48 façons de créer un site WordPress sécurisé

Les plats clés

• Mettre à jour régulièrement: Gardez WordPress, les thèmes et les plugins mis à jour pour protéger contre les vulnérabilités.
• Mots de passe et noms d'utilisateur forts: Évitez les noms d'utilisateur par défaut et créez des mots de passe complexes pour améliorer la sécurité de la connexion.
• Utiliser des plugins de sécurité: installer des plugins de sécurité réputés comme WordFence ou Itheme Security pour renforcer les défenses.
• Implémentez le cryptage SSL: utilisez SSL pour sécuriser le transfert de données sur votre site, en augmentant les classements de sécurité et de référencement.
• Hébergement Matters: Choisissez un fournisseur d'hébergement qui priorise la sécurité avec des fonctionnalités telles que des sauvegardes régulières et une protection avancée du pare-feu.
• Sauvegarde fréquemment: sauvegardez régulièrement votre site WordPress pour se remettre rapidement de toutes les infractions de sécurité potentielles.

Cet article fait partie d'une série créée en partenariat avec Siteground. Merci de soutenir les partenaires qui rendent le point de point possible.

pirates. Vulnérabilités. Force brute. Malware. Déni de service. Man dans le milieu. Phishing. Tous les mots effrayants. Nous vivons dans un monde en ligne dangereux!

Votre site a-t-il été piraté? Je l'ai, et nous ne sommes pas seuls. En 2012, plus de 70% des sites WordPress étaient vulnérables aux attaques, et peu de choses ont changé depuis. Qu'avez-vous fait pour protéger Assurez-vous d'avoir un site WordPress sécurisé?

Dans cet article, nous avons rassemblé des conseils de sécurité des articles de point de site précédents, notre propre expérience et du Web, et les avons organisées d'une manière que j'espère que vous trouverez utile et compréhensible. Et surtout, facile à agir.

Les plugins de sécurité WordPress tout-en-un sont utiles (et nous les couvrirons dans notre prochain article), mais la sécurité nécessite plus que l'installation d'un plugin et s'éloigner. Cela nécessite une stratégie minutieuse et une vigilance constante. Soyez proactif, pas réactif. En d'autres termes, ne présumez pas que votre site est sûr - travaillez un plan de sécurité avant vous êtes piraté!

qu'étant dit, il n'y a pas de sécurité à 100%. Ce que vous pouvez réaliser, c'est la réduction des risques et trouver l'équilibre (pour vous) entre la sécurité et la commodité.

La sécurité ne concerne pas des systèmes parfaitement sécurisés. Une telle chose pourrait bien être peu pratique ou impossible à trouver et / ou à maintenir. Ce qui est la sécurité, c'est la réduction des risques, pas l'élimination des risques. Il s'agit d'utiliser tous les contrôles appropriés à votre disposition, dans des limites raisonnants, qui vous permettent d'améliorer votre posture globale en réduisant les chances de vous faire une cible, par la suite piratée. " - codex.wordpress.org

où devriez-vous concentrer votre attention? Dans un article de l'année dernière, WP White Security a signalé les statistiques suivantes sur les sites Web piratés:

• 41% ont été piratés via une vulnérabilité de sécurité sur leur plateforme d'hébergement
• 29% ont été piratés via un problème de sécurité dans le thème WordPress qu'ils utilisaient
• 22% ont été piratés via un problème de sécurité dans les plugins WordPress qu'ils utilisaient
• 8% ont été piratés car ils avaient un mot de passe faible

C'est là que les trous sont dans votre défense. Gardez cela à l'esprit pendant que vous créez votre stratégie de sécurité.

ok. Avec tout cela à l'esprit, voici 40 façons de garder votre site WordPress en sécurité. Choisissez ceux qui ont du sens pour vous et votre site.

WordPress sécurisé

1. Gardez WordPress à jour

Le dernier de WordPress est très probablement plus sûr que le dernier et a moins de vulnérabilités. Alors restez à jour - c'est une opération en un clic. Assurez-vous d'abord de sauvegarder votre site!

Les mises à jour WordPress causent rarement des problèmes, mais si vous aimez être prudent, mettez-le d'abord sur un serveur de test. Ou, si vous aimez simplement WordPress pour se mettre à jour automatiquement, appliquez le code suivant à votre fichier wp-config.php:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

Si vous ne souhaitez pas mettre à jour manuellement votre WordPress, envisagez un fournisseur d'hébergement comme notre partenaire Siteground, qui dispose d'un outil spécial automatique disponible sur tous les plans.

2. Sauvegardez votre site régulièrement

Assurez-vous de faire des sauvegardes régulières de votre site WordPress. Une sauvegarde des données et des fichiers WordPress peut jouer un rôle crucial en cas d'urgence. Si tout le reste échoue, vous n'aurez pas à repartir de zéro!

Planifiez vos sauvegardes pour ne pas les oublier et effectuer une restauration de test de temps en temps.

Lire plus approfondie:

• 5 plugins WordPress pour les sauvegardes et les migrations
• Les meilleurs plugins de sauvegarde WordPress ont comparé
• Comment sauvegarder manuellement votre site Web WordPress
• Votre liste de contrôle de maintenance WordPress ordinaire

3. Activer SSL pour WordPress Data Security

Activer SSL pour sécuriser votre site WordPress. Une couche Secure Sockets crypte toutes les informations envoyées à et depuis votre site, en le gardant privé et en empêchant des attaques d'homme dans le milieu où un tiers écoute ou modifie la communication entre le client et le serveur. En prime, il peut également augmenter votre Google PageRank.

