Dans cet article, nous analyserons les paramètres du plugin iThemes Security, qui offre une protection complète pour votre site WordPress. Le plugin prend en compte à peu près tout ce dont vous avez besoin pour sécuriser votre site WordPress. Le plugin iThemes Security fournit une gamme de services qui incluent la protection contre le piratage WordPress, la protection de l'administrateur WordPress et la protection contre les robots du site. iThemes Security est le meilleur plugin de sécurité WordPress gratuit. Avec lui, votre site sera assez bien protégé contre divers virus et attaques de pirates.

Si le site a soudainement cessé de fonctionner, ne vous inquiétez pas, vous devrez vous connecter via FTP au site, ou ouvrir le gestionnaire de fichiers dans le panneau de configuration de l'hébergement et renommer ou supprimer le dossier avec le plugin. Il s'agit d'une mesure extrême si soudainement iThemes Security bloque le panneau d'administration ou après avoir activé une option dans iThemes Security, le site est indisponible ou se bloque. Très probablement, le site se rétablira. Sinon, restaurez le site à partir d'une sauvegarde.

Jetons un coup d'œil aux paramètres qui doivent être définis pour assurer une sécurité WordPress complète et complète. Pour accéder aux paramètres du plugin, allez dans le panneau d'administration "WordPress" "Sécurité" "Paramètres". J'espère que vous avez déjà sauvegardé votre site. Premier onglet "Contrôle de sécurité", cliquez sur "Configurer les paramètres": Ensuite, la fenêtre des paramètres s'ouvrira. Si nous cliquons sur "Site sécurisé", le plugin installera les paramètres de sécurité recommandés :
Fondamentalement, ce sont les paramètres de base de iThemes Security. Vous pouvez cliquer sur ce bouton et la configuration sera terminée. Mais je recommande de ne pas le faire, car cela pourrait perturber le fonctionnement du site. Il est préférable de bien comprendre les paramètres que de cliquer sur un bouton et de perdre l'accès au site.

L'onglet de paramètres suivant est "Paramètres de base", cliquez sur "Configurer les paramètres": Ici, assurez-vous de mettre une coche devant l'inscription "Apporter des modifications aux fichiers" et enregistrez. Pour que le plugin fonctionne efficacement, il a besoin d'accéder aux fichiers wp-config.php et .htaccess. En cochant la case, vous accordez cet accès au plugin :
Je recommande de laisser le reste des paramètres dans cet onglet par défaut.

L'option suivante est « Erreur de suivi 404 ». Ce que c'est? Imaginez une situation où un utilisateur de votre site demande un grand nombre de pages inexistantes. S'il s'agit d'une ou deux pages, alors il n'y a pas à s'inquiéter, mais si cette fréquence se répète, cela signifie que l'attaquant essaie de trouver des vulnérabilités dans le site pour le pirater, car un simple visiteur recherche des informations sur de vrais pages. Si iThemes Security détecte ce type d'activité, l'utilisateur est bloqué. Pour activer cette option, cliquez sur "Activer". Je recommande d'activer ce paramètre (après avoir activé tous les paramètres de cette option, laissez la valeur par défaut) : Le paramètre suivant est le mode Absent. Si vous êtes absent pendant une certaine période et que vous ne pourrez pas accéder au panneau d'administration de WordPress, vous pouvez activer cette option en spécifiant dans les paramètres la durée de votre absence. Pendant ce temps, ni vous ni personne d'autre ne pourrez accéder au panneau d'administration. Je ne recommande pas d'activer ce paramètre, car vous devrez peut-être accéder au panneau d'administration, mais il n'y aura pas une telle opportunité pendant la période spécifiée dans les paramètres : Utilisateurs bloqués. Ici, vous pouvez spécifier à partir de quelles adresses IP vous ne pouvez pas entrer dans votre site. Je recommande "Activer la liste noire du site HackRepair.com", voici les adresses IP collectées à partir desquelles des attaques de pirates ont été détectées. Cochez également la case à côté de la "Liste d'interdiction", ici vous pouvez saisir manuellement les adresses IP auxquelles vous souhaitez refuser l'accès au site :
Protection locale par force brute. Il s'agit d'une protection de devinette de mot de passe. Doit être inclus. Si le plugin remarque qu'un visiteur essaie de trouver un identifiant et un mot de passe un grand nombre de fois et qu'il obtient une erreur, cela signifie que le site est piraté. Par défaut, il y a 5 tentatives pour saisir sans succès un nom d'utilisateur ou un mot de passe, après quoi l'adresse IP est bloquée, je recommande de ne rien changer :
Sauvegardes de bases de données. Ici, vous pouvez configurer la création automatique d'une copie de sauvegarde de la base de données avec envoi ultérieur à votre e-mail. Je recommande d'activer cette option. Vous devez configurer la création d'une base de données sur un calendrier, pour cela activez l'option "Créer un calendrier pour la sauvegarde de la base de données" et définissez la fréquence de sauvegarde, 3 jours, à mon avis, suffisent. Laissez le reste des paramètres par défaut. Après avoir activé ce paramètre, une copie de sauvegarde de la base de données sera automatiquement envoyée sur votre messagerie, ce qui est très pratique :
Détection des modifications de fichiers. Cette option surveille les modifications apportées aux fichiers pour détecter les vulnérabilités. Je ne recommande pas d'activer ce paramètre : Autorisations de fichiers. Il s'agit d'un accès aux fichiers. Vous n'avez rien à configurer ici, l'option affiche simplement le degré de protection de certains fichiers.

Protection contre la force brute du réseau. Nous devons l'inclure. Cette option refuse automatiquement l'accès au site aux utilisateurs qui ont tenté de pirater l'entrée d'autres sites : SSL. Le paramètre vous permet d'activer le cryptage SSL pour tout ou partie de votre site. Je ne recommande pas d'activer cette option.

Application de mot de passe fort. Force les utilisateurs enregistrés à utiliser des mots de passe complexes. Une option inutile, à mon avis, je ne recommande pas de l'activer.

Réglage fin du système et personnalisation de WordPress. Ce sont des paramètres avancés pour les utilisateurs avancés. Les activer peut entraîner des erreurs dans le site, des conflits avec des thèmes ou des plugins. Je déconseille fortement d'activer ces paramètres. Si vous décidez toujours de configurer ces fonctions, activez chaque élément séparément et vérifiez immédiatement les performances du site.
Sels WordPress. Vous permet de mettre à jour les clés de sécurité WordPress. Une autre fonctionnalité inutile, je ne recommande pas de l'activer.

Modifiez votre page de connexion d'administrateur WordPress. Un moyen très puissant de protéger votre site consiste à modifier la page de connexion WordPress par défaut. Par défaut, sur tous les sites, vous pouvez vous connecter à WordPress en utilisant le lien site.ru / wp-admin. Avec iThemes Security, vous pouvez masquer la page de connexion sur le site.

Pour cela, dans les paramètres, cliquez sur "Avancé", sur l'onglet "Masquer la page de connexion", cliquez sur "Configurer les paramètres" :
Cochez ensuite la case à côté de « Masquer la page de connexion » :
Ensuite, dans le champ en face de l'inscription "Lien vers la page de connexion", saisissez n'importe quel mot en lettres latines, par exemple vhodnasajt, et enregistrez les modifications.
... Vous seul savez maintenant quel lien vous pouvez utiliser pour accéder au panneau d'administration du site. Naturellement, cela augmente la sécurité de WordPress. Important! Notez ce lien, si vous l'oubliez, il sera très difficile de restaurer l'entrée du site. Que cette option soit activée ou non dépend de vous. Je ne l'utilise pas.

iThemes Security Pro. Version payante du plugin doté de fonctionnalités de sécurité avancées. Vous permet d'activer l'authentification à deux facteurs, l'analyse programmée des logiciels malveillants, l'intégration de Google Recaptcha, vous pouvez contacter le support technique du plugin. Si vous avez un site volumineux et populaire, il peut être intéressant d'envisager l'achat de la version pro. À mon avis, les paramètres standard du plugin suffisent amplement à assurer la sécurité du site. Si vous recherchez des plugins capables de sécuriser WordPress, iThemes Security est la meilleure solution. Grâce à des paramètres flexibles et à de nombreuses fonctionnalités, votre site sera protégé au maximum contre le piratage et les attaques de bots.

✓

WordPress est un CMS populaire et facile à utiliser. C'est pourquoi de nombreux débutants choisissent WordPress pour créer des sites Web dynamiques. Mais ils sont confrontés à la difficulté de choisir un système de sécurité. Parce que WordPress regorge de toutes sortes de solutions pour le fournir.

Connaître les systèmes de sécurité modernes et actuels peut aider les gens à éviter que leurs sites Web ne soient piratés, mais tous les débutants ne veulent pas approfondir le code. Oui, nous entendons les passionnés et les débutants qui souhaitent sécuriser leur site Web sans utiliser de code.

Dans cet article, nous allons essayer de vous aider à sécuriser votre site web quelle que soit votre connaissance du code WordPress.

Parlons donc de la sécurité WordPress pour les débutants.

Sécurité WordPress pour les débutants

Si vous souhaitez renforcer la sécurité de votre site WordPress sans utiliser de code, ou si vous souhaitez que quelqu'un s'occupe de la sécurité pour vous, alors cet article est fait pour vous. Vous trouverez ici des outils gratuits et premium pour cela.

Il s'avère qu'il existe des tonnes d'applications pour la sécurité de WordPress. Vous trouverez plus de 1000 options si vous recherchez simplement des plugins WordPress avec le mot "sécurité". Mais il y a un problème de choix. Sur quel plugin pouvez-vous compter ? Nous utilisons plusieurs plugins depuis plus de 5 ans maintenant et vous en parlerons.

Les plugins que nous listons sont parmi les plugins WordPress les plus populaires aujourd'hui. Vous ne regretterez pas d'avoir choisi l'un d'entre eux.

1.iThemes Sécurité

Nous commencerons notre liste par iThemes Security car il est utilisé par plus de 700 000 sites Web.

Chris Wigman a créé ce plugin, qui a ensuite été acheté par iThemes. Nous disons cela pour deux raisons :

1. Chris est un développeur incroyable et nous faisons confiance à son travail
2. iThemes est l'une des sociétés WordPress les plus puissantes, tous ses plugins sont mis à jour assez fréquemment et disposent d'un excellent support technique.

C'est le meilleur plugin de sécurité à ce jour. Il est en tête de liste avec 700 000 installations actives. Il offre plus de 30 façons de protéger votre site Web WordPress.

Une fois installé, laissez simplement le plugin faire son travail. Il remplit les fonctions de recherche, de suppression et de protection supplémentaire contre les logiciels malveillants. Ce plugin peut être facilement personnalisé pour les débutants et les utilisateurs expérimentés.

iThemes Security protège contre la plupart des menaces. Il bloque les comptes malveillants, vérifie les modifications apportées aux fichiers de base, enregistre les mots de passe forts, masque la page de connexion et d'administration, et bien plus encore.

La version premium dispose de plusieurs options supplémentaires et démarre à 80$ pour un an de protection pour deux sites.

2. Sucuri

Sucuri a la réputation d'être un plugin prestigieux sur le marché des plugins WordPress premium. Les développeurs ont fait un excellent travail en suivant les dernières tendances en matière de sécurité pour sécuriser des milliers de sites Web WordPress.

Pour WordPress, Sucuri a plugin gratuit pour l'audit, le scanner de malware et l'amélioration de la sécurité de votre site. Mais la version premium vaut chaque centime. Les prix commencent à 16,66 $ par mois. Si vous êtes un professionnel à la recherche du meilleur plugin pour sécuriser votre site, alors jetez un œil à Sucuri.

Sucuri fournit une boucle complète pour suivre et prévenir les attaques et le piratage de votre site Web. Il comprend un pare-feu WAF, un antivirus et un service de suppression de logiciels malveillants. Pour toute question, vous pouvez toujours contacter le service d'assistance.

En plus de détecter les logiciels malveillants et de protéger votre site, Sucuri fonctionne également avec des hacks. Disons que votre site a été piraté. Le plugin supprimera les logiciels malveillants dans les 12 heures et vous enverra également une notification de toute activité malveillante.

Sucuri propose également des fonctionnalités telles que des sauvegardes régulières, une protection et des analyses en temps réel, des certificats SSL, une protection DDoS, une authentification DNS et des modifications WHOIS, etc.

3. VaultPress

Des sauvegardes régulières font également partie des mesures pour assurer la sécurité du site. Pour un prix raisonnable, VaultPress fournit à ses clients des sauvegardes et des systèmes de sécurité. L'ensemble de fonctions comprend également une analyse régulière du site, des sauvegardes automatiques, un support technique.

Nous avons commencé à utiliser ce plugin dès sa sortie. L'équipe d'assistance nous a aidés à localiser et à résoudre plusieurs problèmes de sécurité avec certains plugins tiers. Nous pouvons certainement recommander ce plugin pour créer des sauvegardes et analyser le système.

Si le site a été piraté, alors VaultPress vous reprend très rapidement le contrôle du site.

4. Sécurité Wordfence

Wordfence Security est un autre plugin de configuration de sécurité disponible en versions payante et gratuite. Il est utilisé par plus d'un million de sites Web. Son puissant pare-feu d'application Web avec Threat Defense Feed protégera votre site Web contre le piratage. Ces deux fonctionnalités bloquent les menaces telles que les faux Google Bots, les botnets, etc.

Le plugin dispose d'un moteur d'analyse robuste qui vous avertit de toute activité suspecte. Il surveille non seulement les logiciels malveillants, mais également toutes les modifications apportées aux fichiers, l'injection de code, les tentatives de connexion, etc.

Wordfence Security offre une fonctionnalité unique d'affichage du trafic en direct qui affiche les statistiques de votre site Web en temps réel. Cela signifie que vous aurez le temps de prendre des mesures en temps opportun lorsque vous tenterez de pirater votre site.

Le plugin contient Falcon Engine qui fournit un processus de mise en cache rapide. De plus, en plus des fonctions de gestion du cache, il existe 2 modes de mise en cache, à savoir la possibilité d'effacer le cache et de surveiller l'utilisation du cache.

Pour obtenir une liste étendue de fonctionnalités, vous devez installer la version premium.

5. Sécurité et pare-feu WP tout en un

All In One WP Security & Firewall est un plugin unique que les utilisateurs adorent vraiment. Il est facile à configurer, puis profitez simplement de la sécurité de votre site. À l'heure actuelle, elle compte plus de 400 000 installations sur des sites, ce qui la place à égalité avec iThemes Security.

Avec un ensemble de fonctionnalités intuitives, vous pouvez faire passer la sécurité de votre site au niveau supérieur. Une caractéristique intéressante est le système d'évaluation de la sécurité, qui va de 0 à 470. Cela vous aidera à comprendre quel composant Web a besoin d'une protection supplémentaire. Toutes les informations sont affichées dans la console.

Pour éviter les pannes du site, All In One WP Security & Firewall fonctionne en 3 modes : basique, moyen et avancé. Tout d'abord, vous pouvez choisir le mode de base, puis passer au suivant.

L'ensemble de fonctionnalités de ce plugin comprend également le blocage des liens d'image directs, la protection contre les attaques, la gestion des préfixes de base de données, la protection par pare-feu, le blocage IP et bien plus encore.

Résultats

Vous devez toujours veiller à la sécurité de votre site Web. Cela vous met dans une meilleure position que ceux qui choisissent d'ignorer ce problème. Il existe quelques autres plugins décents en plus de ceux que nous avons déjà nommés. Mais nous passons ce verdict :

• Meilleur plugin gratuit -iThemes Security
• Meilleur plugin Premium -Sucuri

Quels plugins de sécurité utilisez-vous ? Faites le nous savoir dans les commentaires!

Bonjour à tous! Sécurité et sécurité à nouveau! Si vous avez déjà lu l'article "" sur mon blog, vous êtes probablement intéressé par une sécurité supplémentaire pour votre site. Quoi qu'il en soit, tout webmaster adéquat doit aimer et protéger sa progéniture. Dans cet article, je vais vous présenter toutes les options du plugin All In One WP Security et vous montrer comment les configurer correctement.

Important

Sur mon blog il y a une série de tutos "". Et si vous avez configuré la sécurité du site en tenant compte des recommandations de ces leçons, gardez à l'esprit que le plugin All In One WP Security duplique les fonctions d'autres plugins de protection. Par exemple, les fonctions :

• bloquer une adresse IP après des tentatives d'autorisation incorrectes
• captcha dans les commentaires
• changer la page de connexion au panneau d'administration, etc.

Par conséquent, laissez tout tel quel et n'installez pas le plugin, ou lorsque vous configurez le plugin All In One WP Security, analysez soigneusement les fonctions de protection afin qu'elles ne dupliquent pas les fonctions des plugins déjà installés. Et si vous avez vu une prise, désactivez le plugin en double afin que tous les paramètres de sécurité All In One WP fonctionnent correctement.

Vous me demandez peut-être pourquoi, dans le cours de création de blog DIY, j'ai recommandé de configurer la sécurité de WordPress via l'intégration de code, des plugins séparés, etc. Il s'agit de l'alternative. Et d'ailleurs, d'après mes mesures de la vitesse de téléchargement et du fonctionnement global du site, je n'ai pas remarqué la différence entre toutes les recommandations concernées des trois parties de la 13e leçon, du plugin All In One WP Security. Il y a des individus parmi vous qui ne me croiront pas sur parole et continueront à intégrer le code dans le moteur, en contournant les "plugins poids lourds", faites comme vous le savez.

Installation du plugin

Alors, commençons. Tout d'abord, installez le plugin All In One WP Security et activez-le :

Après cela, le menu du plugin apparaîtra dans le panneau d'administration du site :

Lorsque vous passez le curseur de la souris dessus, un menu contextuel apparaît :

Panneau de commande

Je pense qu'au début, il est préférable de se familiariser avec le panneau de configuration, pour y accéder, vous devez cliquer sur l'élément de menu du plugin dans le panneau d'administration ou déplacer le curseur de la souris sur "WP Security" et cliquer sur "Panneau de configuration" . Ensuite, vous verrez cinq onglets :

Onglet Panneau de configuration

Au départ, nous sommes dans l'onglet "Panneau de configuration". Vous pouvez voir les blocs ici :

• Sessions actives
• Mode de service
• 5 dernières autorisations
• Adresses IP bloquées

Indicateur de niveau de sécurité

Ce bloc affiche le niveau de sécurité actuel en fonction de tous les paramètres du plugin :

Il est mesuré en billes, qui sont ajoutées après avoir activé un réglage particulier. Plus le score de sécurité actuel est élevé, mieux c'est. Mais je n'ai jamais réussi à augmenter le niveau de sécurité à une valeur maximale de 505 points (la version du plugin au moment de la rédaction de cet article est la version 4.3.2). Cela est dû à des fonctionnalités inutiles pour mon blog que je n'ai pas incluses.

