5 conseils pour durcir votre sécurité de connexion WordPress
Peu importe la taille de votre site Web, perdre vos données de site ou ne pas pouvoir accéder à votre propre site Web peut être une expérience éprouvante pour les nerfs. WordPress, qui gère plus de 25% du Web, est l'un des sites les plus ciblés pour les pirates informatiques.
Dans nos messages précédents, nous vous avons montré un certain nombre de trucs et astuces qui couvraient déjà presque tout pour sécuriser votre site WordPress . Cependant, il y a toujours place à amélioration. Dans ce post, nous allons regarder quelques conseils supplémentaires pour vous aider à rendre votre site WordPress plus difficile à franchir.
1. Hashing de mot de passe de Bcrypt
WordPress a été lancé en 2003 lorsque PHP et le Web en étaient encore à leurs débuts. Facebook n'était pas encore là, PHP n'avait même pas d'architecture OOP (Object-oriented Programming) intégrée; par conséquent, WordPress hérité des héritages qui ne sont plus idéales aujourd'hui - y compris comment il crypte le mot de passe.
WordPress à ce jour utilise encore le hachage MD5. Fondamentalement, ce qu'il fait est de transformer votre mot de passe 123456
en quelque chose comme e10adc3949ba59abbe56e057f20f883e
.
Cependant, puisque les ordinateurs sont maintenant plus sophistiqués qu'il y a 10 ans, ce mot de passe haché peut maintenant être facilement renversé dans sa forme nue presque instantanément.
PHP a un cryptage natif depuis 5.5 et si votre WordPress fonctionne en PHP5.5 ou au-dessus, il y a un plugin appelé wp-password-bcrypt qui vous permet d'utiliser cet utilitaire natif en PHP.
Installez et activez le plugin via Composer ou via MU-Plugins. Ré-enregistrer votre mot de passe et vous êtes tous ensemble.
2. Activer WordPress.com Protéger
Brute-force est une tentative courante de piratage où les attaquants essaient de se connecter à votre site Web en devinant de nombreux mots de passe possibles, généralement des mots trouvés dans le dictionnaire. C'est la raison pour laquelle vous devez définir un mot de passe difficile à deviner.
Automattic, les personnes derrière WordPress.com, a acquis l'un des plugins WordPress les plus populaires qui peuvent contrer les attaques par force brute. Il s'appelle BruteProtect, et il est intégré à Jetpack.
Basé sur notre expérience, il nous a énormément aidés à combattre les attaques par force brute plus d' un million de fois.
Pour l'obtenir, vous devez installer la dernière version de Jetpack et connecter votre site Web à WordPress.com. Activez ensuite le module "Protéger" et affichez votre propre adresse IP en blanc. Maintenant, vous devriez vous sentir un peu plus en sécurité.3. Masquer votre URL de connexion
WordPress est très connu pour la page de connexion, wp-login.php
. Par conséquent, les pirates savent quelle page exacte diriger leurs attaques en force brute. Vous pouvez le rendre plus difficile pour eux en déguisant votre URL de connexion WordPress .
Heureusement, il y a quelques plugins qui fournissent cet utilitaire:
- iThemes Sécurité
- WPS Masquer la connexion
L'utilitaire "Mot de passe oublié" dans le formulaire de connexion est un moyen pour les attaquants, qui passent généralement par une injection SQL pour obtenir vos informations de connexion. S'il n'y a que quelques personnes qui ont accès à la zone d'administration, il peut être préférable de l'éteindre.
Pour ce faire, créez un nouveau fichier upload - nommez-le forget-password.php
.
Nous changeons d'abord l'URL du mot de passe perdu:
function lostpassword_url () {return site_url ('wp-login.php'); } add_filter ('lostpassword_url', 'lostpassword_url');
Supprimer le lien Malheureusement, WordPress ne fournit pas un crochet approprié pour le faire proprement à travers une fonction add_filter
. Donc, nous le faisons avec JavaScript à la place.
function lostpassword_elem ($ page) {?>Enfin, nous redirigeons l'URL "Mot de passe perdu" vers l'écran de connexion.
function lostpassword_redirect () {if (isset ($ _GET ['action'])) {if (in_array ($ _GET ['action'], array ('mot de passe perdu', 'retrievepassword'))) {wp_redirect ('/ wp- login.php ', 301); Sortie; }}} add_action ('init', 'lostpassword_redirect');5. Activer HTTPS
HTTPS donne à votre site une couche supplémentaire de sécurité avec la transmission de données. Il peut également vous donner un coup de pouce dans les classements de recherche Google. Et maintenant, vous pouvez obtenir un certificat HTTPS valide gratuitement grâce à l'initiative communautaire Let's Encrypt.
Pour les sites WordPress, vous pouvez facilement obtenir un certificat Let's Encrypt avec WP Encrypt. Il n'y a donc aucune raison de ne pas déployer HTTPS sur votre site Web aujourd'hui.
EmballerJe tiens simplement à vous rappeler que malgré toutes ces tentatives, nos sites Web pourraient encore faire l'objet d'attaques, de piratage et être compromis par des pirates informatiques par des moyens qui dépassent notre entendement. Même les grandes entreprises comme Dropbox et LinkedIn sont victimes de menaces de sécurité.
En dernier recours, n'oubliez pas de sauvegarder régulièrement les fichiers et la base de données de votre site Web chaque fois que vous le pouvez.
Les 10 meilleurs livres audio pour les bibliophiles [Android]
L'habitude de lire des livres était très courante il y a quelques années, mais actuellement, les gens peuvent difficilement trouver le temps de lire un livre d'un bout à l'autre en raison de leur routine de vie bien remplie. Les livres audio vous offrent un moyen facile d'écouter votre livre préféré plutôt que de le lire. Vous po
Créez votre propre robot de réponse automatique avec Bottr
La plupart d'entre nous se souviennent de l' incident de Microsoft Tay où les utilisateurs d'Internet ont enseigné à un robot d'IA quelques mots assez fous en quelques jours. C'est un exemple marrant de bots sur le web, mais vous pouvez créer votre propre bot Twitter ou messagerie FB sans les trucs d'IA .Bot