L'adresse d'un site certifié SSL commencera par un HTTPS, tandis qu'un site qui n'est pas certifié SSL commencera par HTTP. Il est préférable d'activer HTTPS avant d'installer WordPress, mais il est possible de mettre à jour vos paramètres WordPress si vous l'ajoutez plus tard. Les fournisseurs d'hébergement comme Siteground proposent des certificats SSL gratuits.

Lire plus approfondie:

• WordPress sécurisé avec SSL

4. Sécuriser wp-config.php

verrouiller WP-Config.php - c'est un seul emplacement qui contient une multitude de données critiques concernant votre base de données, votre nom d'utilisateur et votre mot de passe. Vous seul devez avoir accès.

Pour refuser l'accès à ce fichier, vous devez ajouter le code ci-dessous en haut du fichier .htaccess:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

5. Déplacer wp-config.php

Déplacez le fichier WP-Config.php dans le dossier au-dessus de votre installation WordPress. Cela le rendra inaccessible à quiconque utilise un navigateur, ce qui signifie qu'un cracker a moins de chances de le localiser.

Lire plus approfondie:

• l'astuce de sécurité WordPress la plus simple de tous les temps!

6. Masquer le numéro de version WordPress

Certaines versions de WordPress ont des vulnérabilités connues. Quelqu'un qui connaît ces vulnérabilités peut découvrir la version que vous utilisez, car elle est montrée dans la tête HTML de chaque page.

Supprimez ces informations en ajoutant la ligne suivante aux fonctions de votre thème.

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

Vous devez également supprimer le fichier readme.html, qui contient également le numéro de version WordPress.

7. Supprimez les références WordPress de votre thème

quelqu'un n'essaiera pas de pirater WordPress que si vous savez que vous l'utilisez. Alors gardez-le secret! Supprimez toutes les références à WordPress de vos fichiers de thème.

trouver et supprimer les références de l'en-tête.php qui ressemble à ceci:

remove_action('wp_head', 'wp_generator');

8. Désactiver les rapports d'erreur PHP

Les pirates peuvent utiliser des messages d'erreur à leur avantage. Par exemple, une erreur d'un thème ou d'un plugin peut afficher votre chemin de serveur.

Pour désactiver les rapports d'erreur, ajoutez le code suivant à votre fichier wp-config.php:

<meta name="generator" content="WordPress" />

9. Modifiez les touches secrètes par défaut

Lorsque vous installez WordPress, quatre clés secrètes sont écrites dans votre fichier wp-config.php. Ils améliorent le chiffrement des informations stockées dans les cookies de l'utilisateur et rendent plus difficile la fissuration de votre mot de passe.

Utilisez le générateur de code secret de WordPress pour obtenir de nouvelles clés et copiez-les dans votre fichier wp-config.php.

sécuriser vos thèmes et plugins

51% des sites piratés sont dus à des problèmes de sécurité avec les thèmes et les plugins. Donnez une considération particulière à cette section!

10. Gardez vos thèmes et plugins à jour

Ne vous contentez pas de mettre à jour WordPress, assurez-vous que vos thèmes et plugins sont également à jour. Chacun est une porte arrière potentielle de votre site, et chaque nouvelle version est susceptible d'avoir moins de vulnérabilités.

11. Choisissez des thèmes et des plugins qui sont activement entretenus et régulièrement mis à jour

S'il existe des vulnérabilités de sécurité trouvées dans un thème ou un plugin, vous souhaitez qu'il soit traité le plus rapidement possible. Cela ne se produira pas avec un thème ou un plugin qui n'est plus maintenu. Dans la mesure du possible, assurez-vous que les thèmes et les plugins que vous utilisez sont activement entretenus.

Lire plus approfondie:

Comment vous protéger des plugins WordPress voyous

12. Supprimer les thèmes et les plugins que vous n'utilisez pas

Si chaque thème et plugin est une porte arrière potentielle, réduisez le risque autant que possible. Si vous ne l'utilisez pas, supprimez-le. La désactivation des plugins ne suffit pas: cliquez «supprimer»!

13. Restreindre l'accès à votre répertoire de plugins

restreindre l'accès à votre répertoire des plugins WordPress: www.our-domain.com/wp-content/plugins/. Sinon, quelqu'un qui parcourt le dossier peut voir quels plugins vous utilisez, les explorer pour des vulnérabilités potentielles.

refuser l'accès en téléchargeant un fichier vierge index.html dans le répertoire. Alternativement, ajoutez la ligne suivante au début de votre fichier .htaccess dans le dossier racine:

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

14. Éliminez le plugin et l'éditeur de thème

Il y a un plugin et un éditeur de thème intégré sur le tableau de bord WordPress. Cet éditeur peut être utilisé pour faire tomber l'ensemble de votre site si l'un de vos comptes d'utilisateurs est piraté.

Si vous n'utilisez pas régulièrement l'éditeur, il est préférable de le désactiver. Insérez ce qui suit dans votre fichier wp-config.php:

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

sécuriser vos connexions

8% des sites piratés sont causés par des mots de passe faibles. Voici quelques techniques pour améliorer la sécurité de vos procédures de connexion.

15. Changez le nom d'utilisateur admin

Évitez d'utiliser le nom d'utilisateur d'administration par défaut, ou des noms évidents comme «Administrateur», le nom de votre site ou votre propre nom. Ils sont trop faciles à deviner, et un compte d'administration piraté est plus dangereux qu'un compte d'auteur.

Choisissez un nom d'utilisateur admin approprié lorsque vous définissez WordPress. Si votre site utilise déjà «Admin», créez un nouvel utilisateur d'administration, supprimez l'ancien, ou utilisez alternativement un plugin comme le changeur de nom d'utilisateur.

