Avis Jet Engine
Avis Jet Engine Le plugin Jet Engine est un outil qui vient complémenter Elementor Pro. Il intègre différentes options de personnalisation et de dynamisation de
L’hacking, le piratage d’un site WordPress la hantise de tout webmaster… Il y a quelques semaines, je me rends compte via mes outils de monitoring vague d’hacking sur un de mes hébergements chez O2Switch (trés important de préciser, car leurs services m’ont bien aidée).
Je tiens également à préciser que ce tuto s’adresse ayant le même environnement de travail que moi : WordPress, Hébergement Cpanel / O2Switch , mais peu s’adapter selon votre contexte.
Secundo, je ne suis pas expert, ma méthode risque d’évoluer, l’objectif est de vous donner la base pour construire votre process de votre côté. D’ailleurs si vous avez des conseils, vous pouvez les partager dans l’espace commentaires 😉
Dans cet article, je vous dévoile mes conseils, astuces pour nettoyer un site et le protéger au maximum, conte les vagues de piratages et comment s’en prémunir en cas de hack de votre WordPress.
Configurer les paramètres de sécurité :
Source pour compléter : https://faq.o2switch.fr/hebergement-mutualise/tutoriels-cpanel/wptiger
À partir de là, vous êtes parait !
Tout ce que je vais vous présenter ci-dessous est possible en quelques clics via O2Switch et WP Tiger dans la section sécurité. Si vous n’êtes pas chez O2Switch, ou n’avez pas de Cpanel, je vous donne les bouts de codes à insérer et à personnaliser votre .HTACCESS.
| Sécurité par défaut d’o2switch (blocages sur des adresses IP considérées malveillantes, vérification des User-Agent, rate-limit de robots ayant mauvaise réputation, vérfication des requetes HTTP,…) | Recommandé |
| Contrôle du navigateur sur les pages d’administrations courantes | Recommandé |
| Bloquer l’accès aux fichiers de développement (bloquer l’accès à des fichiers : .env, .sql,…) | Recommandé |
| Bloquer l’accès direct aux fichiers .php | À ne pas activer incompatible avec WordPress |
| Mode « Je suis attaqué » | Activer qu’en cas de piratage |
| Contrôler les requêtes vers le xmlrpc.php | Recommandé |
| Mettre en place un taux limite sur le /wp-login.php | À faire au cas par cas |
| Bloquer l’accès direct aux fichiers .php sensibles de WordPress | Recommandé |
| Contrôler les requêtes venant des robots SEO | Recommandé – 20 req/min |
| Contrôler les requêtes venant des robots malveillants ou suspects | Attention cela peut rentrer un conflit avec d’autre plugin |
| Contrôler les requêtes venant des faux robots Google Bot | Recommandé |
| Contrôler les requêtes n’ayant pas de User-Agent | Recommandé |
| Bloquer le trafic venant des adresses IP du réseau Tor | Recommandé |
| Bloquer le trafic venant des adresses IP ayant une mauvaise réputation | Recommandé |
| ModSecurity | Recommandé |
Attention à bien tester les différents réglages, car selon vos besoins, vos configurations, cela peut être contre-productif. En effet, cela peut vous bloquer certains accès ou utilisation de votre WordPress.
Pour cela rien de plus simple, il suffit d’ajouter cette ligne PHP dans l’un de vos fichiers de votre WordPress. Par défaut je vous recommande de mettre celui-ci dans le wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Ce code vous permettra de désactiver l’édition des fichiers thèmes et plugins depuis l’admin de WordPress. Idéal pour éviter les codes malveillants depuis des attaques brut force
Le Number One, l’indispensable en termes de sécurité WordPress est de cacher l’accès admin par défaut (wp-admin) par un autre accés. WPS Hide Login répond à cela parfaitement en vous permettant de remplacer le wp admin connu de tous par un autre slug (ex : monsupersite.fr/wp-admin devient monsupersite.fr/admin-personalise).
WPS Hide Login
Un point fort, de ce plugin est la double authentifcation permettant de rendre obligatoire ou non la connexion via 2FA.
Wordfence Security – Firewall, Malware Scan, and Login Security
Whitelist les accés à votre admin* avec Secure IP Admin
Attention, si vous changez de lieu, de connexion, votre IP changera et vous ne pourrez plus accéder à votre wp-admin. Si cela vous arrive alors, vous devez soit ajouter votre nouvelle ip, soit désactiver le plugin le temps de vous connecter puis le réactiver. Pour faire, cela, vous pouvez passer par votre FTP renommer le nom du plugin, puis une fois connecter le renommer comme initialement.
