Vous trouverez ci-dessous une liste de toutes les recommandations disponibles incluses avec Defender :

  • Masquer les rapports d’erreurs – Les développeurs utilisent souvent la fonction intégrée de débogage des erreurs PHP et des scripts, qui affiche les erreurs de code sur le frontend de votre site Web. C’est utile pour le développement du site, mais sur les sites déjà lancés, cela permet au les pirates informatiques de trouver des failles dans la sécurité de votre site.
  • Mettez à jour PHP vers la dernière version – PHP est le logiciel qui alimente WordPress. Il interprète le code WordPress et génère des pages Web que les gens voient. Naturellement, PHP est disponible en différentes versions et est régulièrement mis à jour. À mesure que de nouvelles versions sont publiées, WordPress abandonne le support des anciennes versions de PHP au profit de versions plus récentes et plus rapides avec moins de bogues.
  • Empêcher l’exécution de PHP – Par défaut, une vulnérabilité de plugin / thème pourrait permettre à un fichier PHP d’être téléchargé dans les répertoires de votre site et à son tour d’exécuter des scripts nuisibles qui peuvent causer des ravages sur votre site Web. Empêchez complètement cela en désactivant l’exécution PHP directe dans les répertoires qui n’en ont pas besoin.
  • Empêcher la divulgation d’informations – Souvent, les serveurs sont mal configurés et peuvent permettre à un attaquant d’accéder à des fichiers sensibles comme vos fichiers de configuration, .htaccess et de sauvegarde. Les pirates peuvent récupérer ces fichiers et les utiliser pour accéder à votre site Web ou à votre base de données.
  • Modifier le compte d’utilisateur administrateur par défaut – L’une des méthodes les plus courantes pour accéder aux sites Web consiste à utiliser des attaques par force brute sur les zones de connexion à l’aide de noms d’utilisateur et de mots de passe par défaut / communs. Si vous utilisez le nom d’utilisateur par défaut “admin”, vous donnez une pièce importante du puzzle dont les pirates informatiques ont besoin pour détourner votre site Web.
  • Mettre à jour WordPress vers la dernière version – WordPress est une plate-forme extrêmement populaire, et avec cette popularité vient les pirates qui veulent de plus en plus exploiter les sites Web basés sur WordPress. Laisser votre installation WordPress obsolète est un moyen presque garanti de se faire pirater car vous manquez les derniers correctifs de sécurité.
  • Désactivez l’éditeur de fichiers – WordPress est livré avec un éditeur de fichiers intégré au système. Cela signifie que toute personne ayant accès à vos informations de connexion peut modifier davantage votre plugin et vos fichiers de thème et injecter du code malveillant.
  • Désactiver les trackbacks et les pingbacks – Les pingbacks notifient un site Web lorsqu’il a été mentionné par un autre site Web, comme une forme de communication de courtoisie. Cependant, ces notifications peuvent être envoyées à tout site Web souhaitant les recevoir, vous ouvrant ainsi aux attaques DDoS, ce qui peut détruire votre site Web en quelques secondes et remplir vos messages de commentaires de spam.
  • Désactiver XML RPC – XML-RPC est un système qui vous permet de publier sur votre blog WordPress à l’aide de clients de blog populaires tels que Windows Live Writer. Techniquement, c’est un appel de procédure à distance qui utilise XML pour coder ses appels et HTTP comme mécanisme de transport. Si vous utilisez l’application mobile WordPress et que vous souhaitez vous connecter à des services tels que IFTTT ou souhaitez accéder et publier sur votre blog à distance, vous devez activer XML-RPC, sinon ce n’est qu’un autre portail que les pirates informatiques peuvent cibler et exploiter.
  • Gérer la durée de connexion – Par défaut, les utilisateurs qui sélectionnent l’option «Se souvenir de moi» resteront connectés pendant 14 jours. Si vous et vos utilisateurs n’avez pas besoin de vous connecter régulièrement au backend de votre site Web, il est conseillé de réduire ce délai par défaut pour réduire le risque que quelqu’un accède à votre compte automatiquement connecté.
  • Empêcher l’énumération des utilisateurs – L’une des méthodes les plus courantes pour les robots et les pirates informatiques pour accéder à votre site Web consiste à découvrir les noms d’utilisateur de connexion et à forcer la zone de connexion avec des tonnes de mots de passe factices. L’espoir est que l’un des combos nom d’utilisateur et mot de passe correspondra, et voilà – ils y ont accès (vous seriez surpris de voir à quel point les mots de passe faibles sont courants!). Ce réglage de sécurité verrouille votre site Web en empêchant la redirection, ce qui rend beaucoup plus difficile pour les bots d’obtenir vos noms d’utilisateur. Nous vous recommandons vivement de procéder à cette modification.
  • Mettre à jour les anciennes clés de sécurité – WordPress utilise des clés de sécurité pour améliorer le cryptage des magasins d’informations dans les cookies des utilisateurs, ce qui rend plus difficile le piratage des mots de passe. Un mot de passe non chiffré tel que “nom d’utilisateur” ou “wordpress” peut être facilement brisé, mais un mot de passe chiffré aléatoire et imprévisible tel que “88a7da62429ba6ad3cb3c76a09641fc” prend des années pour trouver la bonne combinaison.