Le schéma de sécurité de votre site

Ce diagramme affiche toutes les modifications actuelles apportées aux paramètres :

C'est une sorte de statistiques qui vous permet de naviguer rapidement dans l'état des paramètres.

Bloquer "Séances actives"

Ce bloc affiche des informations sur les sessions en cours dans le panneau d'administration du site :

En règle générale, le bloc affiche une notification : « Il n'y a actuellement aucun utilisateur actif à part vous. » Bien sûr, s'il n'y a pas d'autres comptes autorisés à travailler dans le panneau d'administration du site, mais qu'en fait vous voyez un compte inconnu dans ce bloc, alors il s'agit d'un pirate informatique.

Mode de service

Une fonction très pratique :

Je ne conteste pas que le mode maintenance puisse être activé en redirigeant vers une page préalablement créée via .htaccess, mais le plugin dispose déjà de cette option, et cela facilite grandement la vie lors, par exemple, de la maintenance du site. De plus, vous pouvez personnaliser la page de service à votre guise. Pour configurer et activer le mode service, cliquez sur le bouton "on/off". Ensuite, vous êtes redirigé vers la page des paramètres du mode de service. Pour activer le mode, cochez la case "Activer le mode maintenance" et enregistrez les paramètres. De plus, vous pouvez personnaliser le texte affiché, insérer une image, etc. Et cela peut être modifié dans le bloc "Entrez votre message".

Ce bloc contient des informations sur la date et les cinq dernières adresses IP à partir desquelles vous êtes entré dans la zone administrateur du site :

Ces informations sont utiles non seulement à des fins de sécurité, mais également pour le suivi des sessions d'autres comptes.

Adresses IP bloquées

Ce bloc affiche les adresses IP qui ont été bloquées par le plugin All In One WP Security ou par vous manuellement :

Il n'y a aucune entrée dans la capture d'écran, mais si les adresses IP sont bloquées, l'entrée apparaîtra.

État actuel des fonctions les plus importantes

Dans ce bloc, vous pouvez voir l'état des mesures de sécurité critiques :

Comme vous pouvez le voir, tous les curseurs sont initialement en position "OFF". J'ai spécialement créé des conditions avec un login banal "admin" pour dire et montrer comment les recommandations minimales sont suivies pour assurer la protection de votre site.

Administrateurs

L'élément de paramètres « Administrateurs » est responsable du contrôle des comptes des administrateurs du site. Ici, vous verrez les onglets suivants :

Nom personnalisé WP

Le premier onglet « WP Custom Name » affiche une liste d'administrateurs. Vous pouvez également voir ici un avertissement concernant les connexions qui peuvent être compromises :

Comme vous pouvez le voir, le plugin considère le login "admin" comme dangereux et suggère de le renommer. Faisons le. Pour modifier le nom d'utilisateur dans le champ vide "Nouveau nom d'utilisateur pour l'administrateur", entrez un nouveau nom, par exemple, une autre trivialité - "wpadmin". Après cela, cliquez sur "Modifier le nom d'utilisateur". De plus, le système se déconnectera automatiquement de votre compte afin que vous vous connectiez avec un nouveau nom d'administrateur. Après cela, vous serez de retour dans l'onglet "WP Custom Name".

Maintenant, faites attention au bloc "Changer le nom d'utilisateur de l'administrateur", à savoir les points :

Félicitations, vous avez obtenu 15 points sur 15 pour avoir suivi une directive de sécurité de base sur WordPress.

Les webmasters expérimentés savent parfaitement que la fonctionnalité standard ne peut pas changer le nom de l'administrateur, mais avec le plugin All In One WP Security, vous le pouvez. Quiconque a lu la première partie de la leçon « Configurer la sécurité de WordPress » sait quelles difficultés vous pouvez rencontrer lors de la création d'un compte administrateur avec un nouveau nom et de la liaison du courrier de l'ancien compte à celui-ci.

Mot de passe

Regardons maintenant à l'intérieur de l'onglet "Mot de passe". Dans le bloc "Password Strength Check", vous pouvez saisir votre mot de passe actuel et obtenir les informations suivantes :

Comme vous pouvez le voir, un bot de sélection de mot de passe lancé à partir d'un ordinateur ordinaire forcera brutalement un tel mot de passe pendant très, très longtemps, même si la protection du plug-in est contournée.

Afficher un nom

Vous vous demandez probablement pourquoi j'ai raté l'onglet Nom d'affichage. Je l'ai laissé pour un goûter. L'utilité de ce point est destinée aux tout nouveaux utilisateurs de WordPress. Ici, vous pouvez voir le nombre de points, comme dans chaque menu de paramètres. Et si le pseudo coïncide avec le login de l'administrateur, vous verrez un avertissement :

Vous pouvez changer le pseudo en cliquant sur la connexion administrateur, ou en passant la souris sur "Utilisateurs" dans le menu du panneau d'administration, en cliquant sur l'élément "Votre profil". Si vous n'avez pas suivi mon cours sur la création d'un blog, entrez d'abord dans le champ "Pseudo (obligatoire)" un nom visible en tant qu'auteur des articles, qui ne correspond pas au login admin. Ensuite, dans la liste déroulante "Afficher en tant que", sélectionnez le pseudonyme saisi précédemment. Après cela, enregistrez. Désormais, lorsque vous visitez le menu des paramètres « Administrateurs » du plugin All In One WP Security, le message suivant s'affichera dans l'onglet « Nom d'affichage » :

Paramètres

Réglages généraux

Par défaut, vous êtes dans l'onglet Paramètres généraux. Vous trouverez ici les fonctions utiles suivantes :

• création d'une sauvegarde de base de données
• sauvegarde du fichier .htaccess
• faire une copie de sauvegarde du fichier wp-config.php

Il existe également des options pour activer et désactiver la fonction de sécurité et toutes les fonctions du pare-feu All In One WP Security. Je vous conseille toujours de lire les explications des options avant de modifier les paramètres du plugin, par exemple :

.htaccess et wp-config.php

Faites attention aux onglets "Fichier .htaccess" et "Fichier wp-config.php". Dans les paramètres de ces onglets, vous pouvez créer et restaurer une sauvegarde de, vous l'aurez deviné, .htacces et wp-config.php. C'est très pratique et ne nécessite pas de client FTP.

Informations sur la version WP

Pour moi, l'onglet le plus intéressant est le suivant - " WP Version Info ". Qui ne sait pas, je vais vous expliquer. WordPress génère une balise méta avec un attribut de contenu, qui, à son tour, est défini sur la version actuelle du moteur du site. C'est dangereux, extrêmement dangereux ! Par conséquent, dans le bloc "Suppression des métadonnées de WP Generator", cochez la case à côté de "Cochez ceci si vous souhaitez supprimer la version et les métadonnées produites par WP de toutes les pages" et cliquez sur "Enregistrer les paramètres".

Importer / Exporter

L'onglet Import / Export est chargé de créer, pour ainsi dire, un préréglage. En configurant le plugin All In One WP Security sur l'un de vos projets, vous pouvez transférer les paramètres vers d'autres sites. C'est très pratique même si vous avez configuré le plugin, fait l'export des paramètres, mais du coup il y avait un besoin de restaurer la sauvegarde du site.

Réglages avancés

Le dernier onglet "Paramètres avancés" est responsable de la méthode d'obtention des données sur l'adresse IP de chacun des visiteurs. Si vous n'êtes pas familier avec PHP à un assez bon niveau et que le tableau superglobal $ _SERVER augmente les pupilles de vos yeux, alors je vous demande de ne pas approcher cet onglet.

Autorisation

Dans cette section des paramètres du plugin All In One WP Security, nous voyons les onglets suivants :

Autorisations de blocage

Dans la description de cet onglet, vous avez probablement déjà lu les instructions des développeurs sur les attaques par force brute. Ensuite, vous devez cocher les cases à côté des cases :

• Activer les options pour bloquer les tentatives d'autorisation
• Autoriser les demandes de déverrouillage (au cas où vous vous êtes verrouillé)
• Afficher les messages d'erreur d'autorisation (augmente les chances de ne pas vous bloquer)
• Notifier par e-mail (toujours être conscient des tentatives de connexion infructueuses, ce qui vous permet de répondre immédiatement à d'éventuelles tentatives de piratage)

On descend jusqu'au bloc global "Plage d'adresses IP temporairement bloquées". Ici, vous pouvez accéder aux statistiques des adresses bloquées en cliquant sur « Adresses IP bloquées ».
Dans le bloc "Login Lockdown IP Whitelist Settings", vous pouvez configurer une liste d'adresses IP blanches, par exemple, l'adresse de votre ordinateur, à laquelle les paramètres de blocage ne seront pas appliqués. Pour cela, dans le bloc "Activer la liste blanche IP Lockdown Login", cochez la case d'activation des paramètres, et dans le bloc "Saisir les adresses IP pour la liste blanche", saisissez votre adresse IP. N'oubliez pas de sauvegarder, juste en dessous. Mais je ne recommande pas de créer une liste blanche. Les attaquants peuvent usurper votre adresse IP.