16. Utilisez un mot de passe sécurisé

Choisissez un mot de passe complexe composé de lettres, de chiffres et de caractères. Voici quelques indices:

• Ne choisissez pas un mot de passe similaire à votre nom d'utilisateur.
• Ne choisissez pas un mot de passe similaire au nom de votre site Web.
• Ne choisissez pas un mot de passe qui est un mot courant avec quelques changements simples.
• Évitez les mots du dictionnaire.
• Envisagez d'utiliser une chaîne aléatoire de caractères.
• Envisagez d'utiliser un bon outil de gestion de mot de passe pour générer en toute sécurité, stocker un mot de passe complexe.

Voici quelques outils qui peuvent générer un mot de passe sécurisé pour vous:

• Générateur de mots de passe phonétique
• Norton Password Generator
• Générateur de mots de passe solide

Enfin, assurez-vous de ne pas utiliser le même mot de passe que vous utilisez ailleurs. Tous les mots de passe doivent être uniques.

17. Forcer tous les utilisateurs à avoir des mots de passe solides

Ce n'est pas bon si vous utilisez un mot de passe fort, mais le reste de l'équipe n'est pas si diligent. Vous ne voulez pas de liens faibles dans la chaîne.

Vous pouvez vous assurer que tout le monde utilise un mot de passe fort en utilisant un plugin comme Force Force Strong Motsws.

18. Changez votre mot de passe régulièrement

Plus vous utilisez le même mot de passe, plus vous donnez de temps à le casser. Raccourcir la fenêtre d'opportunité!

Modifiez votre mot de passe au moins quelques fois par an. Et encouragez vos autres utilisateurs à faire de même.

19. Utilisez l'authentification à 2 facteurs (2FA)

L'authentification à deux facteurs (2FA) augmente la sécurité lors de la connexion en nécessitant un code unique en plus d'un nom d'utilisateur et d'un mot de passe. Le code est généré pour une utilisation unique par une application, ou et envoyé à un appareil / smartphone via SMS.

Lire plus approfondie:

• Vérification en 2 étapes pour WordPress à l'aide de Google Authenticator

20. Limiter les tentatives de connexion

Donnez aux pirates moins de possibilités de deviner votre mot de passe et de protéger votre site contre les attaques par force brute, en limitant le nombre de tentatives de connexion possibles. Cela bloquera automatiquement l'écran de connexion après un nombre configurable d'essais et informe l'administrateur par e-mail.

Vous pouvez limiter les tentatives de connexion en utilisant l'un de ces plugins:

• WP Limit Login Tentatives
• Lockdown de connexion

21. Utilisez CAPTCHA ou RecaptCha sur votre écran de connexion

En plus d'un nom d'utilisateur et d'un mot de passe, utilisez CAPTCHA ou Recaptcha sur votre écran de connexion. L'utilisateur est invité à saisir ce qu'il considère dans une image en tant que texte, ce qui est un moyen utile d'empêcher les botnets de tenter de se connecter par force brute.

Lire plus approfondie:

• pas d'intégration CAPTCHA RECAPTCHA avec WordPress

22. Ajoutez une question de sécurité à votre écran de connexion

L'ajout d'une question de sécurité à votre écran de connexion WordPress rend plus difficile pour quelqu'un d'obtenir un accès non autorisé. Vous pouvez le faire en installant le plugin de questions de sécurité WP.

23. Déconnectez automatiquement les utilisateurs inactifs

Les utilisateurs peuvent parfois s'éloigner de l'écran lorsqu'ils sont connectés, posant un risque de sécurité - quelqu'un peut détourner leur session, modifier les mots de passe ou apporter des modifications à leur compte.

Vous pouvez enregistrer automatiquement les utilisateurs inactifs avec le plugin de déconnexion utilisateur inactif.

24. Affectez les utilisateurs le rôle le plus bas possible

Les utilisateurs sont le point le plus faible de tous les systèmes. Ce point faible est le plus dangereux lorsqu'ils ont des privilèges d'administrateur.

peu ont réellement besoin d'un accès administratif. WordPress propose une gamme de rôles alternatifs à choisir:

• éditeur: quelqu'un qui peut publier et gérer ses propres messages et autres personnes
• Auteur: quelqu'un qui peut publier et gérer ses propres messages
• Contributeur: quelqu'un qui peut écrire et gérer ses propres messages mais qui ne peuvent pas les publier.

25. Utilisez SSL forcé pour les connexions

Le SSL forcé est un changement relativement simple qui peut faire une énorme différence. Même si vous ne cryptez pas l'intégralité de votre site Web, assurez-vous que vos utilisateurs ont des pages de connexion sécurisées. Vous aurez besoin d'un certificat SSL à jour pour vous assurer cela.

26. Supprimer les messages d'erreur de votre page de connexion

Avec chaque tentative de connexion échouée, les messages d'erreur sur votre page de connexion peuvent donner des indices de pirates. Les supprimer en ajoutant la ligne de code suivante dans vos fonctions de thème.

#Enable all core updates, including minor and major:
define ( 'WP_AUTO_UPDATE_CORE', true );

27. Changez votre URL de connexion WordPress

Sachant que l'URL de l'administration WordPress est WP-Admin, tout pirate peut facilement commencer par l'attaque de force brute. Réduisez le risque d'attaquer en modifiant cette URL afin que les pirates ne puissent pas le trouver.

La connexion WPS masque est le plugin le plus simple pour y parvenir.

