Comment protéger WordPress contre les virus. Les meilleurs plugins WordPress pour la protection antivirus

Les fraudeurs peuvent tenter d'attaquer le site afin de pirater le panneau d'administration, voler les mots de passe des utilisateurs, modifier le code du site, accéder à des informations confidentielles, placer des liens cachés ou endommager la ressource de toute autre manière. À cause de telles attaques, vous pouvez perdre des clients, des positions dans les résultats de recherche, de la réputation ou même le site lui-même.

WordPress lui-même est un moteur assez sécurisé, mais une protection de base ne suffit pas.

Statistiques d'infection pour 2017

Des plugins spéciaux contribueront à augmenter la sécurité d'un site ; ils ne rendront pas le site complètement invulnérable à toute attaque, mais gêneront les attaquants.

Plugins pour protéger votre site WordPress

Sécurité et pare-feu WP tout-en-un

Le plugin protège Comptes utilisateurs, fichiers de code, rend la connexion au site plus sûre via comptes personnels, effectue des sauvegardes de base de données.

Ce que fait le plugin :

• ajoute un captcha à la page d'inscription et au formulaire de connexion au site pour se protéger du spam ;
• bloque l'entrée aux utilisateurs avec une adresse IP spécifique de manière temporaire ou permanente et accorde un blocage temporaire après plusieurs tentatives d'entrée infructueuses ;
• vous permet de visualiser l'activité du compte utilisateur ;
• effectue automatiquement des sauvegardes de base de données ;
• crée des copies de sauvegarde des fichiers .htaccess et wp-config.php originaux ;
• détecte les vulnérabilités dans les comptes, par exemple, avec le même nom et le même identifiant ;
• génère des mots de passe complexes ;
• désactive la modification de certains fichiers depuis le panneau d'administration pour protéger le code PHP ;
• ferme l'accès aux fichiers readme.html, licence.txt et wp-config-sample.php ;
• installe des pare-feu pour se protéger contre les scripts malveillants.

Panneau de contrôle des plugins

La configuration du plugin est claire :

All In One WP Security & Firewall est traduit en russe, l'installation est gratuite.

Sécurité à toute épreuve

Le plugin analyse le code malveillant, protège l'autorisation sur le site, ne laisse pas passer le spam et effectue des copies de sauvegarde.

Ce que fait le plugin :

• protège les fichiers wp-config.php, php.ini et php5.ini via le fichier .htaccess ;
• active le mode de travail technique ;
• vérifie les droits de modification des dossiers et des fichiers dans le panneau d'administration ;
• n'autorise pas le spam via l'utilisation de la fonction JTC-Lite ;
• crée des copies de sauvegarde automatiquement ou manuellement, envoie des archives par e-mail ;
• Tient à jour des journaux d'erreurs et un journal de sécurité.

En savoir plus sur les fonctionnalités de sécurité sur la page du plugin.

Scanner de codes malveillants

Le plugin a été traduit en russe. C'est gratuit, il existe une version premium avec des capacités avancées de protection de site et de prévention des attaques.

Sécurité Wordfence

Protège le CMS contre le piratage et les attaques de logiciels malveillants en protégeant les connexions au site, en analysant les modifications de code, les tentatives de connexion et les notifications d'activités suspectes.

Ce que fait le plugin :

• compare les principaux thèmes et plugins avec ce qui se trouve dans le référentiel WordPress.org et signale toute anomalie au propriétaire du site ;
• exécute des fonctions antivirus, vérifie le site pour les vulnérabilités ;
• vérifie les messages et les commentaires pour détecter tout contenu et liens suspects.

Il existe d'autres fonctionnalités disponibles dans la version gratuite.

La version premium donne un peu plus :

• vérifie si un site ou une adresse IP est sur liste noire pour le spam ou les sites présentant des problèmes de sécurité ;
• inclut une authentification à deux facteurs pour la connexion ;
• compile une liste noire et bloque toutes les requêtes des IP de la base de données.

En savoir plus sur les fonctionnalités de sécurité sur la page du plugin.

Scanner de sécurité

Non traduite en russe, la version de base peut être téléchargée gratuitement.

Désactiver XML-RPC Pingback

Le site ferme une éventuelle vulnérabilité XML-RPC grâce à laquelle les fraudeurs peuvent attaquer d'autres sites et ralentir votre ressource.

Ce que fait le plugin :

• Supprime pingback.ping et pingback.extensions.getPingbacks de l'interface XML-RPC ;
• supprime X-Pingback des en-têtes HTTP.

Installation du plug-in

Plugin activé langue anglaise, l'installation est gratuite.

Sécurité iThemes

L'ancien nom est Better WP Security. Le plugin protège lors de la connexion au panneau d'administration et exécute des fonctions antivirus.

Ce que fait le plugin :

• inclut une authentification à deux facteurs lors de la connexion au panneau d'administration ;
• analyse le code du site et alerte s'il détecte des modifications suspectes ;
• surveille le site pour détecter les attaques automatisées et les bloque ;
• génère des mots de passe complexes ;
• surveille l'activité des comptes d'utilisateurs ;
• active Google reCAPTCHA lors de l'entrée sur le site ;
• permet de créer un accès temporaire dans le panneau d'administration ;
• Restreint la modification des fichiers dans le panneau d'administration.

En savoir plus sur les fonctionnalités de sécurité sur la page du plugin.

Paramètres du plugin

Traduit en russe et disponible gratuitement.

Sécurité Sucuri

Un plugin complet qui surveille les modifications dans les fichiers du site et exécute des fonctions antivirus.

