TechBlogSD - Tout pour le développement WordPress et WEB
Instructions WEB et WordPress, actualités, revues de thèmes et plugins

Protégez le site WordPress avec le pare-feu du plugin AIOWPS

18

Les paramètres de pare-feu permettent de mieux protéger votre site WordPress ainsi que d’autres options telles que la force brute et la prévention du spam dans les commentaires. L’un des moyens les plus simples d’activer le pare-feu pour votre site WordPress est d’utiliser des plugins tels que "Tout en un WP security and firewall" (AIOWPS). Dans cet article, nous discuterons en détail de la façon de protéger le site WordPress avec les paramètres de pare-feu proposés par le plugin AIOWPS. .

Une fois le plugin installé et activé, accédez au menu « WP Security > Firewall » pour voir les options suivantes :

  • Règles de base du pare-feu
  • Règles de pare-feu supplémentaires
  • Règles de pare-feu de la liste noire 6G
  • Bots d’embarquement
  • Empêcher les liens hypertexte
  • 404 Détection
  • Règles personnalisées

L’activation de la plupart de ces options insérera du code dans le fichier .htaccess et empêchera les pirates d’accéder à votre site. Il est fortement recommandé de sauvegarder l’ensemble de votre site et .htaccess avant d’activer les options de pare-feu. Vérifiez également l’accessibilité de votre site après avoir activé le pare-feu. Par exemple, utilisez l’ option Fetch as Google dans la console de recherche Google ou l’ outil PageSpeed ​​Insights pour vérifier si Googlebot peut accéder à votre site avec un pare-feu.

Les plugins offrent des points pour activer chaque paramètre de pare-feu et additionnent les points pour afficher le total des points dans la section « Tableau de bord ». Plus de points indiquent la sécurité plus élevée de votre site, mais considérez que l’accessibilité de votre site n’est pas affectée.

Règles de base du pare-feu (40 points au total)

Vous avez trois options sous l’onglet Règles de pare-feu de base.

1 Paramètres de base du pare-feu (15 points)

Cette option ajoutera les fonctionnalités suivantes à votre site :

  • Refuser l’accès aux fichiers .htaccess et wp-config.php
  • Désactiver la signature du serveur
  • Limiter la taille de téléchargement du fichier à 10 Mo

Idéalement, vous devriez pouvoir activer cette option sans aucun autre impact négatif sur votre site.

2 WordPress XMLPRC et protection contre les vulnérabilités Pingback (15 points)

Vous pouvez voir que de nombreux robots tentent d’accéder au fichier "xmlprc.php" sur votre site lorsque vous surveillez le trafic à l’aide de l’un des outils de statistiques disponibles dans le compte d’hébergement cPanel. Les pirates informatiques utilisent ce service API XML-PRC proposé par WordPress pour attaquer votre site à l’aide de méthodes telles que le « Denial of Service » (DoS). Assurez-vous que vous n’utilisez pas XML-PRC pour d’autres fonctionnalités telles que la publication via les applications WordPress iOS / Android. Si activé, vous ne pouvez pas publier via des applications mobiles.

3 Bloquer l’accès au fichier de débogage (10 points)

Lorsque le débogage est activé, WordPress génère un fichier debug.log dans le dossier «wp-content ». Ce fichier peut contenir des informations importantes et l’activation de cette option refusera l’accès au fichier. Vous pouvez accéder au fichier de débogage via un compte FTP.

Règles de pare-feu supplémentaires (total de 55 points)

Vous trouverez ici les paramètres de pare-feu avancés pour votre site WordPress.

1 liste du contenu du répertoire (5 points)

Cette option désactivera l’affichage de la liste des répertoires sur le navigateur. Généralement WordPress vous permet de lister le répertoire de fichiers qui permet à n’importe qui de visualiser la structure des répertoires de votre site. Par exemple, les utilisateurs peuvent afficher « votresite.com/wp-content/uploads/ » pour voir tous les fichiers téléchargés sur votre site. Par conséquent, il est recommandé d’activer cette option pour empêcher la liste des répertoires. Si vous trouvez que cette option ne fonctionne pas, vous pouvez discuter avec votre hôte pour savoir si le serveur d’hébergement est configuré pour prendre en charge cette fonctionnalité.