28. Masquer les noms d'utilisateur de l'auteur

Pour vous connecter à WordPress, vous avez besoin d'un nom d'utilisateur et d'un mot de passe. Par défaut, WordPress facilite la découverte des noms d'utilisateur de vos auteurs. Selon Dreamhost, c'est une bonne idée de cacher le nom d'utilisateur de l'auteur pour vous assurer que vous ne facilitez pas le travail du pirate.

Pour ce faire, copiez et collez ce qui suit dans vos fonctions.php fichier:

<files wp-config.php>
    order allow,deny
    deny from all
    </files>

29. Mot de passe protéger wp-login.php

Celui-ci est pour les utilisateurs avancés. Vous pouvez fournir une autre couche de sécurité en nécessitant une connexion côté serveur avant que l'écran de connexion WordPress ne s'affiche.

En savoir plus ici:

• Empêcher les attaques de force brute contre les sites Web WordPress

30. Protégez le répertoire WP-ADMIN

Si seulement vous (ou vos auteurs, mais pas les membres ou les lecteurs), vous devez vous connecter, puis limitez l'accès à votre fichier / wp-admin / dossier ou wp-login.php.

Si vous ne vous connectez que depuis votre ordinateur personnel, restreignez l'écran de connexion à cet ordinateur uniquement. Saisissez votre adresse IP à domicile (en utilisant whatismyip.com ou similaire) et ajoutez ces lignes au fichier .htaccess dans votre dossier d'administration WordPress (remplacement xx.xxx.xxx.xxx par votre adresse IP):

remove_action('wp_head', 'wp_generator');

Pour permettre l'accès à plusieurs ordinateurs (Office / Home / ordinateur portable ou user1 / user2 / user3), ajoutez un autre autorisation de xx.xxx.xxx.xxx sur une nouvelle ligne.

31. Désactiver XML-RPC

XML-RPC permet aux utilisateurs de se connecter à WordPress à distance via des clients de blogging et est utilisé pour les trackbacks et les pingbacks. Il a été activé par défaut depuis WordPress 3.5.

Malheureusement, les pirates peuvent l'utiliser pour les attaques DDOS, donc si vous n'utilisez pas ces fonctionnalités, envisagez de désactiver XML-RPC.

Cela peut être fait avec l'un des plugins suivants:

• Désactiver le Pingback XML-RPC
• Désactiver XML-RPC

Sélectionnez votre base de données WordPress & Files

32. Utilisez des noms de base de données MySQL forts

Évitez de nommer votre base de données «WordPress» avec un ID utilisateur de «l'utilisateur» et un mot de passe de «mot de passe». Vous ne définissez la base de données qu'une seule fois, alors faites-les aussi complexes que vous le souhaitez. Si vous les oubliez, vous pouvez vérifier les détails dans wp-config.php.

33. Définissez des mots de passe solides pour votre base de données

Utilisez un mot de passe fort pour WordPress pour accéder à la base de données. Voir nos conseils de mot de passe dans # 16 ci-dessus.

34. Modifiez la préfixe de table de base de données WordPress

Lorsque vous installez WordPress, les tables utilisent des préfixes de table comme WP_ par défaut. Sachant cela, les pirates avec des outils automatisés peuvent élaborer votre structure de base de données. Changez le préfixe afin qu'il devienne plus difficile d'exécuter des requêtes d'injection SQL et d'autres attaques.

35. Utilisez SFTP pour vous connecter à votre serveur

Utilisez une connexion SFTP (Secure FTP) lors de la connexion à votre serveur. Cela garantit que la communication entre votre machine et le serveur est protégé. La plupart des hôtes, comme Siteground, offrent SFTP.

Lire plus approfondie:

• Explication des protocoles FTP et SFTP

36. Restreindre les autorisations de fichiers

Protégez la sécurité de votre site en définissant vos autorisations de fichier au strict minimum:

• Réglez la valeur CHMOD sur 755 pour les dossiers. Seul le propriétaire aura des autorisations d'écriture et d'autres auront des autorisations lues et exécuteront.
• Définissez la valeur CHMOD sur 644 pour les fichiers. Les propriétaires ont les autorisations de lecture et d'écriture, et d'autres ne peuvent lire que les fichiers.

37. Surveiller pour les logiciels malveillants

Si une brèche se produit, vous ne voulez pas servir de logiciels malveillants à vos visiteurs. Vous avez besoin d'une solution en place qui évaluera régulièrement les fichiers infectés.

Il existe plusieurs solutions de numérisation côté serveur, y compris SUCURI. Certains fournisseurs d'hébergement, comme Siteground, l'ont mis en place.

Choisissez un fournisseur d'hébergement sécurisé

41% des sites piratés sont dus aux vulnérabilités de sécurité sur la plate-forme d'hébergement. Alors prenez particulièrement soin lorsque vous choisissez ou changez le fournisseur d'hébergement.

38. Choisissez le meilleur plan d'hébergement que vous pouvez vous permettre

Votre site WordPress n'est aussi sécurisé que votre compte d'hébergement. S'il exécute une ancienne version vulnérable de PHP, peu importe ce que vous faites pour sécuriser WordPress.

Il est essentiel que vous choisissiez un fournisseur d'hébergement qui privilégie la sécurité. Certaines des fonctionnalités que vous devriez rechercher sont:

Prise en charge des dernières versions PHP et MySQL
Isolement du compte
pare-feu d'application Web
Système de détection d'intrusion
mises à jour proactives et correctifs
Surveillance rapide du serveur
Sauvegardes quotidiennes

Siteground, notre fournisseur d'hébergement préféré, fournit tout cela et plus encore.