Ce que fait le plugin :

• vérifie le code du site pour détecter les modifications suspectes et envoie des notifications ;
• recherche les logiciels malveillants et refuse l'accès ;
• crée une liste noire d'IP et leur interdit d'interagir avec le site ;
• enregistre l'adresse IP des visiteurs qui tentent sans succès d'accéder au site et les bloque pour une durée limitée ;
• analyse automatiquement le site à la recherche de virus et envoie des rapports par e-mail.

Dans la version premium, il crée un pare-feu pour une protection supplémentaire contre les attaques. En savoir plus sur les fonctionnalités de sécurité sur la page du plugin.

Rapports d'activité suspecte

Le plugin n'a pas été traduit en russe, mais est disponible en téléchargement gratuit.

Authentification clé à deux facteurs

Un plugin pour protéger le panneau d'administration contre les intrus, rendant l'accès au panneau d'administration plus pratique et plus rapide.

Ce que fait le plugin :

• protège le site du piratage ;
• stocke un mot de passe sécurisé sur l'appareil ; il n'est pas nécessaire de le saisir lors de la connexion ;
• vous permet d'accéder à la zone d'administration en utilisant votre empreinte digitale ;
• permet aux administrateurs de plusieurs sites de basculer entre les panneaux en un clic.

Exemple de travail

Le plugin n'a pas été traduit, mais est disponible gratuitement.

Authentification à deux facteurs WWPass

Plugin de protection contre les intrus entrant dans le panneau d'administration.

Ce que fait le plugin :

• ajoute un code QR à scanner lorsque vous essayez de vous connecter à la zone d'administration ;
• donne accès à l'utilisation gratuite du gestionnaire de mots de passe PassHub.

Exemple de fonctionnement du plugin

Un téléchargement gratuit de la version anglaise est disponible.

Si les attaquants parviennent à faire quelque chose sur le site et doivent le restaurer à son état antérieur, les sauvegardes seront utiles. Les hébergeurs effectuent généralement des sauvegardes périodiquement, mais juste au cas où, il est préférable de faire les sauvegardes vous-même. Certains plugins de la sélection peuvent faire des copies, et il existe également des solutions distinctes pour les sauvegardes.

Plugins pour les sauvegardes de sites Web sur WordPress

BackWPup – Plugin de sauvegarde WordPress

Plugin pour créer des sauvegardes et restaurer les versions précédentes du site.

Ce que fait le plugin :

• effectue des sauvegardes de l'intégralité du site Web avec le contenu ;
• exporte WordPress XML ;
• collecte les plugins installés dans un fichier ;
• envoie des copies vers un stockage cloud externe, par courrier électronique ou par transfert via FTP.

La version PRO payante crypte les archives avec des sauvegardes et restaure les sauvegardes en quelques clics.

Gestion des archives de sauvegarde

Disponible gratuitement, il existe une version PRO payante, mais non traduite en russe.

Plugin de sauvegarde WordPress UpdraftPlus

Ce que fait le plugin :

• copie et restaure les données en un clic ;
• effectue des sauvegardes automatiques selon un calendrier ;
• vérifie et restaure les bases de données ;
• envoie des sauvegardes vers le cloud, Google Drive et d'autres emplacements de stockage de votre choix.

La version étendue vous offre plus de choix d'emplacements de stockage pour les copies et d'autres fonctionnalités supplémentaires.

Configuration du stockage de sauvegarde

Non traduit en russe, disponible gratuitement.

VaultPress

Un autre plugin pour la sauvegarde et le stockage fiable des copies.

Ce que fait le plugin :

• copie automatiquement quotidiennement tous les fichiers du site avec le contenu et les commentaires ;
• restaure un site à partir d'une copie en cliquant ;
• protège le site contre les attaques et les logiciels malveillants.

Fonctionne gratuitement pour un site, stocke les données pendant 30 jours. Moyennant des frais supplémentaires, vous pouvez surveiller plusieurs sites à partir d'un seul panneau et stocker les données plus longtemps.

Panneau de travail

Le plugin n'est pas traduit en russe, mais est disponible pour installation gratuite.

Les sites doivent être protégés contre les intrus afin qu'ils ne puissent pas accéder aux informations sensibles, utiliser votre ressource pour attaquer d'autres sites, envoyer des lettres aux clients et perturber le fonctionnement stable de la ressource. Les plugins mettent des obstacles sur le chemin des fraudeurs, protègent les données des utilisateurs et le code du site, et les systèmes de sauvegarde ramèneront le site à son état précédent si les attaquants parvenaient à causer des dommages.

La sécurité de votre blog doit être abordée dès le début, sans la retarder pour le vague « Je vais y aller et commencer ». D'ailleurs, maintenant devant toi Instructions détaillées sur la façon de protéger un site Web WordPress contre le piratage, les virus et autres problèmes.

Avant, je pensais à la sécurité, mais pas si sérieusement. Et après cet article sur le site Internet d’A. Borisova, elle a pris l’affaire au sérieux. J'ai trouvé sur Internet tous les problèmes du système et les méthodes pour les éliminer. Il s’est avéré que c’était un article assez long avec 14 points !

Comment protéger un site Web sur WordPress

1. Modifiez la connexion standard. La première chose que font les pirates est de percer des connexions aussi populaires que administrateur, utilisateur, modérateur, administrateur. Si vous en utilisez un, vous avez fait la moitié du travail pour les attaquants. L'administrateur est particulièrement souvent utilisé - court, facile à retenir, vous pouvez immédiatement voir que c'est important, afin que les propriétaires de sites ne le changent pas en quelque chose de plus complexe.