2 Trace et suivi (10 points)

La désactivation de la trace et du suivi aidera à empêcher les attaques de trace HTTP. Ce type d’attaques est généralement utilisé pour extraire les cookies et autres informations des requêtes d’en-tête HTTP.

3 Publication de commentaires par procuration (10 points)

Activez cette option pour empêcher la publication de commentaires à l’aide de serveurs proxy. On pense que la plupart des robots utilisent un serveur proxy pour publier des commentaires. Par conséquent, l’activation de cette option arrêtera les commentaires de spam.

4 chaînes de requête incorrectes (15 points)

L’arrêt des chaînes de requête incorrectes empêchera les attaques de scripts croisés (XSS). Étant donné que les plugins et les thèmes peuvent utiliser des chaînes de requête, assurez-vous que l’activation de cette option n’endommage pas votre site.

5 filtre de chaîne de caractères avancé (15 points)

Ceci est similaire à l’option précédente et empêche l’utilisation de certaines chaînes de caractères avancées. Lorsqu’un pirate utilise l’une des chaînes, le plugin renvoie 403 accès refusé et protège votre site. Cette option peut également casser votre site si l’un de vos plugins ou thème utilise les chaînes de caractères interdites par le plugin AIOWPS.

Règles de pare-feu de la liste noire 6G (total de 20 points)

Les règles de pare-feu 6G sont des directives .htaccess définies par le site tiers Perishable Press. Il s’agit de la version mise à jour et améliorée de l’ancienne liste noire du pare-feu 5G. La protection 6G comprend les éléments suivants :

  • Bloquer les caractères généralement utilisés dans les attaques.
  • Bloquer les caractères d’URL encode malveillants.
  • Empêchez les pirates d’utiliser des caractères illicites dans les chaînes de requête.
  • Protégez-vous contre les schémas courants d’exploitation.

Vous pouvez activer la protection par pare-feu 5G et 6G pour votre site. Encore une fois, assurez-vous que le site n’est pas cassé et que les robots des moteurs de recherche peuvent accéder à votre site après avoir activé les paramètres du pare-feu.

Protégez le site WordPress avec le pare-feu du plugin AIOWPS

Paramètres du pare-feu de la liste noire 6G

Bots Internet (total 5 points)

Le plugin bloquera tous les faux robots ayant une chaîne comme "Googlebot" en testant les robots et en économisant de la bande passante.

Empêcher les liens hypertexte (total 10 points)

Le hotlinking indique l’utilisation de vos images sur d’autres sites. Cela drainera les ressources de votre serveur chaque fois que les images seront chargées sur un autre site. L’activation de la case à cocher « Empêcher les liens hypertexte d’images » refusera l’accès à vos images lorsqu’elles sont liées à partir d’autres sites.

Détection 404 (total 5 points)

La page d’erreur 404 s’affiche pour les utilisateurs qui tentent d’accéder à une URL inexistante sur le site. Mais parfois, certains robots peuvent essayer à plusieurs reprises d’accéder à une page ancienne ou inexistante et consommer de la bande passante. Vous pouvez cocher la case « Activer la détection et le verrouillage IP 404 » pour surveiller et bloquer les adresses IP que vous suspectez.

Règles personnalisées

Dans cette section, vous pouvez écrire des directives personnalisées et les insérer dans le fichier .htaccess pour améliorer la sécurité de votre site WordPress. N’utilisez cette section que si vous savez écrire des directives, sinon laissez-la décochée.

Le plugin AIOWPS offre 135 points uniquement pour la section pare-feu sur un total de 470 points. Ceci est une indication de l’importance d’utiliser un pare-feu pour votre site WordPress. Dans le même temps, nous avons remarqué que certaines des options freineront le site ou bloqueront l’accès de Googlebot au site. Assurez-vous de tester l’accessibilité de votre site et activez uniquement les options requises pour vous bien que le nombre total de points soit inférieur.

Source d’enregistrement: www.webnots.com
Leave A Reply

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Plus de détails