Tentatives de connexion erronées

Passer à autre chose. Dans l'onglet « Tentatives d'autorisation erronées », une liste des tentatives d'autorisation infructueuses sera affichée. Ces informations sont très utiles pour analyser les tentatives de connexion. Qui se soucie de ces statistiques peut les exporter dans un fichier CSV :

Déconnexion automatique des utilisateurs

L'onglet "Déconnexion automatique de l'utilisateur" n'est pas moins important que le reste des paramètres. Ici, vous pouvez activer la déconnexion des utilisateurs administrateurs après un temps d'inactivité spécifié, par exemple 60 minutes :

Journal d'activité du compte

Ensuite, allez dans le "Journal d'activité du compte". Ici, vous pouvez voir l'heure d'entrée et de sortie du panneau d'administration d'un utilisateur particulier. Seulement 50 entrées sont enregistrées pour tous les comptes. Ces informations sont utiles pour analyser l'activité :

Vous pouvez également exporter ces données dans un fichier CSV.

Sessions actives

Le dernier onglet « Sessions actives » affiche les comptes en temps réel sous lesquels vous vous connectez à la partie administrateur du site :

Enregistrement de l'utilisateur

Dans 99% des cas, le paramètre « Enregistrement de l'utilisateur » pour un blog, dans le plugin All In One WP Security, est ignoré. Mais je vais quand même vous parler des options pour les onglets suivants :

Confirmation manuelle

Si votre site permet l'enregistrement et que la quantité de spam laissée par les utilisateurs laisse beaucoup à désirer, vous devez alors activer l'approbation manuelle d'un nouvel utilisateur dans l'onglet « Confirmation manuelle ». Cela fermera l'accès à l'autorisation jusqu'à ce que vous confirmiez manuellement l'enregistrement de l'utilisateur par vous-même. Qu'est-ce que cela donne en principe. Comme le montre la pratique, sur l'un de mes projets, il y a des individus qui enregistrent initialement des mails par type : [email protégé], [email protégé], [email protégé] etc. De tels e-mails sont utilisés lors de la nouvelle inscription, après avoir banni le premier compte d'une certaine personne. Et si je vois que je suis récemment tombé sur un courrier similaire d'un spammeur, alors j'interdis l'enregistrement. En conséquence, le spammeur ne peut pas se connecter et utiliser à nouveau le même courrier pour l'enregistrement, bien qu'il n'ait pas eu le temps de laisser du spam.

Par conséquent, si une modération utilisateur supplémentaire est nécessaire immédiatement après l'enregistrement, vous devez cocher la case "Activer l'approbation manuelle des nouvelles inscriptions" et enregistrer les paramètres.

CAPTCHA à l'inscription

L'onglet suivant "CAPTCHA lors de l'inscription" ajoute un captcha à la page d'inscription de l'utilisateur. Le Captcha peut être activé en cochant la case "Activer le CAPTCHA sur la page d'inscription". Je trouve cette fonctionnalité nécessaire et utile. Bien sûr, si vous prévoyez l'enregistrement de nouveaux utilisateurs.

Inscription Honeypot

L'onglet Registration Honeypot est une fonctionnalité très utile pour bloquer les robots d'enregistrement sophistiqués. Je vous conseille d'activer cette option dans le bloc "Activer Honeypot sur la page d'inscription". Nous sommes sauvés.

Protection de la base de données

Le groupe de paramètres "Protection de la base de données" se compose de deux onglets :

Soyez extrêmement prudent avec les paramètres du premier onglet "Préfixe de la table de base de données". Vous devez immédiatement faire une copie de sauvegarde de la base de données dans l'onglet "Sauvegarde de la base de données".

Sauvegarde de la base de données

Considérez l'onglet Sauvegarde de la base de données. Pour créer une copie de sauvegarde de la base de données, cliquez sur le bouton "Créer une sauvegarde de la base de données maintenant". Après avoir réussi à créer une sauvegarde, vous verrez les informations suivantes :

La capture d'écran montre l'emplacement de ma base de données. Vous aurez votre propre adresse.

Et aussi dans cet onglet, vous pouvez configurer la création régulière d'une copie de la base de données. Pour cela, cochez la case "Activer les sauvegardes automatiques". De plus, vous pouvez configurer la fréquence de création des copies, le nombre de copies à conserver sur le serveur et le nombre de copies envoyées par courrier. N'oubliez pas de sauvegarder.

Préfixe de table de base de données

On revient à l'onglet "Préfixe de table de base de données". Si vous n'avez pas modifié le préfixe de la base de données, il a la valeur "wp_". C'est exactement ce sur quoi vous verrez l'avertissement :

Pour attribuer un préfixe différent à toutes les tables de la base de données, vous devez le définir dans le champ de bloc "Générer un nouveau préfixe de table de base de données". Après cela, cliquez sur "Modifier le préfixe de la table". Si vous ne savez pas grand-chose sur ce que devrait être le préfixe, alors je vous conseille de cocher la case à côté de "Vérifier que le plugin lui-même génère un préfixe de 6 caractères aléatoires", et le champ "Entrez votre propre version du préfixe en utilisant Les lettres latines, les chiffres et le caractère de soulignement" ne sont pas renseignés.

Protection du système de fichiers

Examinons maintenant l'ensemble des paramètres de "Protection du système de fichiers" du plugin All In One WP Security. Cet élément de réglage se compose de quatre onglets :

Accès aux fichiers

Par défaut, nous sommes dans l'onglet "Accès aux fichiers". Si vous avez des doutes sur le CHMOD (droits d'accès) à installer sur un dossier particulier sur le serveur, alors le plugin All In One WP Security décidera de tout pour vous. Faites attention au tableau dans cet onglet. Si le plugin a un commentaire concernant les droits d'accès actuels, vous verrez l'inscription « Définir les autorisations recommandées » dans la colonne « Action recommandée » :

S'il n'y a pas de commentaires, alors l'inscription "Aucune action requise". Pour appliquer les paramètres CHMOD recommandés, cliquez sur "Définir les autorisations recommandées".

Édition de fichiers PHP

Cet onglet définit l'interdiction d'éditer les fichiers PHP depuis l'environnement administratif. Je vous conseille de cocher la case "Désactiver la possibilité d'éditer les fichiers PHP".

Accéder aux fichiers WP

Habituellement, juste après l'installation de WordPress, je supprime les fichiers : readme.html, wp-config-sample.php, etc. Mais il y a des moments où un échantillon du même fichier de configuration sauve les débutants. Par conséquent, je vous recommande de cocher la case « Refuser l'accès aux fichiers d'informations créés par défaut lors de l'installation de WordPress ».

Journaux système

Cet onglet est conçu pour les webmasters expérimentés. Sinon, en regardant dans le journal des erreurs du site, vous ne pourrez pas comprendre l'essence du problème.

Recherche Whois

À mon humble avis, c'est un excellent outil pour obtenir au moins quelques informations, par exemple, sur un utilisateur bloqué. Naturellement, vous pouvez utiliser le site WHOIS, mais pourquoi s'embêter s'il y a une recherche WHOIS dans le plugin All In One WP Security.

Liste noire

Le plugin All In One WP Security vous permet de bloquer non seulement par adresse IP, mais également par agents utilisateurs. Divers spiders / bots de moteurs de recherche, divers services d'analyse, etc., qui créent une charge excessive sur le serveur, peuvent être considérés comme des agents utilisateurs. Ce paramètre vous sera utile même si vous ne souhaitez pas, par exemple, qu'un bot Google explore votre site. Tous les paramètres spécifiés dans l'élément "Liste noire" seront ajoutés à .htaccess.

Pare-feu

Le paramètre Pare-feu se compose de sept onglets :

Commençons donc dans l'ordre.

Assurez-vous de sauvegarder votre .htaccess avant de commencer à définir les paramètres de votre fichier .htaccess via le plugin All In One WP Security.

Règles de base du pare-feu

Si vous n'utilisez pas, par exemple, de plugins de publication automatique sur les réseaux sociaux, vous pouvez alors installer des choucas partout en toute sécurité et enregistrer les paramètres de cet onglet. Mais je vous conseille de n'inclure que les éléments suivants :

• Activer les fonctions de base du pare-feu
• Désactiver la fonctionnalité Pingback de XMLRPC
• Bloquer l'accès au fichier debug.log

Je pense que tout est clair avec le premier réglage, mais les deux options suivantes sont obligatoires. « Désactiver la fonctionnalité Pingback à partir de XMLRPC » interdira les demandes de retour provenant, par exemple, des services de statistiques, mais laissera les demandes aux services autorisées. L'option "Bloquer l'accès au fichier debug.log" bloquera l'accès au fichier de débogage, qui peut contenir des informations de service vulnérables.

Règles de pare-feu supplémentaires

Dans cet onglet, je vous conseille d'activer tous les paramètres sauf : "Désactiver la possibilité d'afficher les répertoires". Le fait est que l'interdiction d'afficher les répertoires est définie par la directive "AllowOverride" dans le fichier de configuration httpd.conf sur le serveur. Vous ne pouvez effectuer de tels réglages que si vous disposez d'un VPS, VDS, loué ou de votre propre serveur. Sinon, laissez ce paramètre décoché.

Vous pouvez découvrir à quoi sert chaque paramètre en cliquant sur "+ Plus":

Fondamentalement, presque tous les paramètres de pare-feu fournis dans le plugin All In One WP Security sont nécessaires pour assurer la sécurité de WordPress.