Il existe de nombreuses options pour modifier cette connexion, mais la plus simple est :

• Accédez au panneau d'administration, accédez à la section Utilisateurs - cliquez sur Ajouter.
• Proposez une connexion complexe pour le nouvel utilisateur (vous pouvez simplement définir des lettres et des chiffres) et sélectionnez Rôle – Administrateur.
• Déconnectez-vous de l'utilisateur actuel (sélectionnez Déconnexion en haut à droite).
• Connectez-vous avec le nouvel utilisateur que vous venez de créer.
• Travaillez à partir de ce compte : créez de nouveaux articles, modifiez les anciens, ajoutez/supprimez des plugins. De manière générale, vérifiez s'il dispose réellement de tous les pouvoirs de l'Administrateur.
• Supprimez un utilisateur avec le pseudo admin.

2. Définissez un mot de passe complexe– c’est exactement le cas lorsque vous ne pouvez pas utiliser votre mot de passe standard au format qwerty. Vous devez créer un mot de passe unique, très complexe, de 20 caractères avec différentes casses, chiffres et différents symboles. Si vous avez peur d’oublier, notez-le dans un cahier papier. Mais ne le stockez pas sur votre ordinateur. Vous pouvez lire comment créer un mot de passe complexe dans cet article.

Un mot de passe complexe doit être utilisé non seulement pour la zone d'administration de WordPress, mais également pour d'autres services liés au site : messagerie, hébergement, etc.

3. Masquer la connexion– peu importe les efforts que vous déployez pour créer une connexion super complexe, il existe une faille qui vous permet de la voir et de la copier. Pour ce faire, saisissez http://votre_domain.ru?author=1 dans la barre d'adresse, en remplaçant votre domaine. Si le lien ne se transforme pas en /author/admin, où admin est votre nouvelle connexion, alors tout va bien.

Mais si votre login y est toujours affiché, vous devez de toute urgence le masquer à l'aide d'une commande spéciale dans le fichier function.php :

/* Substitution du login dans les commentaires */
fonction del_login_css($css) (foreach($css as $key => $class) (
if(strstr($class, "comment-author-enter_valid_login")) (
$css[$key] = 'comment-author-enter_fictitious_login'; ) )
retourner $css ; )
add_filter('comment_class', 'del_login_css');

Maintenant, nous configurons la redirection vers la page principale, pour cela, vous devez ouvrir le fichier .htaccess dans le dossier racine (en utilisant filezilla), et ici après la ligne

Réécrire la règle. /index.php [L]

Ajoutez ce texte :

RedirectMatch Permanent ^/author/real_login$ http://your_domain.ru

4. Nous mettons à jour WordPress en temps opportun. De nouvelles versions apparaissent de temps en temps, les notifications apparaissent directement dans le panneau de configuration. Faire copie de sauvegarde site, mettre à jour et vérifier les fonctionnalités. Plus il est récent, plus il est difficile de pirater le système - de nouveaux niveaux de protection apparaissent et les anciennes techniques de piratage ne fonctionnent pas.

5. Cachez la version WordPress des regards indiscrets. Par défaut, ces informations sont affichées dans le code de la page et les attaquants ne doivent pas les divulguer. Connaissant votre version, il lui sera plus facile de reconnaître les lacunes et de pirater le système.

Alors ouvrez Functions.php pour le modifier, puis ajoutez la ligne :

remove_action('wp_head', 'wp_generator');

Cette fonction simple empêche l'affichage des données du système.

6. Supprimez licence.txt et readme.htmlà partir du dossier racine. Ils ne sont pas nécessaires en eux-mêmes, mais ils peuvent être utilisés pour lire facilement des informations sur votre système et connaître la version de WordPress. Ils réapparaissent automatiquement si vous mettez à jour WordPress. Nettoyez donc vos fichiers à chaque fois que vous installez des mises à jour.

7. Masquez les dossiers wp-includes, wp-content et wp-content/plugins/. Tout d’abord, vérifiez si le contenu de ces dossiers est visible par les autres. Insérez simplement votre domaine dans les liens et ouvrez les liens dans votre navigateur :

• http://votre_domaine/wp-includes
• http://votre_domaine/wp-content
• http://votre_domaine/wp-content/plugins

Si, lorsque vous accédez à ces pages, vous voyez des dossiers et des fichiers, vous devez alors masquer les informations. Cela se fait très, très simplement : créez un fichier vide appelé index.php et placez-le dans ces répertoires. Maintenant, quand vous partirez, ce fichier s'ouvrira, c'est-à-dire Page blanche sans aucune information.

8. N'installez pas de thèmes gratuits- ça date déjà de expérience personnelle information, même si tout le monde en écrit. Mais j'ai décidé de contourner le système et d'installer un thème gratuit depuis Internet sur mon autre site Web - je l'ai vraiment aimé. Et au début, tout allait bien.

Environ six mois plus tard, j'ai commencé à vérifier les liens sortants du site et j'ai trouvé 3 liens étranges. Je ne pouvais pas les trouver sur les pages elles-mêmes - elles étaient cachées de manière très astucieuse. Après avoir étudié le problème, j'ai trouvé des informations selon lesquelles il s'agit d'un problème très courant lorsque le code de placement à distance de liens est intégré dans des modèles gratuits. Cela m'a pris une soirée entière, mais j'ai résolu le problème et maintenant tout va bien. Mais quel mal cela pourrait causer !

