web-dev-qa-db-fra.com

WordPress listes de contrôle de la sécurité sur cPanel

J'installe WordPress sur un hébergement cPanel partagé destiné à la création de blogs. Je prévois de l'installer dans un dossier sous public_html, c'est-à-dire public_html/myblog. J'utilise le programme d'installation de l'application WordPress disponible dans cPanel.

Quels sont les risques de sécurité courants et quelles contre-mesures dois-je prendre?

5

Votre installation est conforme au chemin de répertoire indiqué. Pour sécuriser le site/blog WordPress, vous devez suivre les étapes suivantes:

  1. Assurez-vous que vous utilisez la dernière version de WordPress, mettez à jour l'heure à laquelle la nouvelle version est disponible.

  2. Vérifier les détails du plugin, non. de téléchargements, évaluations etc. avant d'utiliser un plugin. Aussi, utilisez toujours la dernière version de tous les plugins.

  3. Si vous n'avez pas encore installé WordPress, changez le préfixe de la table de base de données de "WP" lors de l'installation en une autre chaîne.

  4. Ne créez pas d'utilisateur avec le nom d'utilisateur "admin", utilisez un autre nom d'utilisateur et un mot de passe sécurisé/fort.

  5. Dans cPanel, définissez l'autorisation 755 pour tous les dossiers WordPress et 644 pour tous les fichiers.

  6. Sauvegardez régulièrement vos fichiers de thèmes et votre base de données.

  7. Désactivez tous les fichiers et la liste des répertoires pour les utilisateurs publics. Vous pouvez y parvenir grâce au fichier .htaccess.

  8. Changez vos mots de passe de connexion cPanel, FTP et WordPress à intervalles réguliers.

  9. Vous pouvez installer un plug-in qui limite les tentatives de connexion infructueuses. Par exemple, bloquez l'adresse IP de l'utilisateur s'il a tenté de se connecter à WordPress admin et insérez trois fois de fausses informations d'identification.

J'espère que les étapes ci-dessus vous aideront à renforcer la sécurité de votre blog WordPress.

3
Helping Hands

Je lance un serveur dédié avec cpanel et le serveur Web avec lequel il s’intègre est Apache et je suppose que votre compte est dans une configuration similaire.

Ce que vous voulez faire immédiatement, c'est utiliser votre patience pour vérifier périodiquement les journaux du serveur et rechercher les entrées des systèmes essayant d'accéder à des URL renvoyant un code d'erreur 404. Ensuite, recherchez les fichiers qui renvoient un 404 sur google et vous apprendrez quelque chose de nouveau.

Ce que j’ai appris, c’est que les pirates potentiels utilisent des ordinateurs pour tenter d’accéder au fichier wp-admin.php avec un hôte d’autres fichiers indésirables qui ne se trouvent pas sur mon serveur. wp-admin.php semble être un composant Wordpress.

Cela dit, voici ce que je recommande. Consultez le manuel Wordpress, installez Wordpress si vous le souhaitez et sauvegardez toutes vos données au moment de la publication de votre site Web. Supprimez ensuite tous les composants Wordpress dont vous n’avez pas besoin (en particulier la page de connexion à l’interface d’administration) ou renommez-les même car les pirates potentiels ne recherchent que des fichiers standard.

Si vous ne supprimez pas les composants inutiles, le pirate informatique potentiel trouvera probablement l'interface de connexion, puis commencera à inonder les champs de noms d'utilisateur et de mots de passe dans l'espoir que le correct soit découvert. Ils pourraient utiliser des attaques par force brute et/ou des attaques par dictionnaire ou même n'importe quoi pour se frayer un chemin.

2
Mike