Il y a environ un mois, nous avons commencé à constater un nombre énorme de tentatives échouées pour accéder à la page de connexion de WPBeginner et à la page wp-admin. Nous sommes devenus extrêmement prudents à ce sujet. De la protection par mot de passe du répertoire wp-admin à l'ajout d'un processus de vérification en deux étapes, nous avons essayé de tout faire nous-mêmes. Cependant, nous avons rapidement réalisé que nos compétences et nos connaissances étaient assez limitées. Nous avons déjà une solution de sauvegarde complète avec VaultPress, nous avions donc juste besoin de quelqu'un qui surveillerait continuellement notre site pour tout comportement étrange. Quelqu'un qui savait ce qu'il faisait. Quelqu'un qui avait une grande réputation. Après quelques recherches, un seul nom s'est démarqué. C'était Sucuri. Après avoir visité le site Web, nous avons réalisé que c'était le même site qui proposait un scanner de site Web gratuit que nous avions utilisé lors du nettoyage de logiciels malveillants pour le site Web d'un de nos clients. Nous avons continué et obtenu le compte pour nos sites Web. Pendant que nous le mettions en place, la seule chose qui nous venait à l'esprit était « WOW ». Ce devrait être un outil INDISPENSABLE pour tout le monde. Dans cet article, nous vous montrerons pourquoi nous utilisons Sucuri et comment il améliore réellement notre sécurité WordPress.
1. Surveillance de l'intégrité du site Web
Contrairement à leur scanner gratuit que vous devez exécuter manuellement, la vérification des sites Web et des avertissements de liste noire vérifie le site aussi fréquemment que toutes les 3 heures pour s'assurer que votre site est exempt de malwares, de scripts malveillants, de iframes malveillants, de redirections suspectes, d'injections de liens spammy, etc. Ils s'assurent également que votre site n'est pas mis sur liste noire par des services populaires tels que Google, Norton, AVG, Phishtank, Opera et autres. Comment cela vous bénéficie-t-il ? Eh bien, cela préserve votre réputation, de sorte que vos utilisateurs ne voient pas d'avertissements tels que « Attention, quelque chose ne va pas ici ».
2. Analyse côté serveur
Ainsi, la surveillance du site Web ne fait que vérifier votre site sur le front-end. Mais que faire si vous avez affaire à un hacker intelligent, qui ne se soucie pas d'infecter vos utilisateurs avec des malwares ? Ils ajoutent simplement des bannières publicitaires dans vos anciens articles dont vous n'êtes pas au courant. Et s'ils ont déjà établi un accès de backdoor qu'ils peuvent utiliser pour remplacer vos liens d'affiliation par les leurs et voler vos revenus. Ce type de piratage ne peut pas être détecté par leur scanner de site Web gratuit. Cependant, pour les clients payants, il existe une option appelée Analyse côté serveur qui fait exactement cela. Elle analyse votre serveur pour s'assurer qu'aucun fichier suspect n'est hébergé sur votre serveur. Elle audite également les événements tels que les modifications de fichiers, etc., pour vous tenir informé.
Vous penseriez qu'il faudrait installer une sorte de logiciel lourd sur votre serveur pour effectuer ces analyses. Tout ce que vous avez à faire est de télécharger un simple fichier php et c'est tout.
3. Plugin de journal d'audit WordPress
Parce qu'il est créé par des personnes qui aiment WordPress autant que nous, ils ont un plugin spécial pour les utilisateurs de WordPress. Ce plugin est comme un bijou pour les débutants comme pour les utilisateurs avancés. Il audite tous les événements qui se produisent sur votre site WordPress. Modifications de fichiers, ajouts de nouveaux articles, etc.
Souvent, les pirates essaient de déguiser leurs fichiers de porte dérobée piratée avec des noms de fichiers WordPress. Il peut donc s'agir d'un fichier situé dans votre dossier wp-includes appelé wp-user.old.php ou quelque chose qu'un utilisateur moyen ne soupçonnerait pas être un fichier malveillant. Le plugin Sucuri WordPress garantit l'intégrité de tous les fichiers principaux. Ainsi, s'il y a un fichier suspect parmi eux, il vous alertera immédiatement. Souvent, les pirates essaient de cacher le malware dans votre fichier wp-config.php. Qui est un fichier principal. Ce plugin vérifie tout cela.
