Sécurité WordPress est un sujet brûlant. Nous savons tous maintenant que la plus haute part de marché open source du monde CMS, si fantastiquement belle, a des problèmes de sécurité que nous devons tous être au courant. Cependant, ceux qui utilisent WordPress ne sont pas des experts en sécurité, si nous voulons tous faire ce que nous pouvons rendre nos sites sécurisés.
Ainsi, un logiciel est souvent invoquée.
Cependant, une chose à savoir est que lorsque vous utilisez les plugins de sécurité avec WordPress, vous devez savoir ce que vous faites. L’utilisation d’un module de sécurité, même si en apparence facile, peut causer des problèmes, plutôt que de fournir des solutions pour l’utilisateur «moyen» WordPress.
Après avoir documenté des questions que les plugins de sécurité peuvent faire apparaître, nous avons arrondi le conseil de certains experts en sécurité WordPress qui ont gracieusement donné de leur temps pour nous aider à comprendre ce sujet mieux!
Nos félicitations vont à Jim Walker, La réparation Guy Hack , Howard Carson, le CTO de US Serveur net (une société d’hébergement WordPress gérés), et Thomas Oliver , qui est très compétent dans. htaccess et expression régulière. Ils sont cités dans cet article et ont aidé dans son processus d’édition.
Cet article n’est pas à dire que nous ne devrions pas utiliser des plugins de sécurité dans tous les cas, mais certainement que si les utilisateurs de WordPress veulent l’utiliser, ils doivent être prêts pour quelles restrictions peuvent venir avec elle. Comprendre les techniques derrière ce que ces plugins font à un site peut être source de confusion pour les utilisateurs non-techniques.
Il existe de nombreux plugins de sécurité disponibles pour WordPress, et cet article résume simplement les pièges qui pourraient venir avec l’un d’eux, en principe. Et, comme Howard souligne:
La qualité du codage varie énormément … Il ya quelques plugins qui sont excellents, le travail dans les coulisses pour protéger les sites, et ne seront jamais causer des problèmes, en principe ou en fait!
Avec ce qui précède dit, nous allons plonger dans quelques-unes des raisons pour lesquelles vous voudrez peut-être réfléchir à deux fois sur l’utilisation de plugins de sécurité WordPress.
Leurs paramètres nécessitent des connaissances de sécurité
Comme Howard souligne, ce n’est pas juste un problème avec les plugins de sécurité. Parfois, beaucoup d’options existent dans un plugin parce que les utilisateurs avancés veulent. Bien que cela ne veut pas dire l’interface utilisateur ou les paramètres sont une indication de la façon dont ces plugins fonctionnent .Comme un grand exemple, Better WP Security tente de minimiser les options et simplifier ce que les utilisateurs non-techniques doivent en offrant un bouton «Secure mon site contre les attaques de base ».
Mais après que vous avez passé les « bases » whoa chevalin – comment quiconque ignorant dans le monde de la sécurité censé savoir qu’ils devraient «changer le répertoire wp-content »? Ou dans l’épreuve des balles de sécurité, quelle est la différence entre « Default » et « Mode BulletProof »? Il faut beaucoup de lecture pour comprendre ce genre de choses, et si vous êtes réticent à appuyer sur des boutons que vous ne connaissez pas les effets de (ce que vous devriez être), vous ne serez pas obtenir un soulagement immédiat en sachant que votre site est sécurisé une fois que vous installer ces plugins. Au lieu de cela, vous pourriez vous demander qu’est-ce que vous venez d’appuyer et si quelque chose va exploser bientôt.
Donc, dès out-of-the-box ces plugins nécessitent une bonne connaissance pratique de ce qu’ils vont faire à votre place. Ce n’est pas facile pour l’utilisateur «moyen» WordPress. Peut-être qu’ils ne sont pas censés être facile, parce que, comme le souligne Howard,
gestion de la vulnérabilité du site n’est pas un sujet facile. Solutions à la large gamme de problèmes potentiels sont variées et complexes.
Ils vous envoyer des messages Spooky
Le truc avec une fonction permettant d’interdire les utilisateurs, détecter le nombre de 404 pages qu’ils visitent, ou suivre les modifications de fichiers est que l’administrateur du site commence à faire des e-mails que, en toute honnêteté, aimables son effrayant. Comme celui-ci (de Better WP Security):
Un hôte, 88.241.170.129 (vous pouvez vérifier l’hôte à http://ip-adress.com/ip_tracer/88.241.170.129) a été verrouillé sur le site WordPress à http://my-WordPress-site.com jusqu’à Friday, 11th Octobre 2013 à 11h11 en raison de trop nombreuses tentatives de connexion. Vous pouvez vous connecter sur le site pour libérer manuellement la serrure si nécessaire.
