TechBlogSD - Tout pour le développement WordPress et WEB
Instructions WEB et WordPress, actualités, revues de thèmes et plugins

Tutoriel WordPress All in One WP Security and Firewall Plugin

123

La sécurité est l’un des facteurs importants pour la gestion d’un site WordPress. Heureusement, il existe de nombreux services gratuits et payants disponibles pour protéger votre site et se prémunir contre les pirates et les attaques malveillantes. Dans cet article, nous discuterons de la protection de votre site WordPress avec le plugin All in One WP Security and Firewall.

Pourquoi tout en un WP Security & Firewall Plugin ?

Il existe de nombreux plugins de sécurité populaires disponibles, mais "All in One WP Security & Firewall" est le seul plugin qui offre la plupart des fonctionnalités nécessaires gratuitement.

  • Le plugin a plus de 400 000 installations actives.
  • Mis à jour régulièrement et compatible avec la dernière version de WordPress.
  • Près de 5 étoiles de plus de 450 utilisateurs.
  • Support en ligne décent sur le forum.

Installation et activation du plugin

Accédez à la section «Plugins > Ajouter un nouveau» sur votre tableau de bord d’administration WordPress et recherchez «All in one WP Security» pour trouver le plugin.

Tutoriel WordPress All in One WP Security and Firewall Plugin

Trouver tout en un WP Security and Firewall Plugin

Une fois le plugin installé et activé, il créera un élément de menu nommé « WP Security ». Il propose des options exhaustives sous différentes catégories pour protéger votre site WordPress.

  • Tableau de bord

  • Paramètres

  • Comptes utilisateur

  • Utilisateur en ligne

  • Enregistrement de l’utilisateur

  • Sécurité de la base de données

  • Sécurité du système de fichiers

  • Recherche WHOIS

  • Gestionnaire de liste noire

  • Pare-feu

  • Force brute

  • Prévention du SPAM

  • Scanner

  • Maintenance

  • Divers

Comment ça fonctionne?

Le plugin fonctionne sur le système d’échelle de points et offre des points pour chaque paramètre de sécurité. Il ajoute jusqu’à 470 points au total et plus les points plus la sécurité de votre site WordPress. La plupart des options peuvent être activées simplement avec un clic de souris en activant les cases à cocher. Vous pouvez cliquer sur la case « Plus d’informations » pour afficher des informations plus détaillées et des exemples pour cette option.

Précautions avant d’activer des options

Bien que la sécurité soit importante et que le plugin tentera d’augmenter le score du compteur de force, chaque paramètre peut avoir un impact négatif sur la lisibilité de votre site. Il existe également des possibilités d’entrer en conflit avec d’autres plugins et de verrouiller votre propre IP si l’option est mal activée. Il est fortement recommandé de préparer les éléments suivants avant d’activer les paramètres de sécurité :

  • Sauvegardez l’ensemble du site et la base de données.
  • Comme le plugin crée des entrées dans le fichier .htaccess, la sauvegarde du fichier .htaccess aidera à restaurer les paramètres d’origine.
  • Sauvegardez le fichier wp-config.php.
  • Assurez-vous d’avoir un accès FTP à votre serveur d’hébergement. Cela aidera à remplacer les fichiers sur la situation d’urgence.

En résumé, sauvegardez tout le contenu de votre site et activez uniquement les options de sécurité dont vous avez besoin. Il est également recommandé de vérifier l’accessibilité du site après avoir activé le pare-feu, l’approbation de l’enregistrement des utilisateurs et d’autres fonctions.

Tableau de bord

Le tableau de bord affiche le compteur de force indiquant les points de sécurité de votre site. Les points sont également indiqués dans un tableau de répartition indiquant la pondération et la répartition entre les options.

Tutoriel WordPress All in One WP Security and Firewall Plugin

Tableau de bord du plug-in de sécurité WP tout-en-un

Il existe des options que vous pouvez activer directement à partir du tableau de bord, comme le mode maintenance, désactiver le nom d’utilisateur « admin », activer le pare-feu de base, etc. Nous vous recommandons de NE PAS activer de paramètres directement sur le tableau de bord. Accédez à la page des paramètres individuels et activez uniquement si cela est nécessaire.

Vous trouverez ci-dessous les autres détails disponibles dans l’onglet du tableau de bord :

  • Informations système – affiche les détails complets de votre installation WordPress, les versions PHP et les détails des plugins actifs.
  • Adresses IP verrouillées – affiche la liste des adresses IP verrouillées si l’option est activée sous l’onglet « Connexion utilisateur ».
  • Liste de blocage permanente – affiche la liste des adresses IP bloquées de façon permanente en raison du spam de commentaires. L’option peut être activée sous « Prévention du SPAM > Commenter la surveillance IP du SPAM ».
  • Journaux AIOWPS – vous pouvez afficher les fichiers journaux de sécurité du plugin ici.