*C’est également possible de le faire sans plugin via le .HTACCESS
https://wordpress.org/plugins/secure-admin-ip/
A mon sens WPvivid Backup est l’un des meilleurs outils de sauvegarde. Pour cause, il vous permet gratuitement de faire des sauvegardes complètes (sans limites de stockage), de migrer vos sauvegardes en Local, FTP, Cloud,… Et gratuitement.
Maintenant, vous connaissez mon avis, comment l’exploiter ?
C’est trés simple, ce plugin intervient un prévention de hacking afin d’avoir des sauvegardes neutres à restaurer. WP Vivid peut également intervenir pour récupérer un existant que ce soit pages ou articles.
On peut également venir réinstaller une ancienne version (hackée), mais de conserver les fichiers par défauts du WordPress. Ainsi, vous revenez avec une version WordPress neutre.
Migrations, Sauvegardes, Staging – WPvivid
Ce plugin compatible avec Wp Vivid vous permet de gérer tous vos sites depuis une même interface
. Idéal pour faire du monitoring, ajouter des articles, pages, mettre à jour des plugins, WordPress, faire des sauvegardes WP Vivid en un clic.
MainWP Dashboard: WordPress Management without the SaaS
Désormais, vous savez comment sécuriser un WordPress et faire face en cas de hack. Si vous avez des questions, on se retrouve dans les commentaires.
Je partage mes expériences et mes connaissances en tant qu'éditeur de site internet, webmaster et consultant SEO. Si vous souhaitez en savoir plus à ces sujets alors, vous êtes au bon endroit !
Avis Jet Engine Le plugin Jet Engine est un outil qui vient complémenter Elementor Pro. Il intègre différentes options de personnalisation et de dynamisation de
Formation Learny Club Déjà connu pour sa formation The Business Legion dédiée à la maîtrise du référencement SEO, Romain Pirotte nous propose une nouvelle pépite
JetWooBuilder : Customiser Woo Commerce facilement avec Elementor Plugin polyvalent développé par Crocoblock, JetWooBuilder permet de créer facilement des pages de produits optimisées et fonctionnelles
WPVivid Backup & Migration Vous souhaitez gérer vos migrations sans vous prendre la tête ou encore faire vos sauvegardes en automatique sur le cloud ou
Comment réaliser un audit de mots-clés ? L’audit de mots-clés ou audit sémantique est un support (sous forme de tableau) pour déceler les recherches pouvant
Comment obfusquer ses liens pour le SEO et l’affiliation ? Table des matières Conférence : Structure, maillage interne et circulation de Fréderik Bobet au SEOCamp’us
Etude de cas : Améliorer le SEO d’un camping Table des matières Le référencement naturel ou SEO est au cœur des stratégies marketing de tous
Avis Audience Mastery (ex: Les Makers) par Florian Darroman (asyncr0ne) Table des matières Les domaines de l’édition de sites et du SEO vous passionnent ?
La première place sur les résultats de Google offre de nombreux avantages si ce n’est que pour citer un taux de clic lévitant autour des
Configurer les paramètres de sécurité :
Source pour compléter : https://faq.o2switch.fr/hebergement-mutualise/tutoriels-cpanel/wptiger
À partir de là, vous êtes parait !
Tout ce que je vais vous présenter ci-dessous est possible en quelques clics via O2Switch et WP Tiger dans la section sécurité. Si vous n’êtes pas chez O2Switch, ou n’avez pas de Cpanel, je vous donne les bouts de codes à insérer et à personnaliser votre .HTACCESS.
| Sécurité par défaut d’o2switch (blocages sur des adresses IP considérées malveillantes, vérification des User-Agent, rate-limit de robots ayant mauvaise réputation, vérfication des requetes HTTP,…) | Recommandé |
| Contrôle du navigateur sur les pages d’administrations courantes | Recommandé |
| Bloquer l’accès aux fichiers de développement (bloquer l’accès à des fichiers : .env, .sql,…) | Recommandé |
| Bloquer l’accès direct aux fichiers .php | À ne pas activer incompatible avec WordPress |
| Mode « Je suis attaqué » | Activer qu’en cas de piratage |
| Contrôler les requêtes vers le xmlrpc.php | Recommandé |
| Mettre en place un taux limite sur le /wp-login.php | À faire au cas par cas |
| Bloquer l’accès direct aux fichiers .php sensibles de WordPress | Recommandé |
| Contrôler les requêtes venant des robots SEO | Recommandé – 20 req/min |
| Contrôler les requêtes venant des robots malveillants ou suspects | Attention cela peut rentrer un conflit avec d’autre plugin |
| Contrôler les requêtes venant des faux robots Google Bot | Recommandé |
| Contrôler les requêtes n’ayant pas de User-Agent | Recommandé |
| Bloquer le trafic venant des adresses IP du réseau Tor | Recommandé |
| Bloquer le trafic venant des adresses IP ayant une mauvaise réputation | Recommandé |
| ModSecurity | Recommandé |
Attention à bien tester les différents réglages, car selon vos besoins, vos configurations, cela peut être contre-productif. En effet, cela peut vous bloquer certains accès ou utilisation de votre WordPress.
