Peu importe la taille de votre site, la perte de données de votre site ou de ne pas être en mesure d’accéder à votre propre site web peut être une expérience éprouvante. WordPress, qui alimente plus de 25% du Web, est l’un des sites les plus ciblés pour les pirates.

Dans nos messages précédents, nous vous avons montré un certain nombre de trucs et astuces qui a déjà couvert presque tout pour sécuriser votre site WordPress. Pourtant, il y a toujours place à l’amélioration. Dans ce post, nous allons examiner quelques autres conseils pour vous aider à faire votre site WordPress plus difficile à violer.

1. Bcrypt Hashage

WordPress a commencé en 2003 lorsque PHP et le Web en général, étaient encore à leurs débuts. Facebook n’a pas été autour encore, PHP n’a même pas eu POO (programmation orientée objet), l’architecture intégrée; par conséquent, WordPress a hérité des legs qui ne sont idéales aujourd’hui – y compris la façon dont il crypte le mot de passe.

WordPress à ce jour utilise encore MD5 hachage. Fondamentalement, ce qu’il fait est de transformer votre mot 123456 de passe dans quelque chose comme e10adc3949ba59abbe56e057f20f883e.

Cependant, étant donné que les ordinateurs sont maintenant plus sophistiqué que il y a 10 ans, cette hachée mot de passe peut maintenant être facilement inversé dans sa forme nue presque instantanément.

PHP a le cryptage natif depuis 5.5 et Si votre WordPress est en cours d’exécution dans PHP5.5 ou au- dessus, il y a plugin, appelé wp-password-bcrypt qui vous permet d’embrasser cet utilitaire natif en PHP.

Installer et activer le plugin via Composer ou par MU-Plugins .Re-enregistrer votre mot de passe et vous êtes tous ensemble.

2. Activez WordPress.com Protect

Brute-force est une tentative de piratage commune où les attaquants Essayez de vous connecter à votre site Web en devinant de nombreux mots de passe possibles, typiquement des mots trouvés dans le dictionnaire. Ceci est la raison pour laquelle vous devez définir un mot de passe difficile à deviner.

Automattic, les gens derrière WordPress.com, a acquis l’un des plugins WordPress les plus populaires qui peuvent contrer les attaques par force brute. Elle est appelée BruteProtect, et il est intégré avec Jetpack.

Sur la base de notre expérience, il a énormément aidés combat les attaques par force brute plus que près d’un million de fois.

Jetpack Dashboard Widget indiquant le nombre d'attaques et le spam rencontré.
Jetpack Dashboard Widget indiquant le nombre d’attaques et le spam rencontré.

Pour l’obtenir, vous devez installer la dernière version de Jetpack et connectez votre site à WordPress.com. Ensuite, activer le module Protect, et blanc-inscription de votre propre adresse IP ainsi.

Maintenant, vous devriez vous sentir un peu plus sûr.

3. Cacher Votre URL de connexion

WordPress est très bien connu pour la page de connexion, wp-login.php. Ainsi les pirates savent quelle page exacte de diriger leurs attaques par force brute. Vous pouvez le rendre plus difficile pour eux en déguisant votre WordPress URL de connexion.

Heureusement, il y a quelques plugins qui fournissent cet utilitaire:

custom-wordpress-login-url

4. Désactiver « Oubliez Mot de passe »

L’utilitaire Oubliez Mot de passe dans le formulaire de connexion est une façon pour les attaquants, qui vont généralement par le biais d’une injection SQL pour obtenir vos identifiants de connexion. S’il n’y a que quelques personnes qui ont accès à la zone d’administration, il pourrait être préférable de l’éteindre.

Pour ce faire, créer un nouveau téléchargement de fichier – nommez – le forget-password.php.

D’abord, nous changeons le mot de passe perdu URL:

function lostpassword_url() {
return site_url( ‘wp-login.php’ );
}
add_filter( ‘lostpassword_url’,’lostpassword_url’ );

Supprimer le lien. Malheureusement, WordPress ne fournit pas un crochet approprié pour ce faire d’une manière ordonnée par une add_filterfonction. Donc, nous le faisons avec JavaScript à la place.

function lostpassword_elem( $page ) { ?>

<script type= »text/javascript »>
(function(){
var links = document.querySelectorAll( ‘a’ );

for (var i = links.length – 1; i >= 0; i–) {
if ( links[i].innerText === « Lost your password? » ) {
links[i].parentNode.removeChild( links[i] );
}
};
}());
</script>

<?php }
add_action( ‘login_footer’, ‘lostpassword_elem’ );

Enfin, nous redirigeons le Mot de passe oublié URL à l’écran de connexion.

function lostpassword_redirect() {
if ( isset( $_GET[ ‘action’ ] ) ){
if ( in_array( $_GET[ ‘action’ ], array( ‘lostpassword’, ‘retrievepassword’ ) ) ) {
wp_redirect( ‘/wp-login.php’, 301 );
exit;
}
add_action( ‘init’,’lostpassword_redirect’ );
}
}

5. Activer HTTPS

HTTPS donne votre site une couche supplémentaire de sécurité avec la transmission de données. Il peut également vous donner un coup de pouce dans Google classements de recherche. Et maintenant , vous pouvez obtenir cert HTTPS valide gratuitement par la commune initiative de Encrypt Let.

Pour les sites WordPress, vous pouvez facilement obtenir un Encrypt Let certificat avec WP Encrypt. Il n’y a donc aucune raison pour que vous ne devez pas déployer HTTPS dans votre site Web aujourd’hui.

Emballer

Je voudrais juste vous laisser avec le rappel que, malgré toutes ces tentatives, nos sites Web pourraient encore faire l’objet d’attaques, hacks et d’être compromis par des pirates par des moyens au – delà de notre compréhension. Même les grandes entreprises comme Dropbox et LinkedIn ont été laproie à des menaces de sécurité.

En dernier recours, pensez à sauvegarder régulièrement les fichiers et base de données de votre site Web chaque fois que vous le pouvez.

Via : hongkiat

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici