Renforcer la sécurité de WordPress, partie 1

C'est un terrible cauchemar : un jour vous ouvrez votre site internet et découvrez que vous avez été piraté. Si vous gérez un simple blog personnel, cela pourrait simplement être un incident ennuyeux. Si vous hébergez les sites Web de vos clients, votre journée peut devenir difficile et stressante. Si vous exploitez un site de commerce électronique à volume élevé, cela peut être une source de panique. Quelle que soit la situation, vous ne partagez pas de nouvelles en utilisant des émojis joyeux. Par conséquent, vous avez besoin d’une stratégie pour empêcher les attaques de se produire.

Vous êtes au bon endroit. Dans cette mini-série en deux parties, je vais vous montrer comment rendre votre projet WordPress aussi sécurisé que possible.

Introduction à la sécurité WordPress

Pensez-vous que WordPress est sûr ? Ce n’est pas grave si vous ne le faites pas, car beaucoup de gens pensent que WordPress est un système de gestion de contenu non sécurisé, mais rien ne pourrait être plus éloigné de la vérité… du moins aujourd’hui.

Qu'ont en commun Microsoft Windows, Android, Google Chrome et WordPress ? Ce sont tous deux des logiciels très populaires et les gens y trouvent constamment des failles de sécurité. Bien qu’ils soient tous régulièrement corrigés pour corriger les bugs et les failles de sécurité, la présence de failles de sécurité les rend-elle dangereuses ?

Je suis désolé si vous pensiez différemment, mais ce n'est pas le cas. Des correctifs fréquents ne signifient pas nécessairement qu'un logiciel est mal codé contre les menaces de sécurité. Le jeu du chat et de la souris entre développeurs et pirates informatiques continuera toujours, et les pirates trouveront toujours des moyens de pirater les logiciels. Si le logiciel est évolutif comme WordPress, les risques de piratage augmentent également.

Ce qui est important ici, c’est la réactivité et la préemption, et c’est dans cela que WordPress excelle. Vous devrez attendre quelques jours pour que Google Chrome comble la faille de sécurité, et même quelques semaines pour que Microsoft publie un correctif de sécurité, mais la grande communauté de développeurs WordPress sera en mesure de corriger les failles de sécurité du jour zéro avant la fin. de 2019. Jour 1. De plus, il y a toute une équipe dédiée à la protection du cœur de WordPress, nous avons donc également une assez bonne maîtrise de cela. En ce qui concerne les thèmes et les plugins, il peut être un peu plus facile de trouver des bugs et des défauts, et leur correction peut prendre plus de temps, mais la communauté bénéficie du soutien des développeurs.

Cependant, rien n'est 100%sûr. Nous vivons à une époque où les scientifiques sont sur le point de déchiffrer le code de notre cerveau ! Rien n'est incompréhensible y compris notre cerveau évidemment, et WordPress ne fait pas exception. Mais ce n’est pas parce qu’une sécurité à 100 % est impossible que nous ne devons pas viser une sécurité à 99,999 %.

Améliorez la sécurité de WordPress

Sur la base de mon expérience personnelle et de recherches plus approfondies, j'ai rassemblé quelques mesures de sécurité que vous devriez prendre si ce n'est pas déjà fait. Sans plus attendre, faisons leur connaissance dès maintenant !

Protéger .htaccess fichiers

Commençons simplement.

Si votre site Web WordPress est hébergé sur un serveur Web alimenté par Apache et que vous avez activé « Jolis permaliens » dans Paramètres, WordPress générera un fichier appelé .htaccess 的文件来存储基本信息WordPress 永久链接说明。如果您不启用漂亮的永久链接，核心将不会生成 .htaccess pour stocker les informations de base Description du lien permanent WordPress . Si vous n'activez pas les jolis permaliens, core ne générera pas le fichier

, mais les conseils que je suis sur le point de montrer s'appliquent toujours - il vous suffit de créer le fichier vous-même.

.htaccess 文件，但很难创建一个没有任何名称但带有 .htaccess 扩展名的文件，只需上传一个空文件即可使用任何名称（例如 Untitled.txtNano-astuce : Si vous souhaitez créer vous-même un fichier

mais que vous avez du mal à en créer un sans aucun nom mais avec une extension

, téléchargez simplement un fichier vide avec n'importe quel nom (par exemple Untitled.txt) et changez le nom et l'extension dans le client FTP. <code>htaccess

Ma première pensée est de protéger les

fichiers. C'est la chose la plus simple à faire parmi les trucs et astuces que je vais vous montrer. Il ne vous reste plus qu'à ajouter la ligne suivante au fichier : htaccess

# protect .htaccess
<Files .htaccess>
   order allow,deny
   deny from all
</Files>

Il s'agit d'une astuce inoffensive qui protégera votre fichier de toute personne (ou

personne

) souhaitant y accéder.

Ensuite, désactivons l'affichage du contenu du dossier : myblog.com/wp-content/uploads/。通常，他们能够查看上传的文件或浏览 /uploads/ 目录中的子文件夹，但通过这个小技巧，他们将看到来自服务器的 403 Forbidden

# disable directory browsing
Options All -Indexes

Cela empêchera les étrangers de voir le contenu de votre dossier s'ils souhaitent y accéder, par exemple,

répondez.

Enfin, j’aimerais faire référence à une excellente « liste noire » fournie par Perishable Press : The 5G Blacklist. Cette liste noire protège votre site contre un large éventail d'activités malveillantes, depuis les chaînes de requête nuisibles jusqu'aux agents utilisateurs malveillants.

htaccess 技巧。现在，让我们继续学习 wp-config.php

C'est l'astuce 🎜. Passons maintenant à l'astuce wp-config.php. 🎜

wp-config.php 文件及其内容的安全技巧

就安全性而言，wp-config.php 文件可能是整个 WordPress 安装中最重要的文件。您可以用它做很多事情来强化您的网站。

让我们从一个有趣的技巧开始：您是否知道可以将 wp-config.php 文件放在 WordPress 根目录中的上一级？如果它不会让您感到困惑，请立即执行。大多数时候，我将 WordPress 安装在 public_html 目录中，并且喜欢将 wp-config.php 文件放在用户根目录中。不确定这是否是万金油配方，但至少它感觉更安全。 Stack Exchange 的一些人就这个话题进行了很好的辩论。

顺便说一下，让我们回到根 .htacccess 文件并添加以下行以拒绝访问 wp-config.php 文件：

# protect wpconfig.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

这是一个有趣的想法：删除编辑主题和插件文件的权限怎么样？所需要做的就是将以下行添加到 wp-config.php 文件中：

define( 'DISALLOW_FILE_EDIT', true );

感觉更加偏执？将以下行粘贴到上面一行下方以完全禁用主题和插件安装和删除：

define( 'DISALLOW_FILE_MODS', true );

关于强化 WordPress 的另外两个技巧：更改数据库前缀，并在 wp-config.php 文件中添加安全密钥（或 salt 密钥）。

第一个很简单：通过查找以下行来检查是否将数据库前缀设置为默认值：

$table_prefix  = 'wp_';

如果它设置为 wp_，您应该将其更改为除此默认值之外的其他值。您无需记住它，因此可以输入任何内容。我喜欢使用 wp_fd884vg_ 这样的组合来保证它的安全性和可读性。

更改安全密钥也非常容易。通过找到以下行来查看键是否为空：

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

如果他们都说'把你独特的短语放在这里'，这意味着他们还没有设置。在这种情况下，只需转到此 URL（也在代码注释中引用）并使用上面的行更改该页面中生成的行。

Nano-tip：如果您想知道这些“盐密钥”是什么，WPBeginner 有一篇很棒的文章介绍了这种安全措施的好处。

wp-config.php 技巧就到此为止！今天就到此为止吧。

今天总结

我希望您今天喜欢这些 .htaccess 和 wp-config.php 技巧。在这个迷你系列的下一部分中，我们将介绍一些安全插件和其他有关强化 WordPress 的重要技巧。如果您有任何问题或意见，请随时在下面的评论部分中提出。

下一部分见！

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!