Lire plus approfondie:

Le guide ultime pour choisir un fournisseur d'hébergement

39. Profitez des solutions de sécurité de votre fournisseur d'hébergement

Plusieurs sociétés offrent désormais un hébergement WordPress sécurisé et géré avec d'excellentes solutions de sécurité, telles que WP Engine, Siteground et Media Temple. Ils passent du temps, des efforts et de l'expertise en configurant leurs outils pour une efficacité maximale.

Par exemple, WP Engine mettra à jour automatiquement WordPress et les plugins de clés et désactivera les plugins connus pour provoquer des problèmes de performances et de sécurité. Ils fournissent des pare-feu et de la configuration basés sur le matériel pour s'assurer que les attaques de déni de service distribuées (DDOS) ne font pas tomber votre site.

Siteground fournit des mises à jour automatiques pour le noyau et les plugins WordPress, une isolation efficace de compte de racine CH-Root pour tous les comptes sur les serveurs partagés et des systèmes sophistiqués qui bloquent les robots et les attaquants malveillants.

Plugins de sécurité

40. Installer de bons plugins de sécurité

Nous nous sommes concentrés sur des plugins très classés qui couvrent une gamme de fonctionnalités de sécurité, plutôt que sur les One-Trick-Wonders. Si votre fournisseur d'hébergement n'a pas déjà de solution de sécurité complète, l'installer l'un d'eux serait une excellente première étape de votre stratégie de sécurité.

avons-nous manqué votre plugin de sécurité préféré? Faites-nous savoir dans les commentaires.

41. Wordfence

• Coût: gratuit, prime à partir de 99 $ / an
• Installations actives: 2 millions
• Évaluation: 4,8 sur 5 étoiles (3 048 avis)

La sécurité WordFence est 100% gratuite et open source. Nous proposons également une clé API premium qui vous offre un support premium, un blocage du pays, des analyses planifiées, l'audit de mot de passe, des mises à jour en temps réel du flux de défense des menaces, l'authentification à deux facteurs, et nous vérifions même si l'adresse IP de votre site Web est utilisée pour Spamvertiser.

Wordfence comprend ces fonctionnalités de sécurité:

• pare-feu. WAF avec des règles de pare-feu automatiquement mises à jour qui bloquent les menaces de sécurité WordPress courantes.
• fonctionnalités de blocage. Blocage en temps réel des attaquants connus et des réseaux malveillants et autres menaces de sécurité.
• Sécurité de connexion. Authentification à deux facteurs, appliquée de mots de passe forts, sécurité pour verrouiller les attaques de force brute.
• Analyse de sécurité. Analyse les fichiers de base, les thèmes et les plugins pour les logiciels malveillants et les arrière-dires, et vérifie les fichiers qui ont été modifiés.
• Surveillance. Surveille le trafic en temps réel, y compris les robots et le DNS inversé, les moniteurs pour les modifications DNS et l'espace disque.

42. Tout dans un WP Security & Firewall

• Coût: gratuit
• Installations actives: 500 000
• Évaluation: 4,8 sur 5 étoiles (669 avis)

Un plugin de sécurité complet, facile à utiliser, stable et bien pris en charge… il réduit les risques de sécurité en vérifiant les vulnérabilités, et en mettant en œuvre et en appliquant les dernières pratiques et techniques de sécurité WordPress recommandées.

All In One WP Security & Firewall comprend ces fonctionnalités de sécurité:

• Sécurité des comptes d'utilisateurs. Modifiez le nom d'utilisateur d'administration par défaut, vérifiez les noms d'affichage des utilisateurs les mêmes que les noms d'utilisateur, l'outil de force du mot de passe, arrêtez l'énumération de l'utilisateur.
• Sécurité de la connexion de l'utilisateur. Verrouillage de la connexion (protection contre la force brute), déconnectez les utilisateurs inclive, affichage des tentatives de connexion échouées, adresses IP de liste blanche, voir qui est connecté, captcha.
• Sécurité d'enregistrement des utilisateurs. Activer l'approbation manuelle, captcha, pot de miel.
• Sécurité de la base de données. Définissez le préfixe WP par défaut, planifiez les sauvegardes automatiques.
• Sécurité du système de fichiers. Identifier et corriger les autorisations non sécurisées, désactiver l'édition de fichiers à partir de l'administrateur WP, surveiller les journaux système.
• HTACCESS et WP-Config.php Sauvegarde du fichier et restauration. Sauvegarder, restaurer et modifier facilement ces fichiers importants.
• Fonctionnalité de liste noire. Interdire les utilisateurs en fonction de l'adresse IP ou de la plage, ou en spécifiant les agents utilisateur.
• pare-feu. Ajouter la protection du pare-feu via HTACCESS, Règles de pare-feu qui arrêtent les scripts malveillants.
• Connexion par force brute et prévention des attaques. Prévention de la connexion basée sur les cookies, CAPTCHA sur le formulaire de connexion, renommée URL de la forme de connexion, pot de miel.
• Lookup whois. Obtenez tous les détails d'un hôte soupçonné.
• Scanner de sécurité. Alertes de changement de fichier, tables de base de données de numérisation pour les chaînes suspectes.
• Commentaire la sécurité du spam. Bloquer les adresses IP des spammeurs, ajouter CAPTCHA au formulaire de commentaires.
• Protection de copie de texte frontale. Désactive le clic droit, la sélection de texte et l'option de copie.