9. Installez les plugins nécessaires à la protection, mais assurez-vous de l'installer depuis le site officiel ru.wordpress.org ou depuis le panneau de configuration.

• Limiter les tentatives de connexion – pour limiter les tentatives de connexion. Si vous saisissez 3 fois votre login et votre mot de passe de manière incorrecte, l'accès sera bloqué pendant N minutes/heures. Vous définissez vous-même le nombre de tentatives et le temps de blocage.
• Wordfence Security est un plugin permettant de vérifier un site Web à la recherche de virus et de modifications malveillantes du code. Pour commencer, installez simplement et cliquez sur Analyser. Mais après vérification, il est conseillé de le désactiver afin de ne pas créer de charge supplémentaire sur le site. Vérifiez votre blog pour détecter les virus au moins une fois par mois.
• Sauvegarde de la base de données WordPress – envoie automatiquement une copie de sauvegarde de la base de données de votre site par e-mail. Vous pouvez définir vous-même la fréquence - une fois par jour ou par semaine.
• Renommer wp-login.php – modifie l'adresse de connexion au panneau de configuration à partir de la norme http://votre_domaine/wp-admin.
• Attaque anti-XSS – protège le blog des attaques XSS.

10. Vérifiez votre ordinateur pour les virus– parfois les virus proviennent directement de votre ordinateur. Installez donc un bon programme antivirus et mettez-le à jour rapidement.

11. Faites des sauvegardes systématiques– soit à l’aide du plugin WordPress Database Backup, soit manuellement. Pour certains hébergeurs, cela se produit automatiquement, vous pouvez donc restaurer le site à tout moment en cas de problème.

12. Travaillez avec un hébergeur de confiance, car la sécurité d’un site internet dépend en grande partie de la qualité de l’hébergement. J'ai déménagé chez Makhost il y a un mois, et la différence avec le précédent est perceptible (j'ai décrit le déménagement dans cet article). Je ne le recommanderai pas fortement, car je ne suis avec eux que depuis peu de temps, même si mon ami est avec eux depuis un an et ne pourrait pas être plus heureux. En général, ne prenez pas de tarifs de 100 roubles pour économiser, vous pourriez alors payer cher.

13. Différentes boîtes mail pour le site et l'hébergement. Il est très simple de supprimer une boîte aux lettres de WordPress, vous pouvez ensuite la pirater et accéder aux données. Et si l'hébergement y est lié, il ne sera pas difficile de changer le mot de passe et de prendre le site pour vous-même. Créez donc un boîtier d’hébergement séparé afin que personne ne le sache ou ne le voie.

14. Connectez une adresse IP dédiée, afin de ne pas être adjacent à des sites pornographiques, à des sites avec filtre ou à des virus. Donc, si vous en avez l’opportunité, obtenez une adresse IP distincte pour ne pas avoir à vous en soucier. À propos, il existe des rumeurs non confirmées dans le domaine des blogueurs selon lesquelles une adresse IP dédiée améliore le classement dans les résultats de recherche.

Maintenant tu en sais le plus des moyens simples comment protéger un site internet sur Wordpress, et vous serez épargné des menaces banales. Mais à côté de cela, il existe bien d’autres dangers dont il n’est pas si facile de se prémunir. C'est précisément pour des situations aussi graves que Yuri Kolesov a créé le cours «

J'ai été piraté. Vous savez, aimez une page sur VKontakte. Mais ils n’ont pas mendié d’argent, mais ont créé de nombreuses pages « de gauche » avec des liens vers différents sites. Ensuite, j'ai pensé à protéger mon blog. Et j'ai trouvé la solution parfaite.

La première chose que j'ai faite a été de contacter le support technique avec une demande de restauration de mon site la veille du piratage, et en dix minutes j'avais mon blog normal.

Ensuite j’ai installé de nombreux plugins pour protéger WordPress du piratage. Mais le blog a commencé à ralentir terriblement. Les pages se chargeaient en cinq à dix secondes. C'est trop long.

J'ai commencé à chercher des plugins qui chargent moins le système. J'ai lu des critiques sur ces plugins et j'ai de plus en plus commencé à tomber sur All In One WP Security. D'après la description, je l'ai vraiment aimé et j'ai décidé de le mettre sur mon blog. Et il me protège toujours, car je n'ai jamais rien rencontré de mieux.

Ce que All In One WP Security peut faire (protection Wordpress tout en un) :

• Effectue des copies de sauvegarde de la base de données, fichier de configuration wp-config. et le fichier .htaccess
• Changer l'adresse de la page d'autorisation
• Masque les informations sur la version de WordPress
• Protection de l'administrateur - blocage pour autorisation incorrecte
• Protection des robots
• Et bien d'autres choses utiles

Je peux affirmer en toute sécurité que le plugin de sécurité All In One WP Security est la meilleure protection pour un site WordPress.

Configuration de la sécurité All In One WP

Lorsque vous accédez à la section Paramètres, la première chose à faire est de faire des sauvegardes :

• base de données;
• fichier wp-config ;
• fichier htaccess

Cela se fait sur la première page de configuration du plugin All In One WP Security.

Faire une sauvegarde avant de commencer à travailler

Je ne passerai en revue que les points les plus importants.

éléments de paramètres du plugin de sécurité wp tout-en-un

Panneau de contrôle

Nous sommes ici accueillis par le compteur « Security Meter ». Il montre le niveau de sécurité du site. Votre site Web doit être au moins dans la zone verte. Il n'est pas nécessaire de rechercher le niveau maximum - des paramètres inutiles peuvent perturber la fonctionnalité du site. Atteignez le juste milieu.

Compteur de protection des sites WordPress

Lorsque vous modifiez les paramètres de sécurité du plugin, vous verrez un bouclier vert avec des chiffres sur chaque élément - ce sont les chiffres qui sont ajoutés au score de sécurité global.

le chiffre est ajouté au score de sécurité total

Paramètres

Onglet Informations sur la version WP

Cochez la case Supprimer les métadonnées du générateur WP.

Suppression des métadonnées du générateur WP

Ceci est fait pour que la version du moteur WordPress que vous avez installée ne soit pas affichée dans le code. Les attaquants savent quelle version présente des vulnérabilités, et connaissant la version de WordPress installée sur vous pourrez pirater votre site plus rapidement.

Administrateurs

Nom d'utilisateur WP

Si votre nom d'utilisateur pour accéder au panneau d'administration est admin, assurez-vous de le modifier. L'administrateur est la connexion la plus populaire. De nombreux CMS le proposent par défaut, et les gens sont tout simplement trop paresseux pour le modifier.
Les attaquants utilisent divers programmes pour pirater des sites Web. Ces programmes sélectionnent les identifiants et les mots de passe jusqu'à ce qu'ils trouvent une combinaison appropriée.
Par conséquent, n’utilisez pas la connexion administrateur.

Afficher un nom

Si votre pseudo correspond à votre identifiant, assurez-vous de modifier votre identifiant ou votre pseudo.

Mot de passe

Si vous entrez votre mot de passe ici, le plugin affichera combien de temps il faudra pour pirater votre site.
Recommandations pour renforcer la force du mot de passe :

• Le mot de passe doit être composé de lettres et de chiffres
• Utilisez des lettres minuscules et majuscules
• N'utilisez pas de mots de passe courts (minimum 6 caractères)
• Il est souhaitable d'avoir des caractères spéciaux dans le mot de passe (% # _ * @ $ et caractères verbeux)

Complexité du mot de passe

Autorisation

Onglet Blocage des autorisations

Nous l'allumons définitivement. Si, dans les 5 minutes, quelqu'un saisit le mot de passe de manière incorrecte à 3 reprises, l'adresse IP sera bloquée pendant 60 minutes. Vous pouvez en mettre plus, mais il vaut mieux ne pas le faire. Il peut arriver que vous saisissiez vous-même le mot de passe de manière incorrecte et que vous attendiez ensuite des mois, voire des années :)
Cochez la case « Bloquer immédiatement les noms d’utilisateur invalides ».
Disons que votre identifiant est hozyainsayta, et si quelqu'un saisit un identifiant différent (par exemple un identifiant), alors son adresse IP sera automatiquement bloquée.

options de blocage d'autorisation

Déconnexion automatique des utilisateurs

Nous mettons une coche. Si vous vous connectez au panneau d’administration du site à partir d’un autre ordinateur et oubliez de vous déconnecter du panneau d’administration, après une période de temps spécifiée, le système vous déconnectera.
Je l'ai réglé sur 1440 minutes (soit 24 heures).

Options de déconnexion automatique de l'utilisateur

Enregistrement de l'utilisateur

Confirmation manuelle

Cochez « Activer l’approbation manuelle des nouvelles inscriptions »

Approbation manuelle des nouvelles inscriptions

CAPTCHA lors de l'inscription

Nous mettons également une coche. Cela coupe les tentatives d'enregistrement d'un robot, car les robots ne peuvent pas gérer les captchas.

Pot de miel d'inscription

Fêtons. Et nous ne laissons aucune chance aux robots. Ce paramètre crée un champ invisible supplémentaire (tapez Entrez le texte ici). Seuls les robots peuvent voir ce champ. Puisqu’ils remplissent automatiquement tous les champs, ils écriront quelque chose dans ce champ. Le système bloque automatiquement les tentatives d'inscription pour lesquelles ce champ est renseigné.

Protection des bases de données

Préfixe de table de base de données

Si votre site existe depuis longtemps et qu'il contient de nombreuses informations, la modification du préfixe de la base de données doit être effectuée avec la plus grande prudence.

assurez-vous de sauvegarder votre base de données

Si vous venez de créer votre site Web, vous pouvez modifier le préfixe en toute sécurité.

Préfixe de table de base de données

Sauvegarde de la base de données

Activez la création automatique de sauvegardes.
Sélectionnez la fréquence de création de sauvegardes.
Et le nombre de fichiers avec ces sauvegardes qui seront stockés. Ensuite, ils commenceront à écraser.
Si vous souhaitez que ces fichiers soient également envoyés à votre e-mail, puis cochez la case correspondante. J'ai un dossier séparé dans ma boîte aux lettres à cet effet ; toutes les sauvegardes (de mes sites et de celles de mes clients) y sont envoyées.

Paramètres de sauvegarde de la base de données

Protection du système de fichiers

Ici, nous modifions les autorisations des fichiers pour que tout soit vert.

Modification de fichiers php

Nous le définissons si vous ne modifiez pas les fichiers via le panneau d'administration. En général, vous devez apporter des modifications aux fichiers via des programmes de gestion FTP (comme Filezilla). Ainsi, en cas de « jambage », vous pouvez toujours annuler l'action précédente.

Nous refusons l'accès. Avec cette action, nous pouvons masquer des informations importantes pour les pirates.

Liste noire

Si vous disposez déjà d'adresses IP auxquelles vous souhaitez refuser l'accès au site, activez cette option.

Bloquer les utilisateurs par IP

Pare-feu

Règles de base du pare-feu.

