Accès Clients
Email :

Mot de passe :

recommandé par
Annuaire gratuit compare-le-net.comAnnuaire site gratuit
Guide web indeXweb.infoHébergement mutualisé

Conformément à la loi n°2004-801 du 6 août 2004 sur la protection des personnes physiques face au traitement de données à caractère personnel modifiant la loi n°78-17 du 6 janvier 1978, nous sommes enregistrés auprès de la CNIL sous le n° 1497154

Solutions d'hébergement de sites internet pour tous les besoins

Sécuriser votre site WordPress

Objectif : protection WordPress

 

Dans cet article, je vais vous proposer 4 plugins à installer gratuitement sur vos sites WordPress afin d’échapper à une grande majorité des attaques de hackers, légions ces dernières semaines. Protection anti-hack, mais aussi solutions efficaces pour déceler les codes malicieux inclus dans certains plugins (extensions) et/ou templates (thèmes), ces extensions ne vous prendront que quelques minutes à installer, mais pourraient vous épargner des heures de travail pour remettre votre site en ligne !

 

Auparavant, les conseils de base

  • le « core » de WordPress doit toujours être à jour de la dernière version stable
  • votre mot de passe d’administrateur DOIT être difficile à trouver, avec plus de 8 caractères et des caractères spéciaux
  • évitez de conserver l’identification « admin » proposée par défaut lors de l’installation
  • vos extensions et thèmes doivent être à jour
  • fuyez les thèmes gratuits contenant une ligne de code commençant par « eval() » dans le header.php, footer.php ou index.php
  • idem pour les extensions gratuites…
  • faites des sauvegardes régulières de vos sites (base de données et contenu) via l’interface du cPanel

Plugin anti-attaque CSRF (Cross Site Request Forgery)

Les caractéristiques du CSRF sont un type d’attaque qui :

  • Implique un site qui repose sur l’authentification globale d’un utilisateur
  • Exploite cette confiance dans l’authentification pour autoriser des actions implicitement
  • Envoie des requêtes HTTP à l’insu de l’utilisateur qui est dupé pour déclencher ces actions

Pour résumer, les sites sensibles au CSRF sont ceux qui acceptent les actions sur le simple fait de l’authentification à un instant donné de l’utilisateur et non sur une autorisation explicite de l’utilisateur pour une action donnée.

source Wikipedia

 

Vous téléchargez le plugin ici : Baw Anti CSRF puis vous l’installez et vous l’activez via la section Extensions sur wp-admin, et… vous l’oubliez, il travaille tout seul !

 

Cette attaque est courante, mais avec ce plugin, vous êtes à l’abri.

 

Plugin anti-requêtes non sollicitées : Block Bad Queries

 

Block Bad Queries (BBQ) est un script simple qui protège votre site Web contre les requêtes d’URL malveillantes. BBQ vérifie tout le trafic entrant et bloque les mauvaises requêtes contenant des éléments dangereux tels que les eval (), base64_ et les chaînes de demande trop longues. Ces requêtes sont très répandues dans les « exploits » identifiés contre WordPress.

 

Vous téléchargez le plugin ici : Block Bad Queries (BBQ) puis vous l’installez et vous l’activez via la section Extensions sur wp-admin, et… vous l’oubliez, il travaille tout seul !

 

Plugin de protection du login : Simple Login LockDown

 

Simple Login LockDown est une façon simple de protéger votre site WordPress contre les attaques de type  brute force login.

 

Comment ça marche :
  • un attaquant tente d’ouvrir une session et échoue
  • le plugin enregistre les connexions échouées
  • Après un certain nombre de tentatives en échec (par défaut 5), l’accès à la page wp-login.php est bloqué pour le hacker (par défaut pour une heure) – par définition, le brute force login ne peut donc plus fonctionner !

Vous téléchargez le plugin ici : Simple Login LockDown puis vous l’installez et vous l’activez via la section Extensions sur wp-admin. Dans la rubrique « Réglages » puis « Lecture« , vous pourrez modifier le nombre de tentatives de logins autorisé, ainsi que la durée de « bannissement » quand la limite est dépassée.

 

Plugin de protection globale : Wordfence Security

 

Wordfence Security est un plugin de sécurité générale qui inclut un pare-feu, un antivirus, la surveillance des URL malveillantes et du trafic en direct y compris celui des robots d’indexation. Wordfence est le seul plugin WordPress de sécurité qui peut vérifier et réparer votre base de données, votre thème et vos extensions, même si vous n’avez pas les sauvegardes.

 

Ce plugin est un peu plus compliqué à utiliser que les autres, mais c’est vraiment la boite à outil complète de la sécurisation de votre site ! Il vient en plus des 3 autres, car ce sont les 3 seules fonctionnalités qu’il ne couvre pas (bien qu’il intègre également une surveillance de logins en erreur… mais deux protections valent mieux qu’une !).

 

  • Installez Wordfence automatiquement via « Extensions » puis « Ajouter » (en haut de page)
  • Activez le plugin de sécurité via le menu « Extensions » dans WordPress
  • Allez dans le menu scan et commencez votre première analyse de la sécurité. Le balayage de sécurité régulier sera également activé
  • Une fois votre première analyse terminée, une liste des menaces de sécurité apparaîtra. Résolvez les une par une pour sécuriser votre site.
  • Visitez la page des options Wordfence pour entrer votre adresse e-mail afin que vous puissiez recevoir les alertes de sécurité par e-mail
  • Éventuellement, modifiez votre niveau de sécurité et/ou ajustez les options avancées pour définir la sécurité individuelle d’analyse et les options de protection pour votre site.
  • Cliquez sur l’option de menu « Traffic Live » pour surveiller l’activité de votre site en temps réel.

 

Téléchargez le plugin ici : Wordfence Security puis installez le comme décrit ci-dessus. Pour utiliser le plugin, vous devez utiliser une clé API (comme pour Askimet) qui est gratuite pour l’utilisation de base ; elle est déjà renseignée lorsque vous activez Wordfence. Pour les gros sites professionnels, il peut être intéressant d’envisager une version payante, qui vous permettra entre autres fonctionnalités de bannir certaines IP de pays dont vous ne souhaitez pas les visiteurs, de programmer des scans de votre installation à certaines heures, ou encore d’effectuer des scans à distance pour déceler d’éventuelles intrusions.

 

Ce plugin est très complet, n’hésitez pas à consulter les forums sur Wordfence pour optimiser votre protection.

 

Priorité à la sécurité sur WordPress

 

En installant ET utilisant ces extensions, vous vous offrez gratuitement la sécurité de votre site et vous participez à la sécurité de tout le serveur mutualisé sur lequel vous êtes hébergé.

 

D’importantes vagues d’attaques ont lieu ces derniers mois ! On ne vous « vole » rien, mais votre travail est détruit, et la remise en ligne après une attaque de hacker prend beaucoup de temps, et n’est même parfois pas possible. Installer les plugins présentés sur cette page vous prendra tout au plus une grosse demi-heure, mais vous garantit des mois de tranquillité !

 

Merci à un de nos clients, spécialisé WordPress, qui a eu la gentillesse de me conseiller sur le choix des extensions de sécurité. Vous pouvez visiter son site ici : Création Site WordPress

 

 

offre revendeur hébergement web cpanel whm

reserver un nom de domaine

PROMOS EN COURS
.FR 11.00 € .......... 9.00 €/an
.EU 11.00 € .......... 9.00 €/an
site internet pas cher