Accueil > Base de connaissances > F. Sauvegarde, restauration, sécurité > Mesures de sécurité OBLIGATOIRE pour WordPress sur nos serveurs

Mesures de sécurité OBLIGATOIRE pour WordPress sur nos serveurs


Ce n'est pas un secret, les sites wordpress subissent des attaques multiples et de plus en plus volumineuses causant l'indisponibilité de vos sites (conception URL unique de page de connection de wordpress), mais aussi causant des problèmes parfois aux serveurs. 

Notre système Ddos est éfficace jusqu'à un certain point de sensibilité. Vous êtes déjà protégé par le serveur sur le XMLRPC entre autres et vous n'avez rien à faire sur ce dernier point ! :
https://www.yoorshop.fr/knowledgebase/1207/Protection-WordPress-xmlrpcphp.html 

 

Nous avons mis en place par défaut une limitation par 2-3 requêtes/ 30 secondes sur la page wp-login.php (ceci décourage les tentatives répétées). Si cette page de login n'est pas accessible et montre un code 429  à intervalle de 1-2 minutes, avec notre méssage dédié, cela veut dire qu'il y a des tentatives d'accès nombreuses... Sécurité WordPress  


Ensuite, vous devez immédiatement installer le plugin suivant 1.

Pour TOUS : vous devez installer ce premier plugin obligatoirement ou activer la fonction similaire dans un plugin de sécurité globale:

1. Protection wp-login.php ( OBLIGATOIRE)
Le meilleur moyen de contrer ceci est de renommer l'URL de l'administration en utilisant un plugin tel que :
https://wordpress.org/plugins/wps-hide-login + pare-feu basique (voir onglet IDS firewall avec blocage pays si désiré)

Dans votre admin wordpress, extensions puis ajouter en haut, tapez wps hide login, puis installer, puis activer puis settings, puis tout en bas de la page donnez le nouveau login désiré, puis sauvegardez !

A lire :
https://www.yoorshop.fr/announcements/280/Changement-sur-le-plugin-WordPress-pour-changer-le-login.html 

Similaire à tester :
https://fr.wordpress.org/plugins/rename-wp-login

NB : Les plugins anti-force brute sont inutiles contre ce problème précis, car les robots persistent en revenant soit plus tard ou en changeant d'IP !!!


2. Pare-feu (Très recommandé)
Ces plugins dupliquent une partie de ce dont nous vous protégeons déjà au niveau serveur.
Ceci nécéssite une configuration, en plus ceci bouscule votre base de données... alors attention !
Nous recommandons celui qui est le meilleur à notre connaissance car il protège des injections, et de différentes petites attaques, vous devrez régler/activer certaines fonctions :
https://wordpress.org/plugins/ninjafirewall/
Une fois installé, il faut vérifier quelques réglages importants :

Firewall protection : enabled
Enable FileGuard : enabled
Updates : yes daily


Moins bons :
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 
https://fr.wordpress.org/plugins/wordfence/ 

(Nous vous protégeons déjà contre de multiples attaques comme xss, injection sql, bots, anti-failles php. Ne faites pas de la sur-sécurité, cela peut casser votre site web)



3. Plugin Anti-Ddos (Optionnel, pas obligatoire si vous n'êtes pas attaqué) Les autres plugins de sécurité n'ont pas non plus cette fonction précise !
Voyez vos stats par awstats de votre cpanel, les hits/visiteurs)
En ce qui concerne le Ddos pur, nous avons trouvé un plugin spécifique pour les Ddos avec limitation par IP (ceux sans tentative d'accès à votre admin, et qui veulent saturer votre site, et donc notre serveur...) : https://wordpress.org/plugins/wpantiddos/ 
Dans un premier temps laissez les réglages par défaut, et cette variable peuit être augmenté si jamais des utilisateurs voient illégitimement un méssage de blocage : 'Maximal Hits count for GET requests (per 1 seconds)'
Ajoutez bien les quelques lignes de code suggérés dans la configuration du plugin dans wp-config.php afin d'avoir de l'éfficacité.
Vous vérrez ensuite dans la section "Erreurs" de votre cpanel tous ceux qui ont été bloqués...
Si jamais des attaques persistent rendant votre site indisponible, changez les réglages :
Maximal Hits count for GET = 2
Minimal Seconds timeout = ANY
(Lisez la documentation si besoin : wp-content/plugins/wpantiddos/Documentation)
Au contraire, si il est trop sensible et cause des soucis dans des fonctions de l'administration, élargissez les réglages....

NB :
Nous vous protégeons déjà au niveau serveur contre de multiples failles XSS/injections SQL, et robots... Faire de la sur-sécurité peut causer des dysfonctionnements à votre site web...

Cette réponse était-elle pertinente?

 Imprimer cet article

Consultez aussi

Sauvegarde et restauration de vos données

1. Vous pouvez à tout moment instantanément sauvegarder/restaurer vous même votre compte de...

Comment et ou trouver un webmaster ?

Webmasters recommandés et client chez nous :1. Simon Hélènehttps://www.nowis-informatique.fr2....

Sécurité de vos fichiers/scripts

Les versions PHP sont régulièrement mises à jour pour renforcer leur stabilité, performance, et...

Lutter contre le traffic de robots zombie

Nous considérons cet article comme déprécié partiellement, nous avons vu que les robots les...

Protection page par htaccess

Dans votre cPanel, allez à Gestionnaire de fichiers/Confidentialité du répertoire.Pour sécuriser...