43. Ithememes Security

• Coût: GRATUIT, Pro: 2 sites 80 $ / an, 10 sites 100 $ / an, sites illimités 150 $ / an, or 297 $ à vie
• précédemment appelé Better WP Security
• Installations actives: 800 000
• Évaluation: 4,7 sur 5 étoiles (3 812 avis)

iThemes Security Pro élimine la conjecture de WordPress Security. Vous ne devriez pas avoir à être un professionnel de la sécurité pour utiliser un plugin de sécurité, donc Ithemes Security Pro facilite la sécurisation et la protection de votre site Web WordPress.

La version gratuite vous offre une certaine protection, mais la version pro comprend ces fonctionnalités de sécurité:

• Authentification à deux facteurs. "Utilisez une application mobile telle que Google Authenticator ou Authy pour générer un code ou recevoir un code généré par e-mail."
• Salts WordPress et clés de sécurité. «Le plugin de sécurité Ithemes facilite la mise à jour de vos clés et sels WordPress.»
• Planification des analyses malveillantes. «Faites scanner automatiquement votre site pour les logiciels malveillants chaque jour. Si un problème est trouvé, un e-mail est envoyé avec les détails. »
• Sécurité du mot de passe. "Générez des mots de passe solides directement à partir de votre écran de profil."
• Expiration du mot de passe. «Définissez un âge maximum de mot de passe et obligez les utilisateurs à choisir un nouveau mot de passe. Vous pouvez également forcer tous les utilisateurs à choisir immédiatement un nouveau mot de passe (si nécessaire). »
• google recaptcha. "Protégez votre site contre les spammeurs."
• Dogging d'action de l'utilisateur. "Suivi lorsque les utilisateurs modifient le contenu, la connexion ou la déconnexion."
• Paramètres d'importation / exportation. "Gave le temps à configurer plusieurs sites WordPress."
• Widget du tableau de bord. «Gérer les tâches importantes telles que l'interdiction des utilisateurs et les analyses du système directement à partir du tableau de bord WordPress.»
• Comparaison des fichiers en ligne. «Lorsqu'une modification de fichier est détectée, elle analysera l'origine des fichiers pour déterminer si la modification était malveillante ou non. Ne fonctionne actuellement que dans WordPress Core, mais les plugins et les thèmes arrivent. »
• Escalade des privilèges temporaires. «Donnez à un entrepreneur ou à quelqu'un d'autre un administrateur ou un éditeur temporaire à votre site qui se réinitialise automatiquement.»
• Intégration WP-CLI. "Gérez la sécurité de votre site à partir de la ligne de commande."

44. SUCURI SECURITY

• Coût: GRATUIT, BASIC 199 $ / an, Pro 299 $ / an, entreprise 499 $ / an
• Installations actives: 300 000
• Évaluation: 4,6 sur 5 étoiles (260 critiques)

Nous gardons votre site Web en sécurité et sans piratage! La plate-forme SucUri est une suite d'outils conçus pour la sécurité complète du site Web. Sans frais supplémentaires ni frais cachés, la plate-forme SucUri est abordable, facile à déployer et soutenue par une équipe de professionnels à votre disposition.

SUCURI fait partie de la solution de sécurité de nombreux fournisseurs d'hébergement de qualité, y compris Siteground. Il s'agit d'un outil précieux pour Siteground pour protéger les sites de ses clients contre les logiciels malveillants, car il analyse tous les liens accessibles de la page d'accueil du site Web au quotidien. Il comprend ces fonctionnalités de sécurité:

• Nettoyer et réparer les sites Web piratés. «L'équipe de réponse aux incidents de sécurité professionnelle disponible 24/7/365.»
• Attaquer et pirater la prévention. "Une solution WAF / IPS basée sur le cloud conçue pour arrêter les hacks et les attaques."
• Surveillance continue. «Surveillance continue et alerte de tout problème lié à la sécurité.»

Le plugin de sécurité WordPress gratuit comprend ces fonctionnalités:

• Activité de sécurité Logotage de l'audit
• Suivi de l'intégrité des fichiers
• Scanning de logiciels malveillants à distance
• Surveillance de liste noire
• durcissement de sécurité efficace
• Actions de sécurité post-hack
• Notifications de sécurité

45. Jetpack, qui comprend désormais VaultPress

• Coût: gratuit, personnel (39 $ / an), prime (99 $ / an), professionnel (299 $ / an)
• Installations actives: 3 millions
• Évaluation: 4.1 sur 5 étoiles (1 330 avis)

Jetpack (par Automattic, qui vous apporte WordPress) fait plus que la sécurité. Il apporte essentiellement les fonctionnalités de WordPress.com à nous, ce qui est attrayant. Pour la sécurité et la sauvegarde, les plans payants comprennent VaultPress.

VaultPress est un service de sauvegarde et de numérisation de sécurité en temps réel conçu et construit par Automattic, la même entreprise qui fonctionne (et sauvegarde!) Des millions de sites sur wordpress.com.

VaultPress est désormais alimenté par Jetpack et sauvegarde sans effort chaque article, commentaire, fichier multimédia, révision et réglage du tableau de bord sur votre site sur nos serveurs. Avec VaultPress, vous êtes protégé contre les pirates, les logiciels malveillants, les dommages accidentels et les pannes d'hôtes.

VaultPress comprend ces fonctionnalités de sécurité:

• sauvegardes. «Des sauvegardes automatisées quotidiennes ou en temps réel stockées dans notre coffre-fort numérique hors site, optimisée pour WordPress et mieux que votre hôte.»
• restaure. «Même pendant les moments les plus stressants, nous avons le dos. Restaurez toute votre présence en ligne rapidement et facilement sans avoir besoin de votre hôte. »
• Analyse de fichiers. «Détecter et éliminer automatiquement les virus, les logiciels malveillants et autres problèmes de sécurité exploitables qui peuvent se cacher sur votre site Web.»
• Réparation automatisée des fichiers. "Correction des virus détectés, des logiciels malveillants et d'autres menaces dangereuses en un seul clic."
• Défense du spam. «Protégez votre référencement, vos lecteurs et votre réputation de marque en bloquant automatiquement tous les spammeurs.»