Un pare-feu et un pare-feu sont un progiciel qui filtre le trafic non autorisé.

Ces règles sont ajoutées au fichier .htaccess, nous en faisons donc d'abord une copie de sauvegarde.

Vous pouvez maintenant cocher les cases nécessaires :

Activer les fonctionnalités de base du pare-feu Protection contre les vulnérabilités XMLRPC et Pingback WordPress
Bloquer l'accès à debug.log

Règles de pare-feu supplémentaires

Sur cet onglet, cochez les cases suivantes :

• Désactiver la navigation dans les répertoires
• Désactiver le suivi HTTP
• Désactiver les commentaires via proxy
• Empêcher les chaînes malveillantes dans les requêtes (peut interrompre la fonctionnalité d'autres plugins)
• Activer un filtrage supplémentaire des caractères (Nous agissons également avec prudence, nous devons examiner comment cela affecte les performances du site)
  Chaque élément dispose d'un bouton « + Plus de détails », où vous pouvez lire en détail chaque option.

Règles de pare-feu de la liste noire 6G

Nous marquons les deux points. Il s'agit d'une liste éprouvée de règles que le plugin fournit pour la sécurité d'un site WordPress.

Paramètres du pare-feu

Bots Internet

Il peut y avoir des problèmes avec l'indexation du site. Je n'active pas cette option.

Empêcher les liens hypertexte

Nous mettons une coche. Pour que les images de votre site ne soient pas affichées sur d'autres sites via un lien direct. Cette fonctionnalité réduit la charge sur le serveur.

Détection 404

L'erreur 404 (une telle page n'existe pas) apparaît lorsque vous saisissez une adresse de page incorrecte. Les pirates tentent par force brute de trouver des pages présentant des vulnérabilités et saisissent donc de nombreuses URL inexistantes en peu de temps.
De telles tentatives de piratage seront inscrites dans le tableau de cette page et en cochant la case, vous pourrez bloquer leurs adresses IP pendant une durée déterminée.

Paramètres de suivi des erreurs 404

Protection contre les attaques par force brute

Par défaut, tous les sites WordPress ont la même adresse de page de connexion. Et par conséquent, les attaquants savent exactement par où commencer pour pirater le site.
Cette option vous permet de modifier l'adresse de cette page. C’est une très bonne protection pour un site WordPress. Nous changeons définitivement l'adresse. Je n'ai pas coché cette case car la mienne a automatiquement modifié cette page pour moi lors de l'installation du système.

Protection contre les attaques par force brute utilisant des cookies

Je n'ai pas activé ce paramètre, car il existe une possibilité de me bloquer lors de la connexion depuis différents appareils.

CAPTCHA pour la connexion

S'il y a de nombreux utilisateurs sur votre site ou si vous disposez d'une boutique en ligne, vous pouvez activer Captcha lors de votre connexion à tout moment.

Protection Captcha lors de l'autorisation

Liste blanche pour la connexion

Vous connectez-vous à la zone d'administration uniquement depuis votre ordinateur personnel et êtes-vous le seul utilisateur de votre site ? Entrez ensuite votre adresse IP et tout le monde se verra refuser l'accès à la page d'autorisation.

Sécurité Wordfence effectue une analyse approfondie et approfondie du site à la recherche de vulnérabilités à la fois dans le noyau Wordpress lui-même et dans les thèmes et plugins.

Il utilise les services WHOIS pour surveiller les connexions et est capable de bloquer des réseaux entiers grâce à pare-feu intégré. Lorsque de nouvelles attaques sont détectées (même si elles ont été soumises à un autre site sur lequel WordFence est installé), l'ensemble des règles de pare-feu est automatiquement mis à jour pour contrer les menaces le plus efficacement possible.

Wordfence Security est gratuit et open source, mais un abonnement optionnel protégera davantage votre site en mettant à jour votre pare-feu, vos signatures de logiciels malveillants et votre liste noire IP en temps réel.

Coût de l'abonnement Premium : jusqu'à 99 $ par an (des réductions importantes sont disponibles lors de l'achat de plusieurs clés ou pour une période plus longue)

Antivirus

Antivirus fonctionne de la même manière qu'un antivirus classique : il effectue une analyse quotidienne de l'ensemble du site (y compris les thèmes et les bases de données), en envoyant un rapport à une adresse e-mail spécifiée. L'analyse et le nettoyage des traces sont également effectués lors de la suppression des plugins.

Si une activité suspecte ou dangereuse est détectée, les notifications sont envoyées à la même adresse e-mail et affichées dans le panneau d'administration.

Scanner de logiciels malveillants Web Quttera

Très scanner puissant, qui recherche des vulnérabilités telles que des scripts malveillants, des chevaux de Troie, des portes dérobées, des vers, des logiciels espions, des exploits, des iframes malveillants, des redirections, des obscurcissements et autres modifications de code indésirables ou dangereuses. De plus, le plugin vérifie si votre site est sur liste noire.

Coût : gratuit, mais des fonctionnalités avancées telles que l'élimination des vulnérabilités détectées et le nettoyage des fichiers malveillants sont disponibles moyennant des frais (à partir de 119 $ par an)

Anti-programme malveillant

Anti-Malware analyse et neutralise les logiciels malveillants connus ce moment vulnérabilités, y compris les scripts de porte dérobée. Met automatiquement à jour les bases de données antivirus, vous permettant de détecter les derniers virus et exploits. Le pare-feu intégré bloque l'introduction du virus SoakSoak et d'autres exploits dans les curseurs et certains autres plugins.

