Comment améliorer la sécurité de WordPress

Que votre site Web soit grand ou petit, perdre les données du site ou être incapable de gérer votre propre site peut être angoissant. WordPress représente 25 % du Web mondial Pour les pirates informatiques, les sites Web WordPress sont l’une de leurs cibles les plus importantes.

Dans cet article, nous discuterons de quelques conseils pour améliorer la sécurité de WordPress.

1. Hachage de mot de passe Bcrypt

WordPress a été fondé en 2003, alors que PHP et le Web en étaient encore à leurs balbutiements. À cette époque, Facebook n’était pas encore apparu et PHP n’avait pas d’architecture POO ; la sécurité de WordPress est aujourd’hui légèrement dépassée, comme la manière dont ses mots de passe sont cryptés.

WordPress utilise encore aujourd'hui le hachage MD5. Fondamentalement, cela transforme simplement 123456 en ceci : e10adc3949ba59abbe56e057f20f883e.

Cependant, les ordinateurs d’aujourd’hui sont beaucoup plus sophistiqués qu’ils ne l’étaient il y a 10 ans, de sorte que ces mots de passe peuvent être facilement déchiffrés.

Depuis la version 5.5, PHP dispose d'une méthode de cryptage native. Si votre site WordPress utilise une version PHP supérieure à 5.5, vous pouvez utiliser cette fonctionnalité.

Vous pouvez installer le plug-in Composer ou MU-Plugins pour réenregistrer votre mot de passe.

2. Activez la protection WordPress.com

La force brute est la méthode de piratage de mot de passe la plus couramment utilisée par les pirates. Par conséquent, vous devez définir des mots de passe très difficiles à deviner.

Automattic, la société mère de WordPress.com, a acquis un plugin anti-force brute très populaire. Le nom de ce plug-in est BruteProtect, et il est désormais intégré à Jetpeck.

Il s'avère que l'efficacité de protection de ce plug-in est très bonne.

Tout d'abord, vous devez installer la dernière version de Jetpack, puis connecter votre site Web à WordPress.com. Ouvrez ensuite le module de protection et ajoutez votre propre IP à la liste blanche.

Après cela, votre site Web sera plus sécurisé.

3. Masquer l'URL de connexion

Tout le monde sait que pour vous connecter au backend WordPress, il vous suffit d'ajouter wp-login.php après le nom de domaine. les hackers le savent aussi. Par conséquent, vous devez masquer votre URL de connexion et rendre cette URL disponible uniquement pour vous.

Heureusement, vous pouvez y parvenir avec quelques plugins simples :

1) Sécurité iThemes

2) WPS Masquer la connexion

4. Désactivez « Mot de passe oublié »

La fonction « Mot de passe oublié » vous permet de récupérer votre mot de passe par d'autres méthodes, mais les pirates peuvent également Voici comment obtenir votre mot de passe . Par conséquent, vous feriez mieux de désactiver cette fonctionnalité.

Nous devons créer un nouveau fichier et le télécharger, nommez-le Forget-Password.php.

Tout d'abord, nous devons changer l'URL du mot de passe perdu :

function lostpassword_url() {
return site_url( 'wp-login.php' );
}
add_filter( 'lostpassword_url','lostpassword_url' );

Supprimer le lien. Cependant, WordPress ne le prend pas en charge de manière native, nous devons donc utiliser JavaScript.

function lostpassword_elem( $page ) { ?>
<script type="text/javascript">
(function(){
var links = document.querySelectorAll( &#39;a&#39; );
for (var i = links.length - 1; i >= 0; i--) {
if ( links[i].innerText === "Lost your password?" ) {
links[i].parentNode.removeChild( links[i] );
}
};
}());
</script>
<?php }
add_action( &#39;login_footer&#39;, &#39;lostpassword_elem&#39; );

Enfin, redirigez l'URL du "mot de passe perdu" vers la page de connexion.

function lostpassword_redirect() {
if ( isset( $_GET[ 'action' ] ) ){
if ( in_array( $_GET[ 'action' ], array( 'lostpassword', 'retrievepassword' ) ) ) {
wp_redirect( '/wp-login.php', 301 );
exit;
}
}
}
add_action( 'init','lostpassword_redirect' );

5. Activer HTTPS

HTTPS fournit une couche de protection supplémentaire pour votre site et peut également améliorer votre classement dans les moteurs de recherche. Vous pouvez désormais obtenir un certificat HTTPS gratuitement via le projet Let's Encrypt.

Pour les sites WordPress, vous pouvez facilement utiliser ce certificat en utilisant WP Encrypt. Ce que je vous suggère de faire maintenant, c'est d'utiliser HTTPS.

Pour plus d'articles techniques liés à WordPress, veuillez visiter la colonne tutoriel WordPress pour apprendre !

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!