Au début, vous êtes comme, « Oh wow ce plugin est grand, il bloque les mauvaises personnes contre le piratage de mon site! »
Mais alors, vous commencez à recevoir comme 1 à 3 d’entre eux chaque jour pour le reste de votre vie. Il faut du temps, mais vous savoir qu’il doit y avoir des tonnes de machines automatisées qui essaient de pirater tout le temps sites WordPress. Vont-ils obtenir pour votre site? Espérons pas. Mais vous n’avez pas nécessairement à recevoir des e-mails effrayant comme celui de savoir que votre site est sécurisé.
Jim dit ici qu’il «recommande de désactiver ces messages en« décochant la case « sauf si vous avez une raison spécifique pour les recevoir. Les messages disent en substance, «le plugin fonctionne. C’est une bonne chose, mais ils ne fournissent aucune valeur pour l’utilisateur moyen. « Howard recommande qu’un webmaster responsable de la sécurité doit recevoir ces.
Bien que ces messages sont parfois des préoccupations légitimes, vous les obtenez des plugins de sécurité juste en mettant à jour un autre plugin ou faire quelque chose « innocent » sur votre site (nous pouvons le dire ainsi?). La plupart du temps, ils ne veulent rien dire (du moins nous l’espérons!). Parfois, ils peuvent signifier quelque chose de grave, mais ils sont comme la fille qui criait au loup; finalement nous bloquons mentalement leur importance parce que c’est la fausse alarme «habituel».
Ils créent des problèmes SEO
Vous pouvez verrouiller votre site au niveau de la paranoïa, mais si elle vous empêche de faire de l’argent, ce qui est le point d’avoir un site web?
Une fois, j’ai eu « Intrusion Detection » activé dans Better WP Security, et alors qu’il y avait pas de signes clairs le plugin était certainement la cause, mon site a cessé d’être indexé par Google. Je recevais beaucoup de messages d’erreur dans Webmaster Tools. J’ai trouvé un post sur le forum que dit, par l’auteur du plugin, que, dans certains cas, il peut verrouiller Google, mais il ne devrait pas.
Je désactivé « Intrusion Detection » et le problème a disparu; Google est capable d’indexer mon site à nouveau. Ouf! Ce n’était donc pas le plugin lui-même, comme le souligne Howard, c’était la configuration du plugin.
Avec plug-ins de sécurité, il pourrait être cette raison ou que les sites de raison ne sont pas indexés. Comme l’explique Howard, ça dépend « sur les paramètres sont activés et qui SEO plugin est utilisé. »
Comme Jim explique très précisément,
plugins de sécurité ne sont pas toujours interagir avec chaque installation de WordPress comme prévu. Si Google Webmaster signale une erreur rendant au site Web, je vous recommande le réglage de détection d’intrusion être réglé à pas inférieure à un seuil d’erreur de 30 ou plus, ou entièrement désactivée si plus que quelques erreurs se produisent chaque mois.
Il est un cadre similaire dans Wordfence sécurité , ainsi, dans la section des règles de pare-feu, où je recommande une valeur non inférieure à 30 par minute pour être fixé sur chenilles de 404 et erreurs.
Ils peuvent vous empêcher de votre propre site
Nous savons que la plupart des hacks sur les sites WordPress se produisent parce que quelqu’un n’a pas changé « admin » nom d’utilisateur et un mot de passe utilisé comme « mot de passe » ou quelque chose comme ça. Donc, un plugin qui limite les tentatives de connexion est grande (mais vraiment, il n’y a aucun espoir pour vous si vous insistez sur l’utilisation « password » comme mot de passe).
Comme l’explique Howard, ce qui est crucial parce que,
Limiter les tentatives de connexion est important de prévenir les attaques par déni de service. base de WP ne limite pas les tentatives, et les robots collecteurs de pirates se déroulera à travers un dictionnaire de mots de passe communs si vous les laissez. (Chaque pirate a les mots de passe les plus courants ‘500 ‘- si vous utilisez l’un d’eux, vous priant d’être piraté.)
Mais quand un plugin de sécurité commence à vous bloquer, ou vos clients, sur leur propre site, oh, l’agonie!