Protection des sites antivirus WP

WP Antivirus Site Protection analyse tous les fichiers critiques pour la sécurité, y compris les thèmes, les plugins et les fichiers téléchargés dans le dossier de téléchargement. Tous les logiciels malveillants et virus trouvés seront immédiatement supprimés ou mis en quarantaine.

Scanner d'exploits

Exploit Scanner ne supprime pas le code suspect - il laisse ce sale boulot à l'administrateur. Mais d'un autre côté, il exécute bien l'opération non moins importante et plus laborieuse de son recherche. Et soyez sûr qu'il le trouvera, que ce soit dans la base de données ou dans des fichiers ordinaires.

Sécurité Centrora

Le plugin Centrora Security est conçu selon le principe du « couteau suisse » : il s'agit d'un outil complet pour une protection complète des sites Web contre tous les types de menaces. Il a pare-feu intégré, un module de sauvegarde et un certain nombre de scanners qui vérifient les droits d'accès, recherchent les codes malveillants, le spam, les injections SQL et d'autres vulnérabilités.

Bonjour les amis. Aujourd'hui, nous allons parler de la sécurité de notre entreprise sur Internet. Tout peut arriver dans la vie et nos ressources ne sont pas à l’abri de divers ennuis et surprises. Les informations sont intangibles et peuvent donc facilement être endommagées ou détruites. Il existe des risques liés à l'équipement sur lequel les sites sont hébergés ; quelque part nous pouvons nous-mêmes « gâcher » ; et personne n'est à l'abri des intentions malveillantes d'étrangers.

Pendant que je bloguais, je suis tombé sur le premier, le deuxième et le troisième. Et les pirates ont détruit mes sites et parfois j'ai fait quelque chose de mal. Mais heureusement, tout s’est bien passé grâce à une protection pré-organisée.

J'utilise plusieurs plugins sur mon blog qui aident à réduire les risques. Je vais vous en parler maintenant. J’ai déjà parlé du premier et j’aborde les 2 autres pour la première fois.

Plugins de sécurité pour WordPress

Bien sûr, la protection WordPress peut être organisée d'autres manières et plugins, mais j'utilise ceux-ci. Je ne parlerai pas de l'installation de plugins, puisque déjà (retrouvez la leçon vidéo nécessaire dans l'article) je montrerai seulement comment les configurer.

1. Plugin de sauvegarde de base de données WordPress

Ce plugin vous permet de sauvegarder des copies de sauvegarde de la base de données de votre site Web automatiquement et manuellement. Vous pouvez les télécharger directement sur votre ordinateur ou vous les envoyer par email. Pour que vous compreniez mieux. Ce plugin enregistre entièrement la partie informationnelle du site - textes, leur conception, données sur les utilisateurs et autres composants du site, mais il n'enregistre pas les fichiers eux-mêmes. Vous devez enregistrer les images et les thèmes vous-même.

Ce plugin n'a pas besoin d'être téléchargé sur votre ordinateur ; il se trouve dans la base de données des plugins WordPress, il peut donc être facilement installé via le panneau d'administration, via la recherche de plugins.

Tutoriel vidéo sur la configuration de la sauvegarde de la base de données WordPress

Si vous n'êtes pas à l'aise pour regarder la vidéo, je dupliquerai les paramètres avec du texte et des captures d'écran.

Comment installer la sauvegarde de la base de données WordPress

Pour commencer, connectez-vous au panneau d'administration de votre blog dans la section d'installation du plugin et sélectionnez la section de recherche de plugins. Dans la zone de recherche, saisissez « wp db backup ».

Il devrait apparaître en premier dans la liste des plugins ; sinon, faites défiler un peu vers le bas. Le nom du plugin sera le bouton d'installation. Utilisez-le pour installer le plugin. Après l'installation, cliquez sur le lien d'activation.

Après cela, nous procédons à ses réglages. Pour ce faire, dans le panneau de configuration du blog, vous devez trouver l'onglet Outils et le lien Sauvegarde. Clique dessus.

Quelles tables sauvegarder ?

Au début de la configuration, il nous est demandé de sélectionner les tables de base de données qui seront copiées. Parmi eux, il y a ceux qui sont toujours sauvegardés et ceux que nous pouvons sauvegarder en plus. Même si vous laissez tout par défaut, tout ira bien. Si vous comprenez ce que signifient ces tableaux ou d'autres et quelles fonctions ils remplissent, cochez les cases appropriées.

Enregistrer une copie « ici et maintenant »

L'élément suivant, « Paramètres de sauvegarde », est responsable de la sauvegarde « ici et maintenant ». C'est le même mode manuel dans lequel nous pouvons faire une copie de sauvegarde de la base de données dès maintenant. Dans l'ensemble, tout ce que nous pouvons configurer ici, c'est un endroit pour enregistrer la sauvegarde. Le premier point enregistre le fichier sur le serveur de l'hébergeur. Le deuxième point le télécharge sur votre ordinateur. La troisième option vous permet d'envoyer par email.

Le bouton « Créer une archive » lance la sauvegarde.

Si vous devez faire une copie urgente, par exemple avant des modifications majeures du site, utilisez cette fonction.

Sauvegardes planifiées

Les sauvegardes planifiées de bases de données avec le plugin WordPress Database Backup sont exactement ce que j'aime. Dans la vie, vous êtes constamment occupé par des choses à faire et, à cause de l’agitation, vous pouvez oublier de faire quelque chose ou simplement ne pas avoir assez de temps. Et grâce à cette fonction, le site lui-même fait tout à une fréquence donnée.

