{"id":251867,"date":"2023-10-22T10:40:00","date_gmt":"2023-10-22T07:40:00","guid":{"rendered":"https:\/\/inform.click\/10-hacks-de-securite-pour-wordpress-pour-vous-empecher-detre-pirate\/"},"modified":"2023-10-22T10:40:00","modified_gmt":"2023-10-22T07:40:00","slug":"10-hacks-de-securite-pour-wordpress-pour-vous-empecher-detre-pirate","status":"publish","type":"post","link":"https:\/\/inform.click\/fr\/10-hacks-de-securite-pour-wordpress-pour-vous-empecher-detre-pirate\/","title":{"rendered":"10 hacks de s\u00e9curit\u00e9 pour WordPress pour vous emp\u00eacher d’\u00eatre pirat\u00e9"},"content":{"rendered":"

\n WordPress est une \u00e9norme r\u00e9ussite, non seulement en termes de chiffres mondiaux, mais aussi, ce qui peut en surprendre certains, en termes de grands noms qui utilisent la plateforme.\n<\/p>\n

\n Sur Internet, lorsque vous avez \u00e0 la fois une importante base d’utilisateurs install\u00e9s et des utilisateurs de haut niveau, vous ne pouvez tout simplement pas \u00e9viter de devenir la cible des pirates et des spammeurs. Qu’il s’agisse de colporter des pilules, de promouvoir des id\u00e9ologies d\u00e9form\u00e9es, de voler des donn\u00e9es et de casser des sites simplement parce qu’ils le peuvent, se faire pirater pourrait facilement \u00eatre un casse-t\u00eate majeur pour votre entreprise.\n<\/p>\n

\n Dans cet article, je vais jeter un \u0153il \u00e0 quelques-uns des trucs, astuces et astuces que vous pouvez utiliser pour vous offrir une meilleure protection contre les dessous miteux du Web.\n<\/p>\n

\n Familiarisez-vous avec les bases
\n<\/h5>\n

\n Bien que vous puissiez penser que certains de ces \u00e9l\u00e9ments devraient aller de soi, pensez au nombre de fois o\u00f9 vous avez vu non seulement des clients, mais aussi des coll\u00e8gues d\u00e9veloppeurs, designers et agences qui devraient savoir qu’ils sont coupables de certains d’entre eux ?\n<\/p>\n

\n Commencez par rendre vos mots de passe difficiles \u00e0 deviner. Comment pouvez-vous leur rendre la t\u00e2che difficile mais facile pour vous ? Vous pouvez peut-\u00eatre oublier les substitutions de lettres douteuses telles que \u00ab\u00a0h3ll0\u00a0\u00bb, m\u00e9langer les cas et ajouter de la ponctuation et utiliser \u00e0 la place un mn\u00e9monique. En encha\u00eenant trois ou quatre mots ensemble pour cr\u00e9er une image amusante, votre mot de passe sera beaucoup plus facile \u00e0 retenir que ‘t3r%?9.Fq!G’ et des ordres de grandeur plus difficiles \u00e0 d\u00e9chiffrer. N’utilisez simplement pas ‘CorrectHorseBatteryStaple’. Pour une explication compl\u00e8te et amusante de ce principe, consultez XKCD 936<\/a>.\n<\/p>\n

\n Vous devez \u00e9galement maintenir \u00e0 jour vos plugins et votre noyau WordPress. C’est maintenant plus facile \u00e0 faire avec les versions ult\u00e9rieures de WordPress. \u00c0 partir de WordPress 3.7, vous pouvez configurer quatre types de mises \u00e0 jour automatiques : les fichiers principaux, les plugins, les th\u00e8mes et les fichiers de traduction. Un mot d’avertissement – en fonction de votre configuration, vous souhaiterez peut-\u00eatre d\u00e9sactiver certains d’entre eux afin de pouvoir tester avant de d\u00e9ployer les mises \u00e0 jour. M\u00eame si vous les laissez en direct et que vous rencontrez des probl\u00e8mes, vous avez toujours des sauvegardes quotidiennes sur lesquelles vous appuyer, n’est-ce pas ?\n<\/p>\n

\n Facilitez la gestion de plusieurs sites, plugins et sauvegardes avec quelque chose comme InfiniteWP. Les fonctionnalit\u00e9s de base sont gratuites !\n<\/p>\n