Pour cela rien de plus simple, il suffit d’ajouter cette ligne PHP dans l’un de vos fichiers de votre WordPress. Par défaut je vous recommande de mettre celui-ci dans le wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Ce code vous permettra de désactiver l’édition des fichiers thèmes et plugins depuis l’admin de WordPress. Idéal pour éviter les codes malveillants depuis des attaques brut force
Le Number One, l’indispensable en termes de sécurité WordPress est de cacher l’accès admin par défaut (wp-admin) par un autre accés. WPS Hide Login répond à cela parfaitement en vous permettant de remplacer le wp admin connu de tous par un autre slug (ex : monsupersite.fr/wp-admin devient monsupersite.fr/admin-personalise).
WPS Hide Login
Un point fort, de ce plugin est la double authentifcation permettant de rendre obligatoire ou non la connexion via 2FA.
Wordfence Security – Firewall, Malware Scan, and Login Security
Whitelist les accés à votre admin* avec Secure IP Admin
Attention, si vous changez de lieu, de connexion, votre IP changera et vous ne pourrez plus accéder à votre wp-admin. Si cela vous arrive alors, vous devez soit ajouter votre nouvelle ip, soit désactiver le plugin le temps de vous connecter puis le réactiver. Pour faire, cela, vous pouvez passer par votre FTP renommer le nom du plugin, puis une fois connecter le renommer comme initialement.
*C’est également possible de le faire sans plugin via le .HTACCESS
https://wordpress.org/plugins/secure-admin-ip/
A mon sens WPvivid Backup est l’un des meilleurs outils de sauvegarde. Pour cause, il vous permet gratuitement de faire des sauvegardes complètes (sans limites de stockage), de migrer vos sauvegardes en Local, FTP, Cloud,… Et gratuitement.
Maintenant, vous connaissez mon avis, comment l’exploiter ?
C’est trés simple, ce plugin intervient un prévention de hacking afin d’avoir des sauvegardes neutres à restaurer. WP Vivid peut également intervenir pour récupérer un existant que ce soit pages ou articles.
On peut également venir réinstaller une ancienne version (hackée), mais de conserver les fichiers par défauts du WordPress. Ainsi, vous revenez avec une version WordPress neutre.
Migrations, Sauvegardes, Staging – WPvivid
Ce plugin compatible avec Wp Vivid vous permet de gérer tous vos sites depuis une même interface. Idéal pour faire du monitoring, ajouter des articles, pages, mettre à jour des plugins, WordPress, faire des sauvegardes WP Vivid en un clic.
MainWP Dashboard: WordPress Management without the SaaS
Désormais, vous savez comment sécuriser un WordPress et faire face en cas de hack. Si vous avez des questions, on se retrouve dans les commentaires.
Je partage mes expériences et mes connaissances en tant qu'éditeur de site internet, webmaster et consultant SEO. Si vous souhaitez en savoir plus à ces sujets alors, vous êtes au bon endroit !
Avis Jet Engine Le plugin Jet Engine est un outil qui vient complémenter Elementor Pro. Il intègre différentes options de personnalisation et de dynamisation de
Formation Learny Club Déjà connu pour sa formation The Business Legion dédiée à la maîtrise du référencement SEO, Romain Pirotte nous propose une nouvelle pépite
JetWooBuilder : Customiser Woo Commerce facilement avec Elementor Plugin polyvalent développé par Crocoblock, JetWooBuilder permet de créer facilement des pages de produits optimisées et fonctionnelles
WPVivid Backup & Migration Vous souhaitez gérer vos migrations sans vous prendre la tête ou encore faire vos sauvegardes en automatique sur le cloud ou
Comment réaliser un audit de mots-clés ? L’audit de mots-clés ou audit sémantique est un support (sous forme de tableau) pour déceler les recherches pouvant
Comment obfusquer ses liens pour le SEO et l’affiliation ? Table des matières Conférence : Structure, maillage interne et circulation de Fréderik Bobet au SEOCamp’us
Etude de cas : Améliorer le SEO d’un camping Table des matières Le référencement naturel ou SEO est au cœur des stratégies marketing de tous
Avis Audience Mastery (ex: Les Makers) par Florian Darroman (asyncr0ne) Table des matières Les domaines de l’édition de sites et du SEO vous passionnent ?
La première place sur les résultats de Google offre de nombreux avantages si ce n’est que pour citer un taux de clic lévitant autour des