Onglet Paramètres

L’onglet "Paramètres" offre des options de sauvegarde et de haut niveau telles que l’importation/exportation de tous les paramètres du plugin.

Tutoriel WordPress All in One WP Security and Firewall Plugin

Onglet Paramètres AIOWPS

  • Paramètres généraux – ici, vous pouvez désactiver toutes les fonctionnalités de sécurité et les paramètres de pare-feu du plugin en un clic. Cela sera nécessaire lorsque votre site est cassé en raison des paramètres du plugin. Vous pouvez également activer/désactiver l’option de débogage pour le plugin.
  • Fichier .htaccess – comme mentionné dans la section des précautions ci-dessus, il est fortement recommandé de sauvegarder le fichier .htaccess avant d’activer les paramètres de sécurité et de pare-feu. Vous pouvez également restaurer le fichier .htacess à partir de votre sauvegarde.
  • Fichier wp-config.php – similaire au fichier .htaccess, sous cet onglet, vous pouvez sauvegarder et restaurer le fichier wp-config.php.
  • WP Version Info – WordPress génère automatiquement le numéro de version et l’affiche sur chaque page à l’aide de la balise meta. L’affichage du numéro de version n’est pas un problème lorsque vous utilisez la dernière version de WordPress. Mais si vous ne mettez pas à jour vers la dernière version et que vous utilisez l’une des anciennes versions, les pirates peuvent facilement cibler votre site en trouvant le numéro de version. Vous pouvez masquer la version sous cet onglet.
  • Importer / Exporter – Importez ou exportez l’intégralité des paramètres du plugin.

Comptes utilisateur

Vous avez trois options dans la section des comptes d’utilisateurs.

  • Nom d’utilisateur WP – ici, vous pouvez changer les utilisateurs avec le nom «admin» pour le nom souhaité.
  • Nom d’affichage – vérifiez la liste des utilisateurs avec les mêmes noms de connexion et d’affichage. En général, il n’est pas recommandé d’avoir le même nom d’affichage et de connexion pour éviter que les pirates informatiques ne devinent le nom de connexion. Ce n’est pas un paramètre important, car il est très facile de trouver le nom de connexion en vérifiant simplement l’auteur du message.
  • Mot de passe – vérifiez la force de votre mot de passe et le compteur vous montrera combien de temps il faudra à un pirate pour deviner votre mot de passe.

Utilisateur en ligne

La section de connexion utilisateur permet de contrôler la connexion des utilisateurs à votre site avec les paramètres suivants :

Tutoriel WordPress All in One WP Security and Firewall Plugin

Paramètres de connexion de l’utilisateur du plug-in AIOWPS

  • Verrouillage de la connexion – permet de verrouiller l’utilisateur après un certain nombre de tentatives infructueuses. Cette fonctionnalité permet d’arrêter tous les robots et d’envoyer la notification par e-mail lorsqu’un identifiant utilisateur est verrouillé.
  • Enregistrements de connexion échoués – affichez les tentatives de connexion échouées ainsi que l’adresse IP et le nom d’utilisateur.
  • Forcer la déconnexion – activez cette option pour forcer la déconnexion de tous les utilisateurs après un certain laps de temps.
  • Journaux d’activité du compte – affichez la liste des 50 derniers identifiants d’utilisateur connectés à votre site.
  • Utilisateurs connectés – affichez les utilisateurs actuellement connectés à votre site.

Enregistrement de l’utilisateur

Dans cette section, vous pouvez activer l’approbation manuelle des utilisateurs essayant de s’inscrire sur votre site et ajouter un captcha sur le formulaire d’inscription WordPress par défaut. Lorsque vous avez un plug-in de commerce électronique pour vendre des articles sur votre site avec l’enregistrement de l’utilisateur, l’activation de cette fonctionnalité arrêtera les clients réels car ils ne pourront pas s’inscrire automatiquement. Par conséquent, ne l’activez pas lorsque vous avez besoin d’une fonction d’enregistrement automatique à d’autres fins.

Sécurité de la base de données

Par défaut WordPress ajoute le préfixe «wp_» pour toutes vos tables de base de données. Dans cette section, vous pouvez modifier le préfixe par défaut en préfixe aléatoire, ce qui augmentera la sécurité de votre site. Vous pouvez également planifier la sauvegarde de la base de données à intervalles réguliers et la sauvegarde sur votre courrier électronique.

Pour autant que nous ayons vérifié, la fonction de courrier électronique ne semble pas fonctionner avec ce plugin. Par conséquent, ne répondez pas sur ce plugin pour la sauvegarde, il existe de nombreuses autres solutions de sauvegarde dédiées disponibles pour WordPress.

Sécurité du système de fichiers

Vous avez les quatre options suivantes dans la section de sécurité du système de fichiers.