\n Ce ne sont pas les identifiants de connexion que vous recherchez
\n<\/h5>\n

\n En plus d’une force de mot de passe sup\u00e9rieure, vous devriez \u00e9galement envisager de d\u00e9placer votre URL d’administrateur par d\u00e9faut et d’utiliser autre chose que \u00ab\u00a0admin\u00a0\u00bb pour votre nom d’utilisateur. \u00c0 moins que les pirates n’aient une cible sp\u00e9cifique en t\u00eate, ils chercheront g\u00e9n\u00e9ralement \u00e0 ex\u00e9cuter des bots pour automatiser le processus. Ces bots recherchent WordPress, essaient les param\u00e8tres par d\u00e9faut et les mots de passe les plus courants \u2013 alors \u00e9loignons-nous des valeurs par d\u00e9faut pour rendre cette t\u00e2che plus difficile.\n<\/p>\n

\n Le moyen le plus simple de modifier votre URL de connexion est peut-\u00eatre de jeter un \u0153il \u00e0 des plugins tels que HC Custom WP-Admin URL<\/a>. Bien s\u00fbr, lancez d’abord une sauvegarde !\n<\/p>\n

\n Pour changer votre nom d’utilisateur administrateur, le moyen le plus simple est de cr\u00e9er un nouvel utilisateur administrateur avec le nom d’utilisateur que vous avez choisi et de supprimer l’ancien. Si vous ne pouvez pas acc\u00e9der \u00e0 votre administrateur parce que vous ne vous souvenez pas de votre nom d’utilisateur, vous aurez besoin d’une solution un peu plus drastique. Connectez-vous \u00e0 phpMyAdmin et chargez votre base de donn\u00e9es WordPress. Faites d\u00e9filer le c\u00f4t\u00e9 gauche et recherchez la table ‘ks29so_users’. Trouvez le nom d’utilisateur que vous vouliez changer, c’est-\u00e0-dire ‘admin’ et modifiez la valeur user_login pour qu’elle soit votre nouveau nom.\n<\/p>\n

\n Un dernier mot sur le processus de connexion
\n<\/h5>\n

\n Avant de nous \u00e9loigner du processus de connexion, il reste quelques t\u00e2ches \u00e0 accomplir. Vous souvenez-vous de ces bots qui devinent les mots de passe ? Rendons-leur la t\u00e2che plus difficile en disant que vous ne pouvez faire qu’un certain nombre de tentatives dans un certain laps de temps et qu’avant de le faire, vous devez transcrire correctement un CAPTCHA. Pour Captcha, vous pouvez essayer d’installer ce plugin<\/a> et c’est parti. Avantage secondaire – la version premium s’int\u00e8gre \u00e0 BuddyPress et au formulaire de contact 7 pour s\u00e9curiser vos formulaires de contact contre les soumissions de spam.\n<\/p>\n

\n Pour limiter les tentatives de connexion, vous pouvez soit ajouter des plugins tels que Limiter les tentatives de connexion, soit demander \u00e0 votre fournisseur d’h\u00e9bergement qui peut avoir une solution – Wpengine, par exemple, l’a configur\u00e9 par d\u00e9faut.\n<\/p>\n

\n S\u00e9curiser WordPress avec des modifications apport\u00e9es \u00e0 .htaccess
\n<\/h5>\n

\"\"<\/a><\/p>\n

\n J’esp\u00e8re que vous \u00eates pr\u00eat \u00e0 vous salir un peu les mains alors que nous passons \u00e0 des suggestions un peu plus d\u00e9licates que \u00ab\u00a0installer un plugin\u00a0\u00bb ! Ajoutez ces suggestions apr\u00e8s la ligne #END WORDPRESS.\n<\/p>\n

\n Le premier \u00e9l\u00e9ment \u00e0 ajouter va aider \u00e0 prot\u00e9ger wp-config.php, ce fichier serait dangereux entre de mauvaises mains car il contient des informations importantes sur votre site et sa base de donn\u00e9es.\n<\/p>\n