Durcissement en 1 clic
Si vous êtes un nouvel utilisateur, vous voyez divers articles de sécurité sur différents blogs. Vous essayez de vous souvenir de tous ceux-ci sur votre prochain site et sur celui d'après, etc. Certaines des astuces de renforcement ne sont même pas abordées. Eh bien, Sucuri vous donne la possibilité d'améliorer votre sécurité en renforçant votre installation WordPress. En un clic, vous pouvez protéger votre répertoire de téléchargements. Souvent, les pirates aiment cacher leurs fichiers malveillants dans votre dossier de téléchargements. Parce que le dossier de téléchargement est organisé par année et par mois, c'est un endroit facile pour les pirates pour cacher des choses. La plupart des gens ne vérifient jamais leur dossier de téléchargements. D'un simple clic, ce plugin rendra votre répertoire de téléchargements non consultable et interdira l'exécution de php. Il fait de même pour le répertoire wp-content et le répertoire wp-includes. En 1 clic, vous pouvez également déplacer votre fichier wp-config un répertoire plus haut. En 1 clic, il supprime votre fichier readme.html et d'autres.
À l'heure actuelle, il n'y a aucun moyen de changer le préfixe de base de données par défaut en 1 clic, mais il est indiqué que cela sera disponible dans les futures versions. En attendant, vous pouvez utiliser notre tutoriel sur Comment changer le préfixe de la base de données WordPress.
Enfin, et ce n'est pas le moins important, ce plugin ajoute un pare-feu web qui bloque les spammeurs et liste noire leurs IP. Nous avons vérifié un grand nombre d'IP qui tentaient d'accéder à des zones où elles ne sont pas censées être, et il s'agissait d'IP connues sur liste noire. Pour les utilisateurs de WordPress, ce plugin est la meilleure chose qui soit arrivée.
4. Alertes
La partie la plus importante de la surveillance, ce sont les alertes. Sucuri vous permet de configurer des alertes par e-mail, des alertes Twitter, des alertes IM, des alertes SMS et des alertes RSS. C'est génial car s'il y a un piratage, vous serez le premier à le savoir.
Outre la surveillance des logiciels malveillants et des listes noires, ils disposent également d'une surveillance des modifications DNS, des modifications whois, etc. Récemment, de nombreux domaines populaires ont été volés à leurs webmasters, et ce type de surveillance peut vous alerter.
5. Service de nettoyage de logiciels malveillants
Bien que toutes les raisons ci-dessus justifient bien le coût, ils offrent également un service de nettoyage de logiciels malveillants sans limite de pages, ainsi que la suppression des listes noires. Nous n'avons pas encore eu à utiliser cette partie du service, mais pouvez-vous imaginer avoir des experts en sécurité qui nettoient votre site. Normalement, certains de ces gars facturent 250 $/heure pour des conseils. Disons que si votre site est piraté et que vous avez leur surveillance, ils s'occuperont du nettoyage pour vous. Il y a de fortes chances que cela soit détecté avant que Google et d'autres services ne vous mettent sur liste noire. Mais si vous étiez mis sur liste noire, alors ils vous aideront à supprimer votre site des listes noires.
Nous avons le plan puissance qui coûte 189,99 $/an et couvre 5 sites Web. Le coût mensuel revient à environ 3 $ par site Web. Nous préférerions de loin payer 3 $ par site Web et le maintenir sécurisé plutôt que de se faire pirater et de payer quelqu'un $$$$ pour nettoyer notre site.
Conclusion
Le Web est un endroit vraiment effrayant. Jour après jour, nous entendons des histoires de personnes et de sites Web piratés. Ayant aidé de nombreuses personnes à nettoyer leurs sites Web des logiciels malveillants, nous pouvons honnêtement dire que Sucuri est sans aucun doute le service de sécurité le plus performant et le plus rentable de l'industrie WordPress. Il vaut beaucoup mieux découvrir que votre site est piraté grâce à un service de surveillance plutôt que de le découvrir par vos utilisateurs ou, mieux encore, par Google lorsqu'ils mettent votre site Web sur liste noire.
Nous utilisons Sucuri et si vous vous souciez de la sécurité de votre site, vous devriez le faire aussi. Il y a une raison pour laquelle des publications majeures comme CNN, USAToday, PC World, TechCrunch, TheNextWeb, et d'autres recommandent ces gars. Ayant personnellement parlé avec l'un de leurs co-fondateurs, Dre Armeda, nous savons que nous sommes entre de bonnes mains.
jesse