46. Sécurité à l'épreuve des balles

• Coût: GRATUIT, Pro 59,95 $ (achat une fois)
• Installations actives: 100 000
• Évaluation: 4,7 sur 5 étoiles (302 avis)

Bulletproof Security Pro a un bilan incroyable. BPS Pro est accessible au public depuis 5 ans et est installé sur plus de 30 000 sites Web dans le monde. Pas un seul de ces 30 000 sites Web en 5 ans n'a été piraté.

100% Hack Greed Guarylee. Si votre site Web est piraté après l'installation de BPS Pro, nous nettoierons gratuitement votre site Web piraté. Nous pouvons facilement offrir cette affaire impressionnante car votre site Web ne sera jamais piraté si vous avez installé BPS Pro.

La version gratuite comprend ces fonctionnalités de sécurité:

• Assistant de configuration en un clic
• .HTACCESS SITE WEB Protection de sécurité (pare-feu)
• dossiers / fichiers de plugin cachés cron (hpf)
• Sécurité et surveillance de connexion
• Invalidité de session (ISL)
• Expiration des cookies AUTH (ACE)
• Sauvegarde DB: complet / partiel, manuel / planifié, e-mail / zip, cron supprime les anciens sauvegardes, journalisation
• Changeur de préfixe de table DB
• Dogging de sécurité
• Http Error Logging

La version pro ajoute ces fonctionnalités:

• Système de détection et de prévention des intrusions d'autorestore (IDPS ARQ)
• Système de détection et de prévention des intrusions en quarantaine (ARQ IDPS)
• Moniteur de fichiers en temps réel (IDPS)
• DB Système de détection d'intrusion du moniteur (IDS)
• DB Diff Tool: Tool de comparaison des données
• DB Statut & Info
• pare-feu plugin (pare-feu IP): mise à jour de la liste blanche automatisée et de la mise à jour en temps réel
• JTC anti-spam / anti-hacker
• Téléchargement du dossier Anti-Exploit Guard (UAEG)
• Sécurité du site Web PHP.ini personnalisé
• F-LOCK: Lire uniquement le verrouillage des fichiers
• Options de journalisation supplémentaires
• S-Monitor: Surveillance et alerte Core
• Pro outils: 16 mini-plugins

47. SecUpress

• Coût: gratuit, 1 site 57,60 $ / an, 3 sites 144 $ / an, 10 sites 288 $ / an, sites illimités 479 $ / an
• Installations actives: 5 000
• Note: 4,8 sur 5 étoiles (19 critiques)

Protégez votre WordPress avec des analyses de logiciels malveillants, bloquez des bots et des IPS suspects. Obtenez une boîte à outils WordPress complète gratuitement ou en tant que plugin professionnel.

Si vous êtes proactif, notre plugin de sécurité WordPress gratuit est un excellent choix! Pas le temps d'activer les analyses hebdomadaires? Ensuite, SecUpress Pro est la voie à suivre. Notre plugin s'occupe de tout avec des tâches automatisées.

SecUpress comprend ces fonctionnalités:

• Anti-Brute Force Login
• Bloqué IPS
• pare-feu
• Alertes de sécurité
• malware scan (pro)
• Bloquer le pays par géolocalisation
• Protection des clés de sécurité
• Bloquer les visites de Bad Bots
• Plugins vulnérables et détection des thèmes (Pro)
• Rapports de sécurité au format PDF (Pro)

48. Sécurité ninja

• Coût: Site unique 29 $ (1 an Mises à jour / assistance), Multi Site 79 $ (1 an Mises à jour / assistance), Forever Unlimited 199 $
• Installations actives: 6 000
• Évaluation: 5 sur 5 étoiles (6 critiques)

La sécurité Ninja aide des milliers de personnes à rester en sécurité et à prévenir les temps d'arrêt en raison de problèmes de sécurité. 50 tests fourniront un aperçu complet de la sécurité de votre site.

La version gratuite vous permet de réaliser ce qui suit:

• Effectuer 50 tests de sécurité, y compris les attaques de force brute.
• Vérifiez votre site pour des vulnérabilités et des trous de sécurité.
• prendre des mesures préventives contre les attaques.
• Empêcher les attaques d'exploitation de 0 jour.
• utiliser des extraits de code inclus pour les correctifs rapides.
• Attaque de force brute sur les comptes d'utilisateurs pour tester la force du mot de passe.
• De nombreux tests de paramètres d'installation.
• Autorisations de fichiers.
• Version cachée.
• Tests d'exploitation de 0 jours.
• Tests de modes de débogage et de mise à jour automatique.
• Tests de configuration de la base de données.
• Tests liés à Apache et PHP
• Tests d'options WP.