\norderallow,deny\ndeny from all\n<\/code><\/pre>\n
\n  C’est un bon d\u00e9but, que pouvons-nous faire d’autre ? Eh bien, nous pouvons emp\u00eacher les curieux de jeter un \u0153il \u00e0 vos fichiers et dossiers – je pense que les avantages de cela sont assez explicites !\n<\/p>\n
\n  Voici une combinaison pour bloquer la navigation dans les r\u00e9pertoires :\n<\/p>\n
# directory browsing\nOptions All -Indexes<\/code><\/pre>\n
\n  Si vous vouliez bloquer un fichier en particulier, utilisez ce qui suit :\n<\/p>\n
\nOrder allow,deny\nDeny from all\n<\/code><\/pre>\n
\n  Nous commen\u00e7ons maintenant \u00e0 faire des progr\u00e8s en supprimant l’acc\u00e8s \u00e0 ceux qui n’en ont pas besoin. Pour amener cela \u00e0 sa conclusion logique, regardons comment nous pouvons interdire \u00e0 quelqu’un que nous savons \u00eatre un mauvais acteur d’acc\u00e9der \u00e0 quoi que ce soit sur votre serveur.\n<\/p>\n
\n  Une fois que vous connaissez l’IP, ajoutez simplement ces lignes en rempla\u00e7ant 127.0.0.1 par la mauvaise IP :\n<\/p>\n
Order Deny,Allow\nDeny from 127.0.0.1<\/code><\/pre>\n
\n  Pour mettre \u00e0 jour cela avec de nouvelles adresses IP, ajoutez simplement de nouvelles lignes \u00ab\u00a0refus de\u00a0\u00bb. Si vous avez besoin de bloquer une plage enti\u00e8re, laissez simplement la plage en question. En d’autres termes, pour tout bloquer de 127.0.0.0 \u00e0 127.0.0.255, vous ajouteriez :\n<\/p>\n
Deny from 127.0.0.<\/code><\/pre>\n
\n  Le dernier conseil de cette section est de prot\u00e9ger .htaccess lui-m\u00eame. Il existe pas mal de sites qui diffusent des m\u00e9thodes qui sont bonnes, mais pas g\u00e9niales. La m\u00e9thode suivante est une gracieuset\u00e9 de Jeff Starr sur Perishable Press<\/a> et est beaucoup plus approfondie :\n<\/p>\n
# STRONG HTACCESS PROTECTION\n\n order allow,deny\n deny from all\n satisfy all\n<\/code><\/pre>\n
\n  Am\u00e9liorations de la base de donn\u00e9es
\n<\/h5>\n
\n  Un autre avantage de WordPress pour les pirates est que dans une installation standard, ils sauront comment s’appellent vos tables de base de donn\u00e9es. WordPress utilise le pr\u00e9fixe ‘ks29so_’ par d\u00e9faut, en changeant cela, nous nous \u00e9loignons \u00e0 nouveau des hypoth\u00e8ses des pirates.\n<\/p>\n
\n  D’abord, nous dirons \u00e0 wp-config.php que nous modifions le pr\u00e9fixe de la table. Ouvrez ce fichier et modifiez les \u00e9l\u00e9ments suivants :\n<\/p>\n
$table_prefix = 'ks29so_';<\/code><\/pre>\n
\n  Ajoutez des chiffres ou des lettres :\n<\/p>\n
$table_prefix = \u2018ks29so_3drt5_\u2019;<\/code><\/pre>\n
\n  Vous devez ensuite parcourir et modifier chacun des noms de table dans votre base de donn\u00e9es. Pour chacune de vos 11 tables, ex\u00e9cutez une commande sous la forme suivante :\n<\/p>\n
RENAME TABLE \u2018ks29so_commentmeta\u2018 TO \u2018ks29so_3drt5_commentmeta\u2018;<\/code><\/pre>\n
\n  Il y aura probablement quelques autres r\u00e9f\u00e9rences \u00e0 l’ancien pr\u00e9fixe que vous devrez effacer. Ex\u00e9cutez cette requ\u00eate pour r\u00e9pertorier tous les \u00e9l\u00e9ments de la table des options en utilisant l’ancien pr\u00e9fixe :\n<\/p>\n
SELECT * FROM ` ks29so_3drt5_options` WHERE `option_name` LIKE'%ks29so_%'<\/code><\/pre>\n
\n  Malheureusement, vous devrez passer par chacun et mettre \u00e0 jour.\n<\/p>\n
\n  Ensuite, nous devons regarder la table UserMeta, m\u00eame processus qu’avant :\n<\/p>\n
SELECT * FROM ` ks29so_3drt5_usermeta` WHERE `meta_key` LIKE'%ks29so_%'<\/code><\/pre>\n
\n  Enfin, vous pouvez \u00e9galement limiter l’utilisateur de votre base de donn\u00e9es MySQL aux privil\u00e8ges de lecture et d’\u00e9criture suivants : SELECT, INSERT, UPDATE et DELETE. Ainsi, vous pouvez r\u00e9voquer les privil\u00e8ges pour la structure et l’administration de la base de donn\u00e9es: DROP, ALTER et GRANT. Cependant, cela peut rendre la mise \u00e0 jour du noyau et l’ajout de nouveaux plugins difficiles car ils peuvent r\u00e9ellement avoir besoin de modifier la structure de la base de donn\u00e9es. Si vous suivez cette voie, vous devez \u00eatre minutieux dans vos sauvegardes et vos tests.\n<\/p>\n