Règles de pare-feu de la liste noire 6G

Le pare-feu 6G n'a rien à voir avec les communications mobiles. Ce pare-feu offre une protection contre de nombreuses requêtes d'URL malveillantes, des robots malveillants, des référents de spam et d'autres attaques. L'activation des règles de pare-feu de sixième génération réduira considérablement la charge sur le serveur, bien sûr, s'il y a de telles demandes. Je recommande d'activer la protection 6G et 5G.

Robots Internet

L'onglet "Bots Internet" bloque les robots malveillants qui se déguisent en googlebot. Je recommande d'activer l'option "Bloquer les faux Googlebots". Les autres robots ne seront pas bloqués.

Empêcher les liens hypertexte

L'option de l'onglet « Empêcher les liens hypertexte » est requise pour l'activation. Activez l'option et enregistrez. Cela réduira la charge sur le serveur si vos liens vers vos images sont placés en dehors de votre site. Cela n'affecte en aucun cas la publication automatique sur les réseaux sociaux et autres lieux.

Détection 404

L'avant-dernier onglet de détection 404 est également requis pour l'activation. Cochez l'option "Activer la détection et le verrouillage IP 404". Ce paramètre est responsable du blocage des adresses IP à partir desquelles de nombreuses requêtes vers des pages inexistantes sont effectuées dans un court laps de temps. Dans la plupart des cas, cela indique une attaque de pirate dans la recherche d'une page vulnérable. Vous pouvez également modifier l'heure à laquelle l'adresse IP de l'attaquant sera bannie. En règle générale, l'adresse du miroir du site principal est automatiquement enregistrée dans le bloc "URL à rediriger sur erreur 404". Je recommande de ne pas changer cette adresse. Et le tableau des journaux d'erreurs 404 affiche des données sur les visites de pages inexistantes. Le journal peut être téléchargé dans un fichier CSV.

Règles personnalisées

Le dernier onglet « Règles personnalisées » est utilisé pour ajouter vos règles personnelles au fichier .htaccess. Je vous conseille de ne rien ajouter de vous-même sans comprendre comment fonctionnent les paramètres .htaccess. Sinon, le site peut cesser de fonctionner.

Protection contre les attaques par force brute

Les attaques par force brute sont des attaques visant le mot de passe et la connexion par force brute jusqu'à ce que l'option correcte soit trouvée. Il y a cinq onglets dans ce groupe de paramètres, commençons par le premier :

Renommer la page de connexion

L'onglet "Renommer la page de connexion" contient deux paramètres, dont dans le premier "Activer l'option pour renommer la page de connexion", vous devez cocher une case, et dans le second "Adresse (URL) de la page de connexion" enregistrer la connexion adresse au panneau d'administration. L'adresse de la page de connexion doit être différente de l'adresse wp-admin standard, par exemple, thisismysite. N'oubliez pas de sauvegarder et de mémoriser l'adresse de connexion dans le panneau d'administration. Dans mon exemple, ce sera mysite.ru/thisismysite, où mysite.ru est l'adresse de votre site.

Protection contre les attaques par force brute à l'aide de cookies

Allez dans l'onglet "Protection contre les attaques par force brute à l'aide de cookies". Vous pouvez activer l'option « Mon site contient des articles ou des pages protégés par la protection intégrée par mot de passe du contenu WordPress » si vous avez des pages protégées par mot de passe. J'ai de telles pages. Concernant l'option "Ce site a un thème ou un plugin qui utilise AJAX", la plupart des thèmes et plugins modernes utilisent la technologie AJAX. Par conséquent, je vous conseille d'activer cette option également. Je recommande de ne pas activer le paramètre "Activer la protection contre les attaques par force brute" afin d'éviter de bloquer votre adresse IP par le plugin All In One WP Security. Le fait est que vous pouvez oublier et effacer les cookies du plugin avec un mot de passe. Et afin de ne pas résoudre des problèmes qui auraient pu être évités, je recommande de ne pas cocher la case à côté de cette option, d'autant plus que le plugin lui-même prévient et qu'au deuxième essai seulement permet d'activer ces paramètres.

Connexion CAPTCHA

L'onglet Connexion CAPTCHA contient des fonctions utiles pour une protection supplémentaire de la page de connexion et la récupération du mot de passe. Je recommande d'installer les choucas en face :

• Activer CAPTCHA sur la page de connexion
• Activer le formulaire CAPTCHA sur la page de connexion modifiée
• Activez le CAPTCHA sur la page "mot de passe perdu"

Dans le bloc "Woocommerce Forms Captcha Settings", les cases à cocher sont activées uniquement lors de l'utilisation du plugin pour la boutique en ligne "Woocommerce".

Liste blanche de connexion

Passons à l'onglet "Liste blanche de connexion". Ce paramètre agit comme une ligne de défense supplémentaire, bloquant l'accès à la page de connexion pour toutes les adresses IP qui ne figurent pas dans la liste blanche. Si vous le souhaitez, vous pouvez configurer cette option. Mais, mais encore ! Si vous avez une adresse IP dynamique ou s'il est urgent d'entrer dans le panneau d'administration, par exemple à partir d'un numéro de téléphone portable, et que le fournisseur vous attribuera une adresse IP différente, des problèmes surviendront.

Pot de miel

Le dernier onglet "Un baril de miel (Honeypot)" du groupe de paramètres "Protection contre les attaques par force brute" est responsable du blocage des robots qui tentent de remplir les champs d'autorisation. En règle générale, les robots remplissent automatiquement tous les champs, et l'option "Baril de miel" glisse au bot un champ invisible aux yeux de l'utilisateur, que le bot remplit automatiquement. Si cela se produit, le plugin All In One WP Security bloquera automatiquement le bot. Je recommande d'activer l'option "Activer le pot de miel sur la page de connexion".

Protection contre les spams

Passons au groupe de paramètres suivant "Protection contre le SPAM". Nous allons maintenant arrêter de considérer quatre onglets :

Spam dans les commentaires

• Activer le CAPTCHA dans les formulaires de commentaires
• Empêcher les spambots de commenter

Suivi des adresses IP pour le spam de commentaires

Un autre onglet pour les statistiques est "Suivi des adresses IP pour le spam dans les commentaires". Sans aucun doute, les options de cet onglet contribuent à la bonté. Je vous recommande de cocher la case à côté de "Activer le blocage automatique des adresses IP Commenter le spam". Sauvegarder.

De plus, dans le champ "Nombre minimum de commentaires considérés comme SPAM", définissez la valeur 5. Faites attention au bloc "Liste des adresses IP des spammeurs", qui est responsable du filtrage des commentaires. Si vous avez besoin de trouver des adresses IP qui ont été capturées dans le spam au moins une fois, définissez la valeur sur "1" et cliquez sur "Rechercher des adresses IP". Et si, par exemple, 3 fois, alors la valeur "3", etc. Je pense que vous comprenez l'idée. Les résultats seront affichés dans le tableau Liste des adresses IP des spammeurs.

BuddyPress et BBPress

Dans les onglets BuddyPress et BBPress, vous pouvez activer le captcha dans le formulaire d'inscription. BuddyPress et BBPress sont des plugins. BuddyPress vous aide à créer un réseau social basé sur le moteur WordPress, et le plugin BBPress est un forum. Si vous n'utilisez pas ces modifications, alors les options dans les onglets correspondants seront absentes.

Scanner

L'avant-dernier groupe de paramètres "Scanner" est responsable de l'analyse régulière du site pour détecter la présence de codes et de fichiers malveillants. Vous pouvez voir seulement deux onglets ici :

Suivi des modifications apportées aux fichiers

Dans le premier onglet "Suivi des modifications des fichiers", vous pouvez scanner le site immédiatement en cliquant sur "Scanner maintenant".

Comprenez une chose simple : aucun plugin ne peut protéger votre site des hackers gourous ! Par conséquent, en cas de problème, le plugin All In One WP Security, après scan, nous informera de la présence de traces de piratage. Je vous recommande d'activer l'option "Activer l'analyse automatique des modifications de fichiers" et de définir la fréquence d'analyse au moins tous les deux jours. La fréquence d'exploration dépend de la charge actuelle sur votre site. Et si le temps de chargement du site aux pics de trafic augmente, alors pensez à modifier votre plan tarifaire ou à passer à un serveur dédié afin que le scanner du plugin All In One WP Security ne crée pas une charge excessive sur le serveur.

Les champs « Ignorer les fichiers des types suivants » et « Ignorer certains fichiers et dossiers » sont renseignés individuellement, à votre guise. Je vous conseille également d'activer l'option "Envoyer un email lorsqu'un changement est trouvé" afin d'être toujours au courant de tout changement dans les fichiers. Plusieurs adresses e-mail peuvent être spécifiées. Enregistrez après les paramètres.

Analyse des logiciels malveillants

Le deuxième onglet "Analyse anti-malware" est destiné à l'inscription sur le site des développeurs de plug-ins, afin de scanner régulièrement le site sur une base payante. Cela réduira considérablement la charge sur le serveur pendant l'analyse. Qui veut payer de l'argent, s'il vous plaît, c'est votre droit. Mais je ne vois pas vraiment l'intérêt de contracter un tel service pour un blog.