Vous pouvez configurer la copie à différents intervalles de temps, d'une heure à deux fois par mois. Tout dépend de la fréquence à laquelle vous ajoutez de nouveaux messages sur le site. Si vous écrivez souvent, faites une copie de sauvegarde plus souvent, et si vous publiez un article par semaine, une fois par semaine suffit.

De plus, il existe une liste distincte de tableaux à enregistrer pour la copie automatique. En un mot, indiquez la fréquence, sélectionnez les tableaux nécessaires, indiquez votre boîte mail où les copies seront envoyées, et cliquez sur « mémoriser le planning ».

Ceci termine la configuration de ce plugin. Passons au suivant.

2. Plugin pour protéger le panneau d'administration Login LockDown

Avant de parler de la configuration du plugin, je souhaite donner une recommandation liée au même sujet. N'utilisez pas la connexion administrateur standard fournie par WordPress, car elle est facile à deviner. Si vous disposez d'un identifiant différent de celui standard, il sera beaucoup plus difficile d'accéder au panneau d'administration.

Installation et configuration du plugin Login LockDown

Comme pour le plugin précédent, Login LockDown se trouve dans la base de données WordPress, il peut donc également être installé via la recherche de plugin. Nous trouvons, installons, activons.

Après cela, via l'onglet Paramètres, accédez à Login LockDown

Il existe plusieurs champs dans lesquels les valeurs par défaut de tous les paramètres sont saisies.

En principe, vous n’avez rien à changer. Si vous souhaitez personnaliser le plugin vous-même, les champs signifient ce qui suit :

Max Login Retries – nombre maximum de tentatives de connexion/mot de passe avant le blocage. Si 3 est spécifié et que vous avez entré 3 fois un mot de passe erroné, le panneau d'administration est bloqué.

Restriction de la période de réessai (minutes)– la durée pendant laquelle le panneau d'administration est bloqué si le mot de passe est mal saisi.

Durée du verrouillage (minutes) – durée pendant laquelle le panneau d'administration est bloqué lorsque le nombre maximum autorisé d'entrées de connexion incorrectes est autorisé. Veuillez noter que les entrées de connexion incorrectes sont surveillées ici. Autrement dit, celui qui saisit les données ne connaît pas le login.

Verrouillage des noms d'utilisateur invalides ? – activer ou désactiver le blocage amélioré du paragraphe précédent.

Masquer les erreurs de connexion ? – s'il faut ou non masquer le message indiquant que le login a été mal saisi.

Définissez les valeurs dont vous avez besoin et cliquez sur le bouton de confirmation – Mettre à jour les paramètres.

3. Plugin WordPress – Antivirus

Le nom de ce plugin parle de lui-même. Il recherche des virus et divers logiciels espions dans le code de votre modèle de site Web. Il ne dispose pas de fonctionnalités aussi sophistiquées que les programmes antivirus pour ordinateurs personnels. AntiVirus fonctionne très simplement : il analyse les fichiers et, s'il trouve des codes suspects, les signale au propriétaire par e-mail et dans le panneau d'administration.

Il ne peut pas protéger automatiquement les fichiers Wordpress ; vous devez vous-même vérifier tout ce qu'il soupçonne et soit le laisser, soit le supprimer.

Installation et configuration de l'antivirus

Par tradition, nous entrons dans la recherche de plugins via le panneau d'administration. Il est inclus dans la base de données WordPress, l’installation est donc rapide et facile.

Cela ne nécessite aucun réglage. Et il commence à fonctionner immédiatement après l'activation. La seule chose que vous pouvez faire avec vos mains est d’analyser instantanément votre site. Pour ce faire, après l'activation, vous devez ouvrir l'onglet AntiVirus dans le panneau d'administrateur. Il y aura un bouton "Analyser les modèles de thème maintenant" - il lance une analyse instantanée.

De plus, sur cette page, vous pouvez spécifier la boîte aux lettres à laquelle le plugin enverra les messages. Si cela n'est pas fait, tous les emails seront envoyés à l'administrateur du site.

Tous les codes suspects sont mis en évidence dans les résultats de l'analyse. Mais vous n’avez pas besoin de vous précipiter pour les supprimer immédiatement. Suspect ne veut pas dire malveillant. Chaque élément mérite d’être vérifié. Si vous comprenez PHP, il ne vous sera pas difficile de comprendre le problème.

Mais si vous n’êtes pas un expert en programmation (je ne le suis pas non plus), ne désespérez pas. Vous pouvez simplement comparer les fichiers qu'AntiVirus a marqués comme suspects avec les fichiers sources de votre modèle - ils doivent se trouver soit sur votre ordinateur, soit sur le site officiel du créateur du thème. Si ces sections de code sont dans l’original, alors tout est en ordre.

Vous devez confirmer chaque élément analysé en cliquant sur le bouton « Il n'y a pas de virus » - le plugin ne percevra plus cet élément comme suspect.

Comme tous les plugins supplémentaires pour wordpress, AntiVirus charge le serveur et réduit la vitesse du site, je recommande donc de ne pas le garder actif tout le temps, allumez-le périodiquement pour vérifier.

Résumé

Sécuriser WordPress n’est en réalité pas si difficile. Bien sûr, il n'y a aucun moyen d'être assuré à 100 % contre tous les événements de la vie - les pirates informatiques trouvent constamment de nouvelles failles et vous rencontrez de nouvelles solutions aux problèmes, mais quelques précautions et quelques plugins utiles vous permettront de dormir paisiblement, sans vous inquiétez du fonctionnement de votre site.