Vous pouvez encore plus de protection en utilisant ces modules pro:

• Scanner de noyau. «Surveillez facilement l'état de vos fichiers Core WP. Ayez une vue claire des fichiers qui sont modifiés mais ne devraient pas l'être et les restaurer en un seul clic. »
• Scanner de logiciels malveillants. «L'algorithme de numérisation des logiciels malveillants heuristiques puisse vérifier tous vos thèmes, plugins, fichiers téléchargés et table d'options pour un contenu suspect.»
• Fixer automatique. "Si vous n'aimez pas la création de sauvegardes, modifier des fichiers, jouer avec du code et vous salir les mains - la sécurité Ninja Pro fera tout pour vous. Correction des problèmes de sécurité en un seul clic. »
• Logueur des événements. «Surveiller, suivre et enregistrer plus de 50 événements sur le site en détail. Des actions de l'utilisateur aux modifications de publication et des modifications du widget - Logger des événements voit tout. »
• scanner planifié. «Demandez à la sécurité ninja de faire des analyses automatique et périodiques de vos sites, y compris des analyses de fichiers principaux. S'il y a des modifications, vous serez informé par e-mail. "

Des questions fréquemment posées sur la sécurité du site WordPress

Quelles sont les meilleures pratiques pour sécuriser mon site WordPress?

Les meilleures pratiques pour sécuriser votre site WordPress incluent la conservation de votre version, des thèmes et des plugins de votre WordPress, en utilisant des mots de passe forts, une limitation des tentatives de connexion et une installation et l'installation un plugin de sécurité fiable. La sauvegarde régulière de votre site est également cruciale afin que vous puissiez la restaurer en cas de violation de sécurité. De plus, envisagez d'utiliser un fournisseur d'hébergement sécurisé qui propose des fonctionnalités telles que des certificats SSL, des pare-feu et des scans de site réguliers.

Comment puis-je protéger mon site WordPress contre les pirates?

Protéger votre site WordPress contre les pirates implique plusieurs étapes. Tout d'abord, assurez-vous d'avoir un mot de passe solide et unique pour votre compte d'administration WordPress. Deuxièmement, gardez votre noyau WordPress, vos plugins et vos thèmes mis à jour vers les dernières versions car elles incluent souvent des correctifs de sécurité. Installez un plugin de sécurité qui peut surveiller votre site pour toute activité suspecte et bloquer toutes les menaces potentielles. Enfin, utilisez un fournisseur d'hébergement sécurisé qui propose des fonctionnalités de sécurité avancées.

Quel est le rôle d'un fournisseur d'hébergement dans WordPress Security?

Un fournisseur d'hébergement joue un rôle crucial dans la sécurité WordPress. Un bon fournisseur d'hébergement offrira des fonctionnalités telles que des sauvegardes régulières, des pare-feu, une analyse des logiciels malveillants et un retrait, des certificats SSL et une protection contre les attaques DDOS. Ils veillent également à ce que leurs serveurs soient toujours mis à jour avec les derniers correctifs de sécurité.

Comment puis-je m'assurer que mes plugins WordPress sont sécurisés?

Pour s'assurer que vos plugins WordPress sont sécurisés, uniquement des plugins à partir des plugins à partir de Sources réputées comme le référentiel de plugin WordPress. Gardez toujours vos plugins au courant de la dernière version, car les mises à jour incluent souvent des correctifs de sécurité. Supprimez tous les plugins que vous n'utilisez pas, car ils peuvent toujours présenter un risque de sécurité.

Qu'est-ce qu'un certificat SSL et pourquoi est-il important pour la sécurité WordPress?

Un SSL (Secure Sockets Le certificat de couche) est un certificat numérique qui fournit une connexion sécurisée entre un site Web et le navigateur d'un visiteur. Il est important pour la sécurité WordPress car il crypte les données transférées entre l'utilisateur et le site, empêchant les pirates d'intercepter et de mal utiliser. Google classe également les sites avec des certificats SSL plus élevés dans leurs résultats de recherche.

Comment puis-je limiter les tentatives de connexion sur mon site WordPress?

limiter les tentatives de connexion sur votre site WordPress en installant une sécurité Plugin qui propose cette fonctionnalité. Cela aide à prévenir les attaques de force brute, où les pirates tentent d'accéder à votre site en devinant votre mot de passe.

À quelle fréquence dois-je sauvegarder mon site WordPress?

La fréquence des sauvegardes dépend de la façon dont Souvent, vous mettez à jour votre site. Si vous mettez à jour votre site quotidiennement, des sauvegardes quotidiennes sont recommandées. Cependant, si vous ne modifiez que votre site une fois par semaine, les sauvegardes hebdomadaires devraient suffire. Les sauvegardes régulières vous assurez que vous pouvez rapidement restaurer votre site en cas de violations de sécurité.

Qu'est-ce qu'un pare-feu et comment protège-t-il mon site WordPress?

Un pare-feu est un système de sécurité qui surveillera et contrôle le trafic réseau entrant et sortant basé sur des règles de sécurité prédéterminées. Il agit comme une barrière entre un réseau de confiance et un réseau non fiable. Il peut protéger votre site WordPress en bloquant le trafic malveillant et en empêchant un accès non autorisé à votre site.

Comment puis-je détecter et supprimer les logiciels malveillants de mon site WordPress?

détecter et supprimer les logiciels malveillants de votre site WordPress WordPress? Peut être effectué en utilisant un plugin de sécurité qui offre une analyse et une suppression de logiciels malveillants. Si votre site est infecté par des logiciels malveillants, le plugin vous informera et fournira souvent des étapes pour le supprimer.

Quels sont les signes selon lesquels mon site WordPress a été piraté?

Signes que votre site WordPress a été piraté inclut une baisse soudaine du trafic de site Web, des modifications inattendues du contenu de votre site, de nouveaux comptes d'utilisateurs que vous avez faits ' T Créer, un site Web lent ou non réactif, et les notifications de votre hébergeur ou Google sur l'activité malveillante sur votre site. Si vous remarquez l'un de ces signes, prenez des mesures immédiates pour sécuriser votre site.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!