Divers

Le dernier groupe de paramètres "Divers" contient trois onglets :

Protection contre la copie

Dans le premier onglet "Protection contre la copie", vous pouvez verrouiller les fonctions suivantes :

• Bouton de droite
• Texte de marquage
• Copie

Des restrictions s'appliqueront à toutes les pages accessibles aux utilisateurs. Si vous avez un blog utile sur lequel les gens peuvent apprendre beaucoup de leurs connaissances, je ne recommande pas d'activer cette fonctionnalité. Personnellement, je suis mal à l'aise lorsque je ne peux pas copier un texte contenant des informations importantes pour moi.

Cadres

L'onglet Cadres est chargé de bloquer l'affichage du contenu de votre site entre les balises frame et iframe. Qui sont reconnus comme dangereux depuis quelques années et sont souvent piratés. Par exemple, 1C Bitrix, par défaut, bloque ces balises.

Énumération des utilisateurs

Le dernier onglet et le paramètre final du plug-in All In One WP Security que nous examinerons est « Énumération des utilisateurs ». Je recommande d'activer l'option "Désactiver l'énumération des utilisateurs" pour fermer la possibilité pour les bots de hoqueter les informations sur les utilisateurs qui peuvent être vus, par exemple, comme des commentateurs. Cela crée en quelque sorte une barrière de protection pour les utilisateurs du site, protégeant ainsi le compte administrateur.

Ceci conclut le débriefing avec le plugin All In One WP Security. Vous venez de lire un énorme article qui peut être comparé à dix articles réguliers. J'espère que je l'ai expliqué dans une langue accessible. Les questions apparaîtront avec charme, posez-les dans les commentaires. Merci pour l'attention.

Salut les gars! Lorsque votre site est un peu promu, des lecteurs réguliers apparaissent, vous obtenez un grand plaisir. Tout semble être cool. Le flux d'argent augmente également, et vous obtenez une réponse du public, la reconnaissance augmente. Mais il y a aussi un inconvénient à la pièce. Ce sont des envieux, c'est l'attention des méchants.

Pour vous donner une idée de ce dont il s'agit, mon blog a été piraté 2 fois rien que la semaine dernière. Les habitués crurent s'en apercevoir. Les gars, je vous recommande fortement de vous familiariser avec cette leçon, de passer du temps à mettre en œuvre les astuces dont je parle afin de sécuriser davantage votre site et d'économiser du temps, de l'argent et des nerfs.

All In One WP Security est le plugin le plus essentiel pour augmenter la sécurité de WordPress. Il doit être installé par tous ceux qui possèdent un site sur WordPress. Tout le monde, sans exception.

Si mon préféré est le moissonneur SEO pour WordPress, le plugin WP Security est la contrepartie de la sécurité. Autrement dit, si grâce à Yoast SEO j'ai cessé d'avoir besoin de plusieurs plugins SEO, alors ici c'est exactement pareil, grâce à All In One WP Security, vous pouvez vous débarrasser d'autres plugins qui ne remplissent que partiellement les fonctions de celui-ci. Par exemple, comme :

• Verrouillage de connexion ;
• Sauvegarde de la base de données WordPress ;
• Attaque anti-XSS ;
• et d'autres comme ça.

Avantages énormes du plug-in de sécurité All In One WP :

• libre;
• il est très facile à mettre en place ;
• presque tout a été traduit en russe, il est donc clair de quoi il s'agit.

Configuration du plug-in de sécurité All In One WP

Assurez-vous de faire une sauvegarde (sauvegarde) avant de commencer (juste au cas où) les fichiers suivants :

• base de données;
• fichier wp-config ;
• fichier htaccess.

Au fait, ces trois fichiers peuvent être sauvegardés directement dans ce plugin, il suffit d'aller dans WP Security - Settings dans le panneau d'administration :

Panneau de commande

Il existe un indicateur très sympa qui montre le niveau de sécurité de votre site :

Cet indicateur vous aidera à garder le doigt sur le pouls et à comprendre ce qu'il faut faire d'autre pour améliorer la sécurité. Je ne recommande pas de tout faire pour obtenir des scores maximum. Il peut y avoir de mauvaises conséquences, votre site peut planter, mal fonctionner.

L'état actuel des fonctions les plus importantes. Dans ce bloc, vous pouvez activer les fonctionnalités les plus nécessaires à la sécurité de votre site (vous ne pouvez pas les toucher pour l'instant, lors des réglages pour la leçon, ces paramètres sont activés donc) :

Le reste des paramètres du Panneau de configuration n'ont que peu d'intérêt, vous pouvez vous y familiariser par curiosité (Informations système, Adresses IP bloquées, AIOWPS.

Paramètres

Réglages généraux. Ici, vous pouvez créer des copies de sauvegarde des fichiers que j'ai mentionnés ci-dessus. Désactivez également les fonctionnalités de sécurité et de pare-feu si quelque chose ne fonctionne plus.

Méta-informations WP. Cliquez sur la case à côté de "Supprimer les métadonnées du générateur WP" pour ne pas afficher la version de WordPress :

Onglet Importer / Exporter. Ici vous pouvez exporter vos paramètres afin que plus tard sur un autre site vous ne perdiez pas de temps sur les paramètres et importez toutes les "coches" nécessaires en 2 clics.

Administrateurs

Nom WP personnalisé. Assurez-vous (!) de changer le nom de l'administrateur, si vous l'avez "admin". Vous n'avez aucune idée du nombre et de la fréquence de sélection des mots de passe avec la connexion administrateur. Si le mot de passe est également très léger, votre site peut facilement être piraté.

Afficher un nom. Si vous avez des comptes sur votre site qui ont le même nom d'utilisateur et le même nom d'affichage, il est recommandé de changer le nom d'affichage (pseudo).

Mot de passe. Un onglet très intéressant. Ici, vous pouvez savoir combien de temps il faut pour deviner automatiquement votre mot de passe. Entrez votre mot de passe et soyez surpris de la rapidité avec laquelle il peut être piraté. Conditions préalables à l'amélioration de la sécurité :

• votre mot de passe doit contenir des lettres majuscules et minuscules ;
• la présence d'au moins le 1er chiffre est obligatoire, mais le mot de passe ne doit pas être uniquement composé de chiffres ;
• la présence d'un caractère spécial est également souhaitable ;
• la longueur du mot de passe doit être supérieure à 10 caractères.

En conséquence, vous devriez avoir le degré de sécurité maximum pour votre mot de passe, quelque chose comme ceci (le mot de passe ci-dessous serait craqué par un ordinateur personnel dans 57 337 ans (!)) :

Autorisation

Assurez-vous d'activer cette fonctionnalité. Si le mot de passe est mal saisi 3 fois en 5 minutes (par défaut), alors l'IP est bloquée pendant 60 minutes (également par défaut). Je ne recommande pas de bloquer plus longtemps, sinon vous risquez d'être confronté au fait que les administrateurs eux-mêmes entrent le login 3 fois de manière incorrecte, bloquent pendant 10 ans et ne savent pas quoi faire. Nous laissons les 60 minutes par défaut et ne nous embêtons pas.

Je vous recommande également de cocher la case à côté de « Bloquer immédiatement les noms d'utilisateur invalides ». Par exemple, vous avez changé votre login d'admin en krutysh, puis lorsque vous entrez le login admin dans le champ d'autorisation, l'adresse IP est immédiatement bloquée. "Notifier par e-mail" - ici au besoin. Je n'aime pas les spams inutiles, donc je ne coche pas cette case.

Les paramètres finaux de cet onglet ressemblent à ceci :

Si vous êtes curieux, vous pouvez jeter un œil à la liste des IP bloquées, un lien vers la rubrique est donné dans le même onglet ci-dessous.

Tentatives de connexion erronées. Ici, vous pouvez voir les connexions qui sont sélectionnées. Le plus souvent, mes connexions admin, root et police clignotent. Le temps des "tentatives" est également visible. Faites attention à la fréquence à laquelle ils essaient d'entrer dans le panneau d'administration :

Déconnexion automatique des utilisateurs. Je recommande également d'activer cette case à cocher. Permet après un certain nombre de minutes de terminer la session et de déconnecter l'utilisateur. J'ai mis 600 minutes :

Les onglets « Journal d'activité du compte » et « Sessions actives » sont à titre informatif uniquement.

Enregistrement de l'utilisateur

Cochez la case à côté de « Activer l'approbation manuelle des nouvelles inscriptions » :

Et vous pouvez également cocher la case CAPTCHA lors de votre inscription :

Bien sûr, si d'autres personnes ne peuvent pas s'inscrire sur votre site, les 2 premiers points sont tout simplement inutiles, ils ne s'amélioreront ni ne s'aggraveront. Mais, en cas de doute, il vaut mieux cocher ces cases.

Protection de la base de données

Ici, soyez prudent dans l'onglet "Database Tables Prefix". Avant de cocher la case, assurez-vous de faire une copie de sauvegarde de votre base de données (vous y verrez également un lien pour créer une sauvegarde de votre base de données). Si vous avez peur, dans le doute, il vaut mieux laisser cette case décochée :

Sauvegarde de la base de données. Ici, nous avons déjà coché, sélectionnez la fréquence de création des sauvegardes et leur nombre. J'ai. par exemple, ces nombres :

Protection du système de fichiers

Accès aux fichiers. Ici, sur le côté droit, vous aurez des boutons, vous devrez modifier les autorisations de fichier en cliquant sur ces boutons. Par conséquent, toutes vos lignes devraient devenir vertes :

Édition de fichiers PHP. Si vous ne modifiez pas vos fichiers PHP via le panneau d'administration, cochez la case. Je ne recommande pas de modifier les fichiers via le panneau d'administration, ne serait-ce que parce que vous ne pouvez pas appuyer sur CTRL + Z, auquel cas, et vous ne pouvez pas remettre le fichier à sa position d'origine :

Accès aux fichiers WP. Cochez la case :

Journaux système. Laissez-le par défaut.

Recherche Whois

Vous pouvez saisir une adresse IP ou un domaine pour obtenir le WHOIS d'un domaine. Et donc en fait il n'y a rien à toucher.

Liste noire

Si vous n'avez pas de méchants, vous pouvez ignorer cet élément. Si une adresse IP brille constamment dans les commentaires, par exemple, vous pouvez activer la case à cocher et ajouter cette IP à la liste noire.

Pare-feu

Règles de base du pare-feu. Si vous n'avez pas encore fait de copie de sauvegarde de htaccess, assurez-vous de le faire. Et mettez une coche devant tous les éléments :

Règles de pare-feu supplémentaires. Ici, nous activons également toutes les cases à cocher :

METTRE À JOUR: ci-dessous dans l'onglet "Filtrage de caractères supplémentaires", j'ai supprimé la coche, car certains commentaires n'étaient pas passés, ils ont donné une erreur 403. Probablement, après tout, toi aussi je te conseille de décocher cette case afin que les utilisateurs n'aient pas de problèmes à commenter.

Paramètres du pare-feu 5G. Nous incluons également :

Robots Internet. Il peut y avoir des problèmes d'indexation ici, je recommande donc de ne pas inclure cet élément.

Empêchez les hotlinks. Nous incluons également.

Règles personnalisées. Vous pouvez définir des règles supplémentaires dans le fichier htaccess. On ne touche à rien.

Protection contre les attaques par force brute

Renommez la page de connexion. Nous incluons. Remplacez l'adresse de connexion par la vôtre :

Protection contre les attaques par force brute à l'aide de cookies. Je n'active pas cette fonction afin qu'il n'y ait aucun problème de connexion à partir de différents appareils.

Connectez-vous CAPTCHA. Vous pouvez activer le CAPTCHA lors de la connexion, je n'inclus pas :

Liste blanche de connexion. Comme je visite souvent le site depuis des endroits différents, mon IP est différente, donc je n'active pas cette option :

Un tonneau de miel. Un champ supplémentaire est créé que seuls les robots peuvent voir. Par conséquent, en remplissant ce champ, le robot sera redirigé vers son adresse. Nous incluons :

Protection contre les spams

CAPTCHA sous forme de commentaires. Je ne l'active pas, car je n'aime pas compliquer les commentaires, mais je recommande d'activer la fonction "Bloquer le spam bot de commenter":

Suivi des adresses IP pour le spam de commentaires. Ici, vous pouvez consulter les adresses IP de spam "fréquemment flamboyantes" dans les commentaires et les ajouter à la liste noire.

Presse copain. Ajoute un CAPTCHA au formulaire d'inscription BuddyPress. Je ne l'utilise pas.

Suivi des modifications dans les fichiers. Je recommande de l'activer, car souvent, lorsque des sites sont piratés, il n'est pas tout à fait clair quel fichier a été modifié, où rechercher le code malveillant. Et avec l'aide de cette fonction, vous pouvez suivre les changements dans les fichiers de votre site et trouver rapidement le fichier qui a changé récemment.

Recherche de logiciels malveillants. La fonctionnalité est payante, elle coûte à partir de 7$ par mois.

Mode de service

Vous permet de "fermer" le site pendant un certain temps pour apporter quelques modifications. C'est-à-dire que les visiteurs du site se verront offrir un « stub » indiquant que des travaux sont en cours sur le site. Utile lors de la modification des conceptions, de la vérification des plugins pour qu'ils fonctionnent.

Divers

Protection contre la copie de texte et plus encore. Ici, je ne coche la case nulle part dans les trois onglets. Je recommande également de ne pas parier.

Résultats

Après avoir terminé tous ces paramètres, vous pouvez accéder au "Panneau de configuration" et regarder l'indicateur de niveau de sécurité, vous devriez obtenir quelque chose comme ceci :

Encore une fois, vous n'avez pas besoin de tout faire sans réfléchir pour obtenir le score le plus élevé possible. Ne faites pas de mal inutile à votre site, à ses performances et à sa commodité.

Si vous avez des questions - écrivez. Merci beaucoup pour les retweets et les reposts, pour aider les gens à transmettre ce message important.

Sergueï Arsentiev

Sécurité WordPress en 2 clics avec la sécurité WP tout-en-un

Une grande attention est accordée à la sécurité dans WordPress, et il existe encore des cas de piratage de sites. Cependant, vous pouvez utiliser un plugin spécial et augmenter considérablement la protection de votre site, d'autant plus que cela peut se faire littéralement en 2 clics.

Pourquoi avez-vous besoin d'améliorer la sécurité de WordPress ?
Bien sûr, pour éviter les piratages et l'utilisation non autorisée de l'espace du site.

Mais est-ce vraiment si mauvais ? Eh bien, qu'ils le cassent - je n'ai toujours rien à prendre !

Il ne s'agit pas du piratage lui-même, mais de ses conséquences. Les pirates informatiques cassent des sites pour une raison, ils commencent à envoyer du spam en votre nom, placent des liens vers d'autres sites douteux, deviennent des terrains fertiles pour les virus et autres infections. Les moteurs de recherche le reconnaissent rapidement et réagissent à l'aide de notifications, avertissant les visiteurs qui se rendent sur le site sous une forme comme celle-ci :

Un casse-cou rare osera se rendre sur un site infectieux, donc le trafic provenant des moteurs de recherche des sites piratés diminue considérablement. Et avec le trafic, les revenus des propriétaires de sites diminuent également rapidement.

Par conséquent, malgré le fait que n'importe quel site puisse être piraté, je recommande de rendre cette tâche aussi difficile que possible pour les cybercriminels : de ce fait, l'envie de contacter votre site disparaîtra probablement lorsqu'il y en aura beaucoup moins sécurisés et faciles à utiliser. pirater des sites autour.

J'ai installé divers plugins sur des sites pour améliorer la sécurité de WordPress (ils sont aussi souvent appelés pare-feu), mais je vous recommanderai celui que je pense personnellement être le meilleur pour la plupart des paramètres, c'est - Tout en un WP Sécurité.

Ses principaux avantages :

• libre
• interface pratique en russe
• de nombreuses options de protection
• mises à jour fréquentes
• importation et exportation instantanées des paramètres

Il s'installe comme un plugin WordPress classique (si vous ne savez pas comment faire, lisez ""). Vous ne devriez donc pas avoir de problèmes avec l'installation.

Mais vous devez toujours configurer All In One WP Security, c'est-à-dire sélectionner et activer les options de protection. Il y en a beaucoup, mais tous ne devraient pas être inclus, sinon le site pourrait tout simplement s'avérer inutilisable. Alors quels paramètres faut-il sélectionner, et lesquels faut-il négliger ?

Ci-dessous, dans l'article, je donnerai un lien vers le fichier d'importation de mes paramètres personnels, que j'utilise pour améliorer la sécurité sur la plupart des sites - vous pouvez les importer et, ainsi, ne pas traiter les paramètres du programme, qui sont nombreux. Par conséquent, si toutes ces descriptions de paramètres ne vous intéressent pas, passez au verrouillage social et obtenez un lien vers fichier prêt avec les paramètres... Il y aura également une brève instruction sur la façon d'ajouter All In One WP Security à votre plugin.

En attendant, je vais décrire brièvement les paramètres du plugin.

Paramètres de base de la sécurité WP All In One

Il existe de nombreux paramètres de plugin, ils sont tous collectés dans le panneau de configuration, dans l'élément WP Security :

Commençons dans l'ordre.

Panneau de commande

Les informations de base sur le système sont commodément collectées ici : le niveau de protection actuel, les principaux paramètres impliqués, la version du serveur php, les journaux des connexions des utilisateurs au panneau d'administration, etc. C'est-à-dire qu'il n'y a rien à changer sur cet onglet - il joue un rôle informatif.

Il ne vaut pas la peine de s'efforcer de s'assurer que vous avez utilisé le maximum de points de défense. En effet, dans ce cas, certains autres plugins peuvent être bloqués, et le site peut ne pas fonctionner correctement. En général, il est important d'éliminer les "trous" les plus vulnérables et les plus évidents sans compromettre la commodité et la fonctionnalité du site.

Paramètres

Ici, vous pouvez créer des sauvegardes des principaux fichiers WordPress dans lesquels le plugin modifie les paramètres de sécurité : .htaccess et wp-config. A moins, bien sûr, que vous ne l'ayez déjà fait via FTP (lire ""). Assurez-vous de le faire avant d'apporter des modifications aux paramètres du plug-in.

Un point important est « méta-informations WP ».
Cochez la case, cela supprimera les informations du code du site qu'il a été créé sur la base de WordPress, cela augmentera la sécurité contre l'exploration massive des versions du site par des robots pirates.

Et le dernier point est " Importer et exporter ".
C'est là que vous pouvez rapidement exporter et importer les paramètres du plug-in d'un site à l'autre.

Administrateurs

Dans ce paragraphe, nous parlerons des comptes des administrateurs enregistrés dans le panneau de configuration.

Il est de notoriété publique que vous ne pouvez pas utiliser de noms d'administrateur standard tels que « admin » dans WordPress ou « administrator » dans Joomla. Cela a un effet extrêmement négatif sur la sécurité, car lorsque le login est connu, le pirate ne peut que deviner le mot de passe.

Donc, si vous utilisez le "admin" standard comme nom d'administrateur, alors insultez mentalement le développeur et changez-le rapidement pour quelque chose de plus complexe. Pour ce faire dans WordPress, vous devez créer un nouveau compte utilisateur. Supprimez l'ancien, associez tous les enregistrements au nouveau compte.

Il est également important que le nom d'utilisateur corresponde au login.
Et vérifiez la complexité du mot de passe. Un mauvais mot de passe est comme "serega", normal est "serega1212", et l'idéal est "dfw & uuhsU2%".

Autorisation

Que se passe-t-il si quelqu'un a saisi plusieurs fois le mauvais mot de passe en essayant d'accéder au panneau d'administration ? Par défaut, le système ne fait rien. Et qu'est-ce qui se passerait si " Activer les options pour bloquer les tentatives d'autorisation", alors le système bloquera ces connexions après un certain nombre de tentatives infructueuses pendant un certain temps. Le nombre de tentatives, le temps et d'autres paramètres, vous définissez vous-même dans les paragraphes ci-dessous.

Les autres onglets sont pour la plupart informatifs.

Enregistrement de l'utilisateur

Le captcha lors de l'inscription n'est pertinent que si vous avez la possibilité d'inscrire de nouveaux utilisateurs sur votre site ou votre blog.

Base de données

Assurez-vous de changer le préfixe des tables dans la base de données. Par défaut, les tables d'une base de données WordPress commencent par "wp_", ce qui est mauvais pour la sécurité. Sélectionnez " Générer un nouveau préfixe de table de base de données"et cochez la case pour que le plugin génère quelque chose comme" hwy1e2_ ".

Bien que j'aie changé le préfixe sur de nombreux sites WordPress - tout allait bien, mais vous ne serez pas superflu : assurez-vous de faire une sauvegarde de la base de données, d'ailleurs, vous pourrez le faire correctement lors de la prochaine contribution.

Système de fichiers

Dans l'onglet principal " Accès aux fichiers"tous les éléments doivent être marqués en vert. Si ce n'est pas le cas, il suffit de cliquer sur l'élément correspondant.

Cochez les cases et sur l'onglet suivant " Édition de fichiers PHP" et " Accès aux fichiers WP". Vous n'avez pas à laisser la possibilité d'apporter des modifications au programme via le panneau de configuration - il est préférable de le faire via un accès FTP, ce qui est beaucoup plus difficile à pirater, car les programmeurs professionnels de votre hébergeur y sont engagés dans la sécurité. De plus, vous ne devriez pas "briller" les fichiers d'informations importants du système.

Recherche Whois

Il n'y a pas de paramètres ici, mais si quelqu'un vous entre par effraction ou si un utilisateur inadéquat laisse des messages stupides, vous pouvez essayer de vous renseigner sur son fournisseur et vous plaindre de son insuffisance, ou simplement le menacer dans un message personnel.

Bien sûr, si un hacker utilise un anonymiseur d'IP, vous ne saurez vraiment rien, mais la fonction peut quand même être utile, puisqu'en général vous pouvez obtenir rapidement des informations sur les propriétaires du site et leurs contacts.

Liste noire

Disons que vous avez "percé" dans whois que le spam se propage activement à partir de l'adresse IP d'une personne privée sur votre blog dans les commentaires. Vous pouvez l'ajouter à la liste noire et il n'aura pas accès aux pages du site.

Vous pouvez également bannir massivement les robots « gauchistes » qui peuvent parcourir Internet à la recherche de vulnérabilités.

Fondamentalement, cette fonctionnalité a du sens si quelqu'un essaie activement de vous pirater. Dans la plupart des cas, ces champs resteront vides.

Pare-feu

Eh bien, nous sommes arrivés à la fonction principale du plugin - le pare-feu. Ces fonctions sont réparties sur plusieurs onglets.

Dans le " Règles de base"Je recommande d'activer les deux cases à cocher :" Fonctions de base du pare-feu" et " Protection contre les vulnérabilités de pingback". Pour chaque élément, il existe une description détaillée de toutes les fonctions qui seront impliquées. Ce sont des règles de base - elles n'affectent généralement pas les performances du site.

V" Règles supplémentaires« J'utilise personnellement :

• Affichage du contenu des répertoires
• Trace HTTP

Autres éléments:

• Commentaires via des procurations
• Lignes indésirables dans les requêtes
• Filtrage de caractères supplémentaire

sur certains sites ont causé une instabilité dans le travail, je ne peux donc pas les recommander sans ambiguïté.

Si vous souhaitez les utiliser, faites une sauvegarde htaccess, activez et testez minutieusement le site pour ses performances précédentes. Essayez de laisser un commentaire, de télécharger un fichier, de vous inscrire, de rechercher sur le site, d'envoyer un formulaire de commentaires, etc. Si tout va bien, alors ok, tu as de la chance

Plus loin dans l'onglet " Pare-feu 5G"vous pouvez activer une protection complète contre les attaques de pirates via l'URL du site. C'est une fonctionnalité utile, mais sur mon blog, elle provoquait une erreur lorsque les utilisateurs téléchargent des fichiers. Je l'ai donc désactivée et désactivée sur tous les autres sites, car je préfère utiliser uniquement les paramètres qui ne causent jamais de plaintes dans le travail.

Dans le " Robots Internet"Je n'ai pas coché la case, car on craint toujours d'empêcher le robot principal de Google de faire son travail. Si quelqu'un peut dissiper mes craintes dans les commentaires, je lui en serais reconnaissant.

"Empêcher les liens hypertexte"Je le laisse également désactivé, car je télécharge moi-même des images de blog à partir d'autres sites. Et j'ai noté que beaucoup de mes clients le font également, par exemple, téléchargent des images de leur site vers différents forums, forums, etc. Mais si vous êtes sûr que nulle part n'utilisez les images du site, alors afin de réduire la charge inutile sur l'hébergement, vous pouvez bien sûr cocher la case.

"Détecter les erreurs 404"vous devez l'utiliser uniquement si vous avez beaucoup d'erreurs suspectes de pages introuvables dans vos journaux. J'ai tout sur tous les sites, donc il n'y a rien à ajouter à la liste des adresses IP qui doivent être bannies.

Protection contre les attaques par force brute

Qu'est-ce que la force brute ? Il s'agit d'une attaque par force brute qui consiste simplement à forcer par force brute tous les mots de passe possibles sur un site Web. C'est-à-dire que le robot entre dans la page avec l'entrée du panneau d'administration et commence à essayer l'un ou l'autre mot de passe.

Nommez la page de connexion à votre discrétion, par exemple, / lg-wp et le robot de force brute de mot de passe ne pourra pas entrer dans votre panneau d'administration - il ne le trouvera tout simplement pas !

"Protection des cookies"Je n'utilise pas - car je vais souvent en ligne à partir de différents navigateurs, en plus d'effacer périodiquement les cookies, et donc la procédure de connexion avec ce paramètre serait plutôt fastidieuse. Pour la même raison que je n'utilise pas" Captcha de connexion". J'ai déjà assez de toutes sortes de captchas sur Internet, et donc sur mon site Web j'essaie de les garder au minimum.

"Liste blanche de connexion"- c'est une protection presque à 100% contre les robots de force brute, puisque le login et le mot de passe ne peuvent être saisis qu'à partir d'une adresse IP spécifique. Mais mes clients et moi visitons souvent nos sites à partir d'adresses IP différentes, par exemple, depuis le bureau, depuis un téléphone portable , des invités, etc. Dans ce cas, la protection sera excessive, car elle ne permettra pas au propriétaire d'entrer sur le site.Cependant, si vous travaillez sur votre site en permanence avec une seule adresse IP, vous pouvez utiliser cette fonction.

Protection contre les spams

Je n'ai pas inclus cette protection, car le plugin spécialisé Antispam Bee fonctionne bien pour moi (lire "").

Scanner

Si tout à coup un salaud s'est quand même frayé un chemin dans tous vos systèmes de sécurité et a inséré son code malveillant ou laissé des liens dans les fichiers du site, alors le système vous en informera. Et vous pourrez regarder de plus en plus près ces changements : et si vous étiez vraiment piraté ?

Je scanne les sites tous les 7 jours, j'ignore les images, les fichiers personnels, les sauvegardes, etc. Tout cela se trouve dans les paramètres, que vous pouvez télécharger à la fin de l'article.

Le reste des onglets ne sera probablement pas nécessaire.

Mode de service

C'est juste un utilitaire, mais très utile. Vous permet de désactiver temporairement le site pour tout le monde, à l'exception des administrateurs, si des travaux y sont effectués.

Divers

"Protection contre la copie"Je ne l'inclus pas, car dans les réalités modernes de la vérification de l'unicité des textes, cela n'a pas de sens, et la vie rend la tâche difficile pour certains utilisateurs. Mais cochez la case." Activer la protection du cadre"ne fait pas de mal, car cela ne vous permettra pas d'ouvrir votre site dans le cadre d'un autre site.