- Prenez les mises à niveau au sérieux - Consultez cette liste et, si votre version de WordPress fait partie de celles avec des vulnérabilités connues, ou si vous utilisez une version inférieure à la dernière version, effectuez une mise à niveau immédiatement. Vous ne savez pas quelle version de WordPress vous utilisez? Connectez-vous à votre tableau de bord du panneau d'administration WordPress. Faites défiler vers le bas de la page. Vous verrez la version listée ici. N'oubliez pas que vous pouvez toujours trouver la dernière version du logiciel WordPress ici. Si vous faites votre propre travail technique, téléchargez-le vous-même. Ou contactez votre webmaster.
- Recherchez soigneusement les plugins avant de les télécharger - Voir s'il y a des insécurités rapportées. Les plugins sont parfois des backdoors à exploiter par les pirates. Allez ici pour voir les vulnérabilités connues du plugin.
- Ne pas autoriser l'auto-inscription pour les nouveaux utilisateurs - L’auto-enregistrement permet aux pirates d’entrer. Une fois dedans, ils peuvent exploiter certaines versions de WordPress et prendre le contrôle de certaines parties de votre site. Allez dans votre tableau de bord administrateur WordPress; Cliquez sur l'onglet «Options», puis sur le sous-onglet «Général». Assurez-vous que la case «Tout le monde peut s’inscrire» est décoché.
- Changer tous vos mots de passe - C'est juste une bonne chose à faire périodiquement. Et c’est un must si vous avez été piraté (vous ne le saurez jamais - votre pirate informatique peut maintenant avoir vos mots de passe).
- Consultez votre site pour voir s’il est déjà compromis - J’ai découvert que le blog d’une amie avait été compromis sans qu’elle en soit consciente! Vous voulez vérifier les liens cachés. Dans votre navigateur, cliquez sur le menu «Affichage», puis choisissez «Source». Cela ouvrira une petite fenêtre dans laquelle vous pourrez facilement voir votre code. Recherchez des liens vers des sites que vous ne reconnaissez pas. Ils peuvent apparaître près du code HTML «display: none» ou «hidden». Les deux codes signifient ce qu'ils suggèrent: les liens sont cachés de la vue occasionnelle. Peut-être qu’un tel usage HTML est légitime sur votre site - mais là encore, c’est peut-être le travail de pirates. Mieux encore, utilisez cet outil pour afficher votre site tel que le voit Googlebot, y compris les liens cachés.
- Vérifiez les liens sortants de votre site - Le rapport sur les liens sortants de Vertical Leap est un autre outil permettant de vérifier votre site. Ce rapport gratuit vous montrera des liens provenant de votre site qui ont peut-être été masqués par des pirates informatiques dans des répertoires que vous ne voyez pas normalement. Ce rapport vous aidera à identifier si une partie de votre site a été détournée à votre insu.
- Ne téléchargez pas de modèles de sites non officiels - Certaines vulnérabilités ont été liées à des thèmes de conception gratuits téléchargés à partir de sites peu recommandables. Une fois que votre site est infecté, le code malveillant continue de recréer des liens de courrier indésirable même après les avoir supprimés. À moins que vous ne sachiez parcourir un fichier de thème pour repérer les «surprises» ajoutées, tenez-vous-en au téléchargement de modèles de conception uniquement à partir du site officiel de thème WordPress.
- Obtenez de l'aide qualifiée immédiatement - J'aimerais penser que les gens d'affaires intelligents pourraient se remettre d'eux-mêmes d'un piratage. Cependant, je n’aurais pas pu nettoyer tous les déchets de ces pirates et les récupérer sans l’aide de mon webmaster et de mon hébergeur. Ces hackers sont malins. Il a fallu plus d’expertise technique que nécessaire pour réparer les dégâts sournois. En fait, mon webmaster Tim a mis en place un service appelé Réparer WordPress juste pour aider ceux dont les installations WordPress ont été piratées. (Dans chaque nuage sombre, il existe une opportunité d’entreprise.)
- Un homme averti en vaut deux. Renseignez-vous - Renseignez-vous sur l'activité de piratage. Mieux encore, pensez comme un pirate informatique.Même si vous avez un personnel technique pour gérer les détails, vous pouvez gagner du temps, de l'argent et vous inquiéter en étant un propriétaire ou un utilisateur de site proactif. Plus vous en savez, mieux vous serez en mesure (1) de détecter les activités suspectes ou (2) d'éviter les comportements qui vous laisseraient ouverts.
Pour plus de sources éducatives particulièrement utiles, voir:
Trois conseils pour protéger votre installation WordPress
Lorelle a également de bons conseils pour protéger votre blog WordPress
Livre blanc: Tendances de Badware 2007
Livre blanc: Comment créer une installation sécurisée de WordPress (PDF)
Si vous souhaitez lire mon expérience d’un exploit WordPress, lisez: Piraté: il ne pourrait jamais arriver à mon site (Famous Last Words).
More in: WordPress 20 Commentaires ▼