Le plugin All In One WP Security propose une solution complète pour vos problèmes de sécurité sur vos sites web WordPress.
Installation du plugin
1. Recherchez le plugin « All in One WP Security » puis cliquez sur « Installer maintenant » puis sur « Activer ».
2. Cliquez sur « WP Sécurité » dans le menu de gauche
Compte utilisateur
Pour configurer la sécurité des comptes d’utilisateurs, cliquez sur « Comptes d’utilisateurs » à gauche. Il y aura 3 onglets sur cet écran : « Nom d’utilisateur WP » , « Nom affiché » et « Mot de passe ».
Sur l’ onglet « Nom d’utilisateur WP », le plugin vérifiera si vous avez un nom d’utilisateur défini par défaut sur « admin ». Avoir un utilisateur avec le nom d’utilisateur « admin » n’est pas sûr.
Sur l’onglet « Nom affiché », le plugin vérifiera si des utilisateurs ont le même nom d’affichage affiché lorsqu’ils font des publications comme nom d’utilisateur. Ceci n’est pas sûr car il permet aux attaquants de deviner des noms d’utilisateur valides.
L’onglet «Mot de passe» évalue la force des mots de passe.
Connexion
L’option du menu « Connexion » du menu vous donne accès à 5 onglets différents. Les onglets «Verrouillage de connexion» et «Forcer la déconnexion» ont des paramètres de sécurité qui doivent être configurés. Les 3 autres onglets contiennent des journaux et des informations sur qui est connecté.
L’onglet «Verrouillage de connexion» vous permet de définir des limites de connexion. Les règles que vous pouvez définir ici protègent votre site wordpress contre les tentatives de connexion par force brute. Les règles par défaut suffisent pour empêcher les bots d’accéder à votre panneau d’administration. Cochez la case «Activer la fonction de verrouillage automatique de connexion» et cliquez sur «Enregistrer les modifications».
L’onglet «Forcer la déconnexion» vous permet de configurer WordPress pour qu’il se déconnecte automatiquement après une période de temps définie. Cela empêche vos utilisateurs de rester connectés pendant de longues périodes sur n’importe quel PC et est particulièrement utile si vous pensez que vos utilisateurs WordPress se connectent sur des terminaux publics. Cochez la case «Activer la déconnexion des utilisateurs de Force WP» , puis cliquez sur «Enregistrer les modifications» pour activer cette fonction.
Enregistrement de l’utilisateur
L’option du menu «Enregistrement de l’utilisateur» dans le menu de gauche comporte trois onglets différents. «Approbation manuelle» , «Captcha d’inscription» et «Registration Honeypot». Cet onglet est principalement destiné aux sites qui autorisent une certaine forme d’enregistrement des utilisateurs. Si votre site ne le fait pas, vous n’avez pas besoin de configurer les paramètres dans cette section.
L’onglet «Approbation manuelle» vous permet de forcer l’approbation manuelle de toutes les inscriptions d’utilisateurs. C’est plus sécurisé que les inscriptions automatiques car cela empêche les bots de créer des comptes. Cochez la case «Activer l’approbation manuelle des nouvelles inscriptions» , puis cliquez sur «Enregistrer les paramètres».
L’onglet «Captcha d’inscription» vous permet de configurer un Captcha sur votre page d’enregistrement utilisateur. Cela ajoute à la sécurité de votre site simplement en ajoutant une autre couche pour empêcher l’enregistrement des bots. Cochez la case « Activer le Captcha sur la page d’inscription » puis cliquez sur « Enregistrer les modifications ».
L’onglet «Registration Honeypot» vous permet d’ajouter des champs de saisie cachés que seuls les bots pourraient remplir sur votre page d’inscription. Cela vous permet d’attraper des bots relativement sophistiqués et les empêche de créer des comptes. Cochez la case « Enable Honeypot On Registration Page » puis cliquez sur « Enregistrer les modifications ».
Sécurité BdD
L’option de menu « Sécurité BdD » sur la gauche fournit deux onglets «Préfixe de BdD» et «Sauvegarde de BdD».