\n  Nouvelles cl\u00e9s s’il vous pla\u00eet
\n<\/h5>\n
\"\"<\/a><\/p>\n
\n  Vos cl\u00e9s secr\u00e8tes sont stock\u00e9es dans wp-config.php. Cependant, ils ne sont pas si secrets si vous les laissez comme valeurs par d\u00e9faut! Am\u00e9liorez votre s\u00e9curit\u00e9 en les modifiant. Je vous recommande cependant de ne pas vous fier \u00e0 votre propre sens du hasard et de la complexit\u00e9. Utilisez quelque chose comme ce service<\/a> – cela d\u00e9finit non seulement les cl\u00e9s pour vous, mais il les fait toutes en m\u00eame temps dans le bon format pour que vous puissiez les coller directement dans votre fichier. Appuyer sur Actualiser montre que vous obtenez un nouveau jeu de cl\u00e9s chaque fois que vous le chargez.\n<\/p>\n
\n  Source de la recette originale
\n<\/h5>\n
\n  Les plugins sont un vecteur d’attaque suffisamment important lorsque des exploits sont d\u00e9couverts et distribu\u00e9s aux pirates, vous devez donc au moins vous assurer de faire confiance \u00e0 la source du plugin. Sinon, vous serez peut-\u00eatre celui qui placera l’exploit sur votre propre site en ajoutant un plugin douteux contenant des logiciels malveillants.\n<\/p>\n
\n  Nettoyage de printemps
\n<\/h5>\n
\n  Parce que les th\u00e8mes et les plugins sont une vuln\u00e9rabilit\u00e9 potentielle, nous les tenons \u00e0 jour lorsque nous le pouvons. Si vous avez cess\u00e9 d’utiliser un plugin\/th\u00e8me, supprimez-le compl\u00e8tement. La d\u00e9sactivation n’est pas suffisante – il suffit de s’en d\u00e9barrasser ! Si un plugin a \u00e9t\u00e9 abandonn\u00e9 par son d\u00e9veloppeur, ce serait \u00e9galement une bonne id\u00e9e de trouver quelque chose de nouveau et de supprimer l’ancien – si une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 est trouv\u00e9e, elle ne sera pas corrig\u00e9e et obtenir un correctif personnalis\u00e9 sera probablement tr\u00e8s co\u00fbteux.\n<\/p>\n
\n  Dans le m\u00eame ordre d’id\u00e9es, supprimez toutes les connexions dont vous n’avez plus besoin. Vous faites peut-\u00eatre confiance \u00e0 vos ex-employ\u00e9s, et c’est tr\u00e8s bien, mais ce n’est pas enti\u00e8rement une question de confiance. Il s’agit \u00e9galement de r\u00e9duire la zone d’attaque disponible l\u00e0 o\u00f9 vous le pouvez, en limitant les utilisateurs au niveau d’acc\u00e8s minimum dont ils ont besoin. En r\u00e8gle g\u00e9n\u00e9rale, un ancien employ\u00e9 ou un auteur n’a pas besoin d’acc\u00e8s – je suis s\u00fbr qu’il comprendra !\n<\/p>\n
\n  La politique d’entr\u00e9e s’applique – Autoriser uniquement l’adresse IP de l’administrateur de confiance
\n<\/h5>\n
\n  J’ai s\u00e9par\u00e9 cela des autres conseils .htaccess car il s’agit potentiellement d’une \u00e9tape l\u00e9g\u00e8rement plus s\u00e9rieuse \u00e0 consid\u00e9rer. Contrairement \u00e0 l’\u00e9tape pr\u00e9c\u00e9dente consistant \u00e0 interdire les mauvaises adresses IP connues, il s’agit d’autoriser uniquement les bonnes adresses IP connues. Cela am\u00e9liore votre s\u00e9curit\u00e9, mais \u00e0 un co\u00fbt qui vous convient, car vous serez limit\u00e9 \u00e0 l’endroit o\u00f9 vous pouvez vous connecter pour travailler sur votre site. Allez-y si vous ne bougez pas beaucoup, si vous avez subi des tentatives d’attaque constantes ou simplement si vous pensez que cela vaut la peine d’avoir l’esprit plus tranquille.\n<\/p>\n
orderdeny,allow\nallow from 127.0.0.1\ndeny from all<\/code><\/pre>\n
\n  (encore une fois, remplacez 127.0.0.1 par votre adresse IP).\n<\/p>\n
\n  SSL
\n<\/h5>\n
\n  Vous ne devez pas acc\u00e9der \u00e0 votre administrateur sur un service Wi-Fi public – si vous le faites, les informations d’identification sont envoy\u00e9es par voie a\u00e9rienne en texte brut. Le pirate inf\u00e2me pourrait \u00eatre assis \u00e0 c\u00f4t\u00e9 de vous, en train de siroter un caf\u00e9 au lait et d’attaquer secr\u00e8tement un homme au milieu pour obtenir vos mots de passe et d’autres d\u00e9tails sensibles.\n<\/p>\n