Pour cette raison, Howard dit,
Oui, cela peut arriver. Une des premières choses que nous faisons sur de nouveaux sites est de créer un deuxième compte de niveau administratif, pour être utilisé comme une porte arrière dans le cas d’un lock-out inattendu.Une technologie WordPress peut utiliser phpMyAdmin pour résoudre ce problème, la plupart des utilisateurs ne peuvent pas.
Vous pouvez généralement définir des niveaux de tolérance plus bas pour ce genre de choses plus ou, mais la partie qui obtient ennuyeux, c’est quand vous obtenez un lock-out »juste parce que. » Vous n’avez même pas besoin de visiter une page 404 ou utiliser un mot de passe erroné. Le plugin soudainement ‘sent’ comme vous lock-out.
Ok, ok. Howard fait un point légitime que les ordinateurs « ne » sentent « pas envie de faire des choses » juste parce que. » Ils suivent les instructions, quelque chose dans le code est mal écrit « .
Mais Jim confirme cela peut arriver et dit: «oui, j’ai reproduit ce ainsi. Et dans les cas où il se produit plus d’une fois en général je désinstaller complètement le plugin ennuyeux et essayer l’autre un « .
Si vous avez un site WordPress e-commerce ou un site d’adhésion, vous aurez envie de double-penser l’utilisation de ce type de fonction, parce que vos clients sont à coup sûr aller à oublier leurs mots de passe beaucoup de choses. S’ils continuent à entrer un mot de passe erroné, ou visiter la mauvaise URL ou faire quelque chose de cocher le plugin, ils vont voir une page d’erreur lors de la visite de votre site. Ce ne sera pas bon pour faire plus de ventes.
Encore une fois, essayez ce que Jim dit: utiliser un autre plugin. Ou utiliser nos conseils ci-dessous et se géré hébergement WordPress!
Remarque: comme le souligne Howard, la sécurité est surtout un gros problème si vous utilisez un site de e-commerce. D’importantes mesures doivent être prises si vous les transactions par carte de crédit remplissez sur votre site (trop grand d’un sujet de cet article). Vous aurez besoin de trouver une solution à ce problème de plugins qui peuvent verrouiller vos clients sur.
Ils font difficiles à inverser les changements
Si vous ne savez pas comment inverser leurs modifications, ces plugins peuvent vraiment créer de gros problèmes, fastidieuses et coûteuses à corriger. Comme par exemple, la possibilité de changer le nom du dossier de répertoire wp-content. Dans un premier temps un nouvel utilisateur de WordPress pourrait penser, « ben ouais, si un plugin de sécurité dit que je devrais faire pour que mon site sécurisé, pourquoi pas moi? »
Mais cela peut interférer avec d’autres plugins et des thèmes sur votre site.Heureusement, il existe des messages d’avertissement claires sur les plugins comme Better WP Security qui vous indiquent ce qui peut arriver.
De plus ces types de changements ne sont pas toujours rentables. Dans notre exemple ci-dessus, Thomas dit que:
Renommer les répertoires de WordPress vraiment ne fournit pas de protection supplémentaire. Des personnes malveillantes utilisent généralement les scripts de pré-construits pour trouver des vulnérabilités dans toute CMS comme WordPress. Ils recherchent des fichiers statiques, qui, pour la plupart, ne peut être modifié sans casser leur fonctionnalité.Comme les fichiers JavaScript.
Si je voulais voir si un site a été utilise un plugin vulnérable, je n’aurais même pas vous soucier de la recherche de wp-content. Je veux le regarder pour son changelog, readme, images, feuilles de style, et / ou les fichiers Javascript. Il existe de nombreuses analyses de vulnérabilité qui font cela déjà.
Modification parties de votre installation par un module de sécurité peut être une douleur à traiter après que vous avez appuyé sur le bouton pour le faire et que vous devez le changer en arrière, surtout si vous n’utilisez pas plus que plugin.Dans notre exemple de dossier wp-content, vous ne seriez pas seulement avoir à renommer à nouveau le dossier, vous auriez à prendre les lignes à partir du fichier wp-config et analyser l’ensemble de votre base de données pour changer toutes les URL en utilisant l’ancien nom de dossier. Un non-codeur serait trouver cela difficile.
Dans un autre exemple, si vous définissez un plugin pour forcer votre site à utiliser https et dans vos paramètres « Général » vous avez la version http de votre URL défini comme « Adresse du site, » vos pages intérieures pourraient être visibles mais votre page d’accueil sera être vide (ou quelque chose comme ça).Un tas SSL substance n’est pas facile comme bonjour trucs si vous n’êtes pas une personne tech.