Avant d’utiliser l’onglet «Préfixe de BdD», vous devez cliquer sur l’onglet «Sauvegarde de BdD» pour effectuer une sauvegarde de votre base de données avant d’apporter d’autres modifications. Une fois sur place, cliquez sur «Créer une sauvegarde DB maintenant» pour créer une sauvegarde immédiate, puis cochez la case «Activer les sauvegardes planifiées automatisées» . Vous pouvez définir un calendrier de sauvegarde comme vous le souhaitez, mais nous vous suggérons le plus souvent possible. Une fois terminé, cliquez sur «Enregistrer les paramètres».
Maintenant allez à l’onglet «Préfixe de BdD». Ici, vous pouvez modifier le préfixe de table de base de données utilisé par WordPress dans votre base de données. Changer cela augmente la sécurité de votre installation wordpress car cela rend plus difficile pour les pirates de cibler vos attaques d’injection SQL. Pour utiliser cette fonction, cochez la case «Générer un nouveau préfixe de tables BdD» (ou entrez un préfixe) puis cliquez sur «Modifier le préfixe des tables de la BdD».
Gestionnaire de liste noire
L’option «Gestionnaire de liste noire» dans le menu de gauche est l’endroit où vous pouvez configurer une liste noire IP ou User Agent. Cochez la case «Activer la liste noire d’IP ou d’ID utilisateur» puis cliquez sur «Enregistrer les modifications». Vous devrez revenir à cet onglet pour ajouter les adresses IP que vous souhaitez bloquer.
Pare feu
L’option «Pare-feu» dans le menu de gauche possède un certain nombre de fonctionnalités que vous voudrez activer par défaut. Chaque onglet de cette section contient des options que vous voudrez configurer en dehors de l’onglet «Règles personnalisées». Notez que le plugin All in One ne pourra pas configurer les règles de pare-feu sans accès en écriture au fichier .htaccess dans le répertoire WordPress.
Dans l’onglet «Règles de base du pare-feu», il y a trois cases à cocher que vous devez cocher. Cochez d’abord «Activer la protection de base du pare-feu» . Cela activera le pare-feu de base et empêchera l’accès à quelques parties du système de fichiers WordPress. Cochez ensuite «Disable Pingback Functionality From XMLRPC», nous vous conseillons de vérifier cette option car certains plugins ont besoin de la fonctionnalité XMLRPC et il peut ne pas être conseillé de bloquer complètement l’accès à cela. Cochez «Block Access to debug.log File» puis cliquez sur «Enregistrer les modifications» .
Dans l’onglet «Règles supplémentaires du pare-feu», vous devez vérifier toutes les options disponibles, puis cliquer sur «Enregistrer les paramètres supplémentaires du pare-feu» en bas.
Dans l’onglet «6G Blacklist Firewall Rules», vous devez cocher à la fois «Enable 6G Firewall Protection» et «Enable legacy 5G Firewall Protection» pour ajouter des listes noires de perishablepress.com à votre pare-feu. Une fois terminé, cliquez sur «Save 5G/6G Firewall Settings»
Dans l’onglet «Bots internet», cochez la case «Bloquer les faux Googlebots» et cliquez sur le bouton «Enregistrer les paramètres de Bot internet» en bas.
Dans l’onglet «Prévenir des Hotlinks», vous pouvez empêcher d’autres sites de créer un lien direct vers vos images hébergées. Cela préserve à la fois votre contenu et votre bande passante. Cochez la case «Empêcher les liens dynamiques (Hotline)» et cliquez sur «Enregistrer les modifications».
Enfin, dans l’onglet «Détection d’erreur(s) 404», vous pouvez configurer le plugin pour bloquer les adresses IP en essayant à plusieurs reprises d’accéder à des pages inexistantes sur votre site. Cochez «Enable 404 IP Detection and Lockout» , puis cliquez sur «Enregistrer les modifications».