\n  Cependant, si vous le devez, vous pouvez au moins vous offrir un peu plus de protection en activant SSL. Assurez-vous d’abord que votre serveur le supporte, puis ouvrez votre fichier wp-config.php et ajoutez la ligne suivante :\n<\/p>\n
define('FORCE_SSL_ADMIN', true);<\/code><\/pre>\n
\n  Autres choses \u00e0 regarder
\n<\/h5>\n
\n  C’est tout pour mon ensemble principal de conseils, mais il y a d’autres aspects \u00e0 examiner. Vous pouvez encore renforcer votre .htaccess, par exemple, en arr\u00eatant les scripts php en cours d’ex\u00e9cution l\u00e0 o\u00f9 ils ne devraient pas l’\u00eatre. Vous pouvez \u00e9galement vous assurer que les autorisations de vos fichiers sont d\u00e9finies de mani\u00e8re appropri\u00e9e, pas seulement dans vos fichiers WordPress, mais sur l’ensemble du serveur.\n<\/p>\n
\n  Mon dernier conseil important, cependant, serait de sauvegarder. Tout cet article est bas\u00e9 sur l’id\u00e9e qu’il vaut mieux pr\u00e9venir que gu\u00e9rir, mais des sauvegardes r\u00e9guli\u00e8res, utilisables et test\u00e9es devraient \u00eatre l\u00e0 juste au cas o\u00f9 vous en auriez besoin. Permettez-moi de souligner \u00e0 la fois r\u00e9gulier et test\u00e9 – une sauvegarde d’il y a un an n’est essentiellement pas une sauvegarde pour la plupart des sites qui se seront consid\u00e9rablement d\u00e9velopp\u00e9s au cours de cette p\u00e9riode. Si les sauvegardes ne sont pas test\u00e9es, vous n’avez pas de sauvegarde. Vous ne voulez vraiment pas en arriver au point o\u00f9 une sauvegarde est n\u00e9cessaire et vous n’avez qu’\u00e0 croiser les doigts et esp\u00e9rer que cela fonctionne !\n<\/p>\n
\n  Qu’avez-vous fait pour s\u00e9curiser votre site WordPress? O\u00f9 tracez-vous la ligne entre la s\u00e9curit\u00e9 et l’accessibilit\u00e9\/convivialit\u00e9 ? Faites-moi savoir dans les commentaires.\n<\/p>\n<\/p>\n
\n  Source d’enregistrement: instantshift.com<\/a>\n<\/div>\n","protected":false},"excerpt":{"rendered":"
WordPress est une \u00e9norme r\u00e9ussite, non seulement en termes de chiffres mondiaux, mais aussi, ce qui peut en surprendre certains, en termes de grands noms qui utilisent la plateforme. Sur Internet, lorsque vous avez \u00e0 la fois une importante base d’utilisateurs install\u00e9s et des utilisateurs de haut niveau, vous ne pouvez tout simplement pas \u00e9viter de devenir la cible des pirates et des spammeurs. Qu’il s’agisse de colporter des pilules, de promouvoir des id\u00e9ologies d\u00e9form\u00e9es, de voler des donn\u00e9es et de casser des sites simplement parce qu’ils le peuvent, se faire pirater pourrait facilement \u00eatre un casse-t\u00eate majeur pour votre entreprise. Dans cet article, je vais jeter un \u0153il \u00e0 certains des trucs, astuces et hacks que vous\u2026<\/p>\n","protected":false},"author":1,"featured_media":143442,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":"","_wp_rev_ctl_limit":""},"categories":[223,119,106,54],"tags":[],"class_list":["post-251867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-manuels-scolaires","category-outils-web","category-securite-internet","category-web-et-wordpress"],"_links":{"self":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts\/251867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/comments?post=251867"}],"version-history":[{"count":0,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/posts\/251867\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/media\/143442"}],"wp:attachment":[{"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/media?parent=251867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/categories?post=251867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/inform.click\/fr\/wp-json\/wp\/v2\/tags?post=251867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}