Si vous avez activé une fonction visant à interdire des adresses IP à partir de votre site, votre fichier htaccess. Va commencer à obtenir veeeeery longtemps.Cela peut ralentir votre site et, lorsque vous appelez votre hôte pour le soutien que vous savez ce qu’ils vont dire? « Votre fichier htaccess. Est vraiment longue. »
Comme le fait remarquer Thomas,
Certains hébergeurs seront effectivement suspendre votre site si votre. Htaccess est devenu ressource coûteuse. Il ne doit pas nécessairement être long. Vous avez vraiment besoin de savoir ce que vous mettez dans votre. Htaccess et les avantages et les inconvénients de le faire. Juste l’insertion de lignes de code sans avoir aucune idée sur ce que précisément ne peut être plus nuisible qu’utile.
Un module de sécurité, tout en bloquant les pirates potentiels, peut également ajouter des adresses IP à votre base de données, il a verrouillé. Donc, si vous êtes bloqué vous-même, vous devez savoir comment aller dans votre base de données et supprimer la ligne avec votre adresse IP en elle. Si vous n’avez jamais été exposé à PhpMyAdmin, cela va être une tâche très difficile pour vous.
Ce genre de situation nous amène à notre dernier point, qui est que lesprofessionnels doivent être manipulent ce genre de choses.
Ils ont besoin de soutien personnalisé
Je suis désolé pour les gens qui ont à gérer les fils de support pour les plugins de sécurité. Je veux dire, regarde ce thread. Et regardez ce fil trop (pour la sympathie ajoutée).
En fait, si vous visitez les forums de support de l’un des plugins de sécurité, vous verrez les problèmes et les hasards similaires où un plugin fait quelques charabia pour les fichiers de quelqu’un, ou les lock-out, ou ne serait pas désinstaller complètement, ou quelque chose . Sites sont hébergés sur différents environnements, utiliser différents thèmes et plugins, et avoir toutes sortes de circonstances variables qui pourraient rendre les réponses à ces différentes discussions du forum pour tout le monde.
La communauté WordPress est sûrement heureux et reconnaissants pour les auteurs de plugins qui font des choses compliquées code ey simple pour les non-programmeurs. Que serait le monde sans leur race humanité aider? Pas très joli.
Toutefois, en s’appuyant sur les types de questions que nous avons décrit ci-dessus, nous pouvons conclure ces plugins ne devraient pas être commercialisés à n’importe qui. Si un module de sécurité va vraiment être pour les masses, il devrait idéalement être un service payant, où les gens sont payés à la qualité et le soutien d’un consultant qui leur dit quoi faire à leur situation unique. Chaque cas peut être différent et, si vous n’êtes pas bien informés sur la sécurité ou les choses techniques, vous ne devriez pas remettez un plugin gratuit qui vient avec ce genre de pouvoir.
Mais certaines personnes ne savent ce qu’ils font et veulent le contrôle qui vient avec ces plugins, donc on ne peut pas les enlever le référentiel WordPress complètement.
Voici Howard carillons avec un point très important:
Il ya plus de 28K plugins dans le référentiel. Choisir les bons plugins est ce qui est le plus important. Les cotes aider. Vérification changement journaux pour voir combien de fois un jour de dev aide. En lisant les commentaires aide. Mais si vous vous trompez de plugin, vous pouvez avoir des problèmes. Même si vous sélectionnez le bon plugin, il peut y avoir des paramètres qui ne sont pas facilement compréhensibles par un novice. Avoir un pro qualifié pour vous aider est toujours va être important. Si j’ai un mal de dents, je peux obtenir une paire de pinces et tirez-le. Mais je suis probablement mieux si je vois un dentiste.
Que pouvons-nous faire?
Eh bien, un certain nombre de choses, qui ne nécessitent pas beaucoup de connaissances techniques. Pour l’un, consultez le poste de Tom sur les 10 choses que vous devez savoir pour sécuriser votre site WordPress (moins de 8, 9 et 10, car elles sont contraires à ce que je dis ici … lol, désolé Tom).
Ensuite, lisez cet article par iThemes qui parle du peu récente attaque par force brute massif sur les sites WordPress, si vous comprenez les bases de la façon dont les sites de WordPress se piraté en premier lieu.
Vous pouvez également consulter cette infographie qui explique WordPress sécurité et vulnérabilités communes pirates peuvent exploiter.
Vérifiez également ces ressources gracieusement creusés pour nous par Thomas:
- Durcissement WordPress
- Les sauvegardes de WordPress
- FAQ Mon site a été piraté
Ensuite, allez obtenir un système de sauvegarde qui est adapté pour WordPress.Si vous n’utilisez pas le merveilleux, ManageWP incroyable (qui, soit dit en passant vous permet également de vérifier votre site pour les logiciels malveillants et les virus … juste eu à jeter ce là), utiliser VaultPress ou de iThemesBackupBuddy . Howard utilise également UpdraftPlus qui est un plugin gratuit disponible dans le référentiel WordPress. Un hôte WordPress géré comme WP moteur peut avoir ce intégré dans leur service pour vous déjà.
Pensez-y, c’est votre sécurité ultime. Si votre site est piraté, et vous n’avez pas de sauvegarde, vous aurez deux choix:
- Passez des heures à trouver le code infecté à nettoyer, ou de façon plus réaliste payer quelqu’un des frais de prime pour le faire pour vous.
- Reconstruire ensemble de votre site à partir de zéro, ce qui ne va pas être pas cher.
Si votre site est piraté et que vous avez des sauvegardes datant antan, vous n’avez pas de soucis. Vous avez juste à le restaurer à une version plus ancienne.Au mieux, vous pourriez avoir à re-publier un peu de contenu qui n’est pas dans les fichiers restaurés. Pas de gros problème. (Mais assurez-vous que vous ne restaurez pas une version du site qui est encore infecté … qui signifie que vos sauvegardes devraient revenir un long chemin).
Obtenir une clé Akismet pour empêcher le spam sur votre site. Elle vous fera économiser beaucoup de maux de tête. Ou vous pouvez désactiver tous les commentaires sur votre site, qui est une voie légitime d’aller si votre entreprise n’est pas dans les affaires de discussion en ligne. Howard préfère surtout cette solution sauf si le site est un blog.
Si vous savez comment, vous devez également modifier votre base de données préfixe de table de sorte qu’il n’est pas « wp_. » C’est quelque chose d’un plugin peut automatiser pour vous « de sorte que vous n’avez pas à la boue autour de MySQL. Installer, activer, changement de préfixe, désactiver, désinstaller. Fait « , dit Howard.
Si cela convient à votre fantaisie, vous pouvez aussi le faire manuellement. Si vous ne savez pas comment faire cela, eh bien, s’il vous plaît ne pas essayer à la maison des gens.
Vous pouvez également visiter les messages qui parlent de choses que vous pouvez ajouter à votre fichier htaccess. . J’ai trouvé quelques-uns pour vous déjà en faisant une recherche rapide sur Google, mais s’il vous plaît prendre vos décisions code inclusion à bon escient:
- Conseils WordPress cool. Htaccess pour renforcer la sécurité de votre site WordPress
- Sécurité WordPress Grâce. Htaccess
Encore une fois, nous insistons, dans les mots de Howard, si vous êtes un utilisateur novice, « les enfants, ne pas essayer à la maison. »
Enfin, et surtout, obtenir un bon accueil! Je suis particulièrement friands, et j’utilise WP moteur, mais il ya d’autres là-bas que je pense qu’elle pourrait faire un travail incroyable ainsi. Ils sont grands sur la sécurité plus au WP moteur, et sont aussi des spécialistes de WordPress, ce qui signifie que lorsque vous avez un problème avec WordPress, en particulier un problème de sécurité, ils peuvent vous aider et ne pas être tout comme, «nous ne soutenons pas WordPress, vous avoir à contacter le support WordPress », comme certains hôtes là-bas (pas que je tiens à mentionner tous les noms …).
En fait, il est dit sur leur site que si votre site est piraté alors accueilli avec eux,ils vont le réparer gratuitement ! Vous voyez, notre problème d’anxiété est maintenant résolu, et nous n’avons même pas besoin d’installer un plugin ou faire tout ce qui pirouettes susmentionné pour obtenir un sommeil de bonne nuit.
Il est temps pour votre entrée!
Maintenant, nous jetons le relais à vous: ce sont vos meilleurs conseils pour garder un site WordPress en sécurité? Si vous utilisez et aimez vos plugins de sécurité, s’il vous plaît partager ceux qui ils sont et pourquoi! Nous aimons toutes sortes d’opinions sur le blog ManageWP et l’apport de chacun et différents points de vue nous gardons tous la plus éclairée.