Brute force
L’option de menu «Brute Force» à gauche est l’endroit où vous pouvez configurer les paramètres de la page de connexion. Il y a 5 onglets sur cette page. Par défaut, nous vous recommandons de configurer les onglets «Renommer la page de connexion» et «Utiliser Honeypot» . Les options des onglets «Protection contre « Brute Force basée cookie», «Captcha de connexion» et «Liste blanche de connexion» doivent être utilisées de manière sélective car certaines d’entre elles sont destinées à des plates-formes spécifiques telles que WooCommerce ou pourraient vous exclure de votre panneau d’administration si elles sont utilisées de manière incorrecte.
Sur l’onglet «Renommer la page de connexion», cochez la case «Autorisez le renommage de la page des réglages de Connexion», puis entrez une nouvelle URL de page de connexion, puis cliquez sur «Enregistrer les modifications» . Assurez-vous de vous souvenir du nouveau chemin de connexion. La modification de l’URL de connexion est plus sécurisée que l’utilisation de l’URL par défaut car la plupart des bots ne savent pas où essayer de se connecter.
Sur l’onglet «Utiliser Honeypot», cochez simplement la case «Activer Honeypot sur la page de connexion» et cliquez sur «Enregistrer les modifications» . Le Honeypot (pot de miel) créera de faux champs de saisie que seul un bot peut remplir, et si la page de connexion reçoit une entrée sur ces champs lors de la connexion, WordPress sait ignorer l’utilisateur.
Prévention du SPAM
Utilisez l’option de menu «Prévention du spam» sur le côté gauche pour augmenter la sécurité de WordPress en filtrant le spam des commentaires. Bien qu’il existe plusieurs onglets différents, vous aurez principalement besoin des fonctions «Commentaires spam» et «Surveillance IP commentaires spam». Les onglets «BBPress» et «BuddyPress» ne sont accessibles que si vous utilisez ces applications.
Dans l’onglet « Commentaire SPAM », cochez les deux cases. Si quelqu’un commente votre site, il y aura un Captcha avant que le commentaire ne soit envoyé et les Spambots connus seront bloqués.
Une fois les deux options vérifiées, cliquez sur «Enregistrer les modifications».
Maintenant, dans l’ onglet «Surveillance IP commentaires spam», cochez la case « Enable Auto Block of SPAM Comment IPs », puis cliquez sur « Enregistrer les modifications ». Vous souhaiterez peut-être définir un nombre minimum de commentaires.
Scanner
Si vous cliquez sur l’option « Scanner » dans le menu de gauche, vous serez redirigé vers le scanner de malware All in One. De là, vous pouvez exécuter une analyse manuelle et vous pouvez configurer votre système pour effectuer des analyses automatiques périodiques des fichiers clés de WordPress. Cochez la case « Activer l’analyse automatisée des modifications dans les fichiers », puis cliquez sur « Enregistrer les modifications ».
Vous pouvez exécuter une analyse manuelle en cliquant sur «Effectuer une analyse maintenant».
Sécurité des fichiers
Enfin, la dernière zone que vous devez vérifier est l’option «Sécurité des fichiers» dans le menu de gauche. Cette zone répertorie toutes les zones critiques de WordPress et les autorisations de fichier suggérées. Si le bouton «Appliquer le réglage des autorisations recommandé» à côté de chacun ne fonctionne pas, utilisez un programme FTP ou chmod pour le faire.
Cliquez ensuite sur l’onglet «Accès aux fichiers WP» et cliquez sur «Empêcher l’accès aux fichiers d’installation par défaut WP» puis sur «Enregistrer les paramètres» . Cela empêche l’accès à quelques fichiers qui peuvent donner à un attaquant des informations sur votre installation WordPress.
Après avoir effectué toutes ces étapes, vous avez franchi une étape considérable vers la sécurisation de votre installation WordPress. Vous devrez suivre vos sauvegardes et mettre à jour tous vos plug-ins régulièrement, tout en faisant attention à tout ce qui peut être dû à des analyses de logiciels malveillants ou à d’autres alertes que le plug-in peut vous envoyer. Bien que nous n’ayons pas utilisé toutes les fonctionnalités du plugin, pour cet article, nous utilisons des paramètres qui devraient être compatibles avec la plupart des thèmes et plugins. Maintenant, si vous allez dans le tableau de bord, vous devriez voir un score de sécurité bien dans le vert :
