Méfiez-vous des méchants, il est temps de sécuriser votre administrateur WordPress

“L’attaque vous gagne des jeux – La défense vous gagne des titres” – Choisissez judicieusement!

Dans le monde des technologies révolutionnaires, les cyberattaques semblent avoir fait leur chemin vers le grand public. Contrairement à ce que nous visions pour l’ère numérique dorée, le paysage des menaces semble se développer à un rythme fanatique en ce qui concerne l’offensive, la défensive.

Les plates-formes de développement Web populaires comme WordPress, WooCommerce ne sont plus assez fortes pour battre les méchants. On voit de plus en plus de propriétaires de sites Web exprimer leurs préoccupations liées à la sécurité. Est-ce vrai – un script open source est vulnérable à toutes sortes d’attaques? Et si oui, comment renforcer votre sécurité WordPress?

Faites-vous partie de ceux qui pensent qu’un manque de sécurité WordPress intégré est un mythe? Eh bien, vérifiez la réalité les gars, ce n’est pas si mal non plus. Je veux dire qu’il y a des moments où c’est l’inverse. Contrairement à ses soi-disant frères et sœurs, les sites Web WordPress se révèlent plus sûrs.

Alors, où est le problème? Selon des sources, environ 90000 tentatives de piratage sont effectuées sur les sites Web WordPress chaque minute. Une attaque réussie permet à un cybercriminel d’accéder à l’administrateur WordPress (le cœur du site Web). Cela fait de la sécurité haut de gamme la principale préoccupation dans le domaine numérique.

La sécurisation du logiciel de base WordPress signifie que tous les noms d’utilisateur et mots de passe entrés par vous ou les utilisateurs finaux sont à l’abri de tout accès non autorisé. Maintenant, la grande question dans le monde du développement et de la périphérie de WordPress est de savoir comment protéger le tableau de bord wp-admin?

Sécurité WordPress en quelques étapes simples (sans codage)

1. Prévenir les attaques par force brute dès le début

Je suis sûr que nous connaissons tous une URL de page de connexion WordPress standard. C’est là que le backend du site est accessible. Et c’est peut-être la raison pour laquelle les gens essaient de s’imposer. Chaque site Web fonctionne de manière prédéterminée et le vôtre ne fait pas exception. La page de connexion par défaut ressemble à ceci: www.anysite.com/wp-admin. Une petite attaque lancée et vous avez terminé.

Personnaliser l’URL de la page de connexion est la première chose que je recommande aux autres utilisateurs de WordPress. Qu’on le veuille ou non, mais quelque part, les propriétaires de sites sont également responsables du piratage de leur site. Choisir une entreprise de développement WordPress fiable et la laisser à ce moment-là et il n’y a pas de sage décision. Le propriétaire du site Web doit prendre en compte certaines choses.

Par exemple, utilisez des mots de passe forts car les techniques de craquage de mot de passe ne sont plus vagues. Garder des mots de passe forts a le potentiel de défendre votre site contre les techniques de craquage de mots de passe.

2. Implémentez l’authentification HTTP

Une autre façon courante mais cruciale de sécuriser l’administrateur WordPress est de protéger l’intégralité de votre dossier wp-admin. Techniquement parlant, le dossier comprend des fichiers administratifs qui alimentent le tableau de bord WordPress. Ainsi, toute personne ayant accès à ce dossier remporte le jackpot car elle peut facilement contrôler l’ensemble du site.

Avez-vous pensé à protéger par mot de passe l’intégralité du dossier? Je veux dire à chaque fois que quelqu’un est à votre porte, le serveur démarre automatiquement le processus d’authentification. Je parle du mot de passe d’authentification HTTP. Heureusement, nous avons des plugins WordPress personnalisés comme HTTP Auth, AskApache Password Protect qui implémente l’authentification HTTP.

3. Limiter le nombre de tentatives de connexion infructueuses

Les attaques de force réussies sont celles où des centaines et des milliers de tentatives de connexion ont échoué. Donc, encore une fois, la question de savoir comment empêcher ces procédures implacables de sauter dans l’administrateur WordPress? En fait, tout simplement! Limitez simplement le nombre de tentatives de connexion infructueuses sur le site.

Supposons que vous ayez limité jusqu’à 3 tentatives de connexion et que, par chance, si elles réussissent, elles doivent résoudre un CAPTCHA avant de pouvoir à nouveau accéder à la page de connexion WordPress. Revérifier! S’il s’agit d’un utilisateur réel ou d’un bot essayant de mettre la main sur votre site.

4. Liste noire d’adresses IP malveillantes

L’identification d’adresses IP malveillantes n’est plus un problème de nos jours. Tout ce que vous avez à faire est d’en garder une trace et de les empêcher d’accéder à votre espace.

L’une des meilleures techniques pour identifier les suspects consiste à vérifier si de nombreuses tentatives infructueuses sont effectuées à partir des mêmes adresses IP presque régulièrement. Le moyen le plus simple d’empêcher toute adresse IP d’accéder à vos sites Web est de placer le code suivant dans le fichier .htaccess:

autoriser, refuser

nier à partir de 192.168.20.10

permettre à tous

192.168.20.10»Peut être remplacé par n’importe quelle adresse IP souhaitée.

5. Meilleur plugin WordPress

Le moins que l’on puisse faire est de mettre en place un piège pour les méchants. Il existe une pléthore de plugins WordPress personnalisés qui gardent une trace de tout ce qui se passe, comme la surveillance de l’intégrité des fichiers, les tentatives de connexion infructueuses, l’analyse des logiciels malveillants, etc. sur votre site Web.

Il est toujours conseillé de choisir le bon ou vous pouvez consulter un professionnel fiable qui offre une perspective impartiale. Une autre chose intéressante à propos de ces plugins est qu’ils peuvent être utilisés pour créer de superbes sites Web WordPress.