses installations, on obtient une solution gratuite et complète pour fermer des failles de sécurité potentielles et des portes d'entrée.
Le plugin répousse diverses attaques, il protège par exemple le fichier htaccess, installe une pare-feu autour de l'ensemble de l'installation, limite le nombre maximum d'essais de connexion autorisés, vérifie les mots de passe et offre une protection efficace pour la base de données.
Ce plugin de sécurité est très simple à utiliser et peut être installé et configuré en quelques clics, essayez-le incontournablement !
Autres indications
Évidemment, tu devrais effectuer régulièrement un Backup de tes installations WordPress, cela suffit à copier le répertoire d'installation sur un disque local. En aucun cas ne déposer ce Backup sur le même serveur où WordPress est installé ou l'uploader par FTP ! Le plugin mentionné précédemment crée, en effet, un Backup de ta base de données ! Une mesure une fois pour toutes comme la modification de htaccess pour sécuriser les installations et d'autres paramètres de sécurité décrits ci-dessus protègent bien contre les intrusions. Très important sont les mises à jour proposées pour les plugins et les thèmes. Lire toujours le Change Log et installer inconditionnellement si des failles de sécurité ont été corrigées.
Si tu crées toi-même des thèmes ou modifiques des modèles existants, assure-toi que ton design web ne laisse pas d'ouvertures de sécurité. Informe-toi avant d'utiliser bibliothèques Javascript externes, pour savoir si elles sont considérées comme sûres.
WordPress possède d'ailleurs un archive des communications de sécurité.
Vérifier les sites web
Les aspects sécurité et protection des données vont de pair. Quiconque sécurise son site WordPress devrait avoir à l'esprit non seulement les hackers mais aussi les lois sur la protection des données. Avec le check en ligne de votre site, vous saurez directement comment il est configuré.
Le contrôle de site Web fonctionne tout simplement:
- Adresse du site Web à saisir
- Appuyez sur le bouton "start
- Attendez quelques secondes, résultats directement à voir dans votre navigateur
Messages clés
Pour protéger votre site WordPress, utilisez un mot de passe fort, mettez-le à jour régulièrement et protégez votre espace d'administration avec un mot de passe supplémentaire.
Pour protéger votre site WordPress contre les hackers, mettez à jour régulièrement les plugins et WordPress, protégez le fichier wpconfig.php et activez l'authentification à deux facteurs.
Pour sécuriser votre site WordPress, il est important d'utiliser un mot de passe fort, l'authentification à deux facteurs et de limiter les tentatives de connexion.
Pour sécuriser votre site WordPress, utilisez un plugin de sécurité, mettez à jour régulièrement vos plugins et thèmes, et protégez vos données.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