  • Autorisations de fichiers – vérifiez que tous les fichiers et dossiers de votre installation WordPress disposent des autorisations nécessaires pour l’accès en lecture/écriture et définissez l’autorisation appropriée.
  • Modification de fichier PHP – Désactivez la modification de fichier à partir du tableau de bord. Cette option supprimera le menu « Éditeur » pour modifier les fichiers de thème et de plug-in directement depuis le tableau de bord.
  • WP File Access – Les pirates peuvent obtenir plus d’informations sur votre installation WordPress en utilisant les fichiers readme.html, licence.txt et wp-config-sample.php. L’activation de cette option désactivera l’accès direct à ces fichiers.
  • Journaux du système hôte – affichez le fichier journal des erreurs de votre serveur d’hébergement.

Recherche WHOIS

Bien que la recherche WHOIS ne soit pas une fonction de sécurité, elle permet de consulter les détails de l’adresse IP ou du nom de domaine dans le tableau de bord de l’administrateur.

Gestionnaire de liste noire

Bloquez les adresses IP et les agents utilisateurs d’accéder à votre site. L’adresse IP peut être saisie à l’aide d’un caractère générique tel que 195.. .* ou 195,47.. . La section de l’agent utilisateur ne fonctionnera que si elle contient des mots, au cas où si le nom de l’agent utilisateur contient des mots, le plugin ne semble pas fonctionner.

Pare-feu

C’est la section que vous devez activer soigneusement et vérifier si elle affecte l’accessibilité de votre site. Consultez notre article détaillé séparé sur l’ utilisation des options de pare-feu avec le plugin AIOWPS.

Force brute

La force brute est une méthode pour essayer d’accéder aux pages protégées par mot de passe par une méthode d’essai et d’erreur. Le plugin AIOWPS a plusieurs options pour arrêter les attaques par force brute sur votre site WordPress. Nous avons un article détaillé expliquant comment arrêter les attaques par force brute à l’aide des plugins AIOWPS et Jetpack.

Prévention du SPAM

Le plugin AIOWPS aide à arrêter les commentaires de spam soumis par les robots et permet d’ajouter un captcha sur le formulaire de commentaires. En savoir plus sur la prévention du spam dans les commentaires avec le plugin AIOWPS.

Scanner

Vous avez deux options dans cette section – l’une est gratuite et l’autre est un module complémentaire payant.

  • Détection de changement de fichier – activez l’analyse automatique de détection de changement de fichier pour votre site avec la liste des extensions de fichiers à vérifier et les répertoires à exclure.
  • Malware Scan – il s’agit d’un module complémentaire payant d’un site tiers pour analyser votre site à la recherche de logiciels malveillants.

Maintenance

Activez le mode maintenance lorsque votre site est arrêté pour maintenance et n’est pas accessible aux utilisateurs. Idéalement, il n’y a aucune relation entre le mode de maintenance et la sécurité, à moins que votre site ne soit déjà affecté et que vous souhaitiez empêcher les utilisateurs d’accéder au contenu.

Divers

Tutoriel WordPress All in One WP Security and Firewall Plugin

Paramètres divers du plugin AIOWPS

  • Protection contre la copie – désactivez le clic droit sur votre site afin que les utilisateurs ne puissent pas copier le contenu.
  • Cadre – empêchez les autres sites d’afficher votre contenu dans un cadre.
  • Énumération des utilisateurs – désactivez l’accès aux détails de l’auteur directement à l’aide d’un lien tel que "votresite.com/?auteur=nom". Lorsqu’il est activé, le plugin générera une erreur comme ci-dessous si quelqu’un essaie d’obtenir les détails de l’auteur dans la barre d’adresse du navigateur :

Tutoriel WordPress All in One WP Security and Firewall Plugin

Interdire les informations sur l’auteur via un lien

Désinstallation du plug-in AIOWPS

L’installation de ce plugin ajoutera un répertoire de sauvegarde et plusieurs tables MYSQL. Par conséquent, la simple désinstallation et la suppression du plug-in ne supprimeront PAS complètement les fichiers du plug-in de votre site. Le meilleur moyen est de suivre le processus étape par étape ci-dessous :

  • Désactivez tous les paramètres de sécurité et de pare-feu sous « Sécurité WP > Paramètres > Paramètres généraux ».
  • Désinstallez le plugin du tableau de bord.
  • Supprimez les fichiers du plugin du tableau de bord.
  • Connectez-vous à votre serveur d’hébergement via FTP et supprimez les fichiers de sauvegarde stockés par le plugin.
  • Ouvrez «phpMyAdmin» depuis votre «cPanel» et supprimez les tables de plugins de la base de données de votre site.

Si vous rencontrez un problème pour accéder à votre site, essayez de restaurer les fichiers «.htaccess» et «wp-config.php» à partir de la sauvegarde avant l’installation du plugin.

Source d’enregistrement: www.webnots.com
Leave A Reply

Ce site utilise des cookies pour améliorer votre expérience. Nous supposerons que cela vous convient, mais vous pouvez vous désinscrire si vous le souhaitez. J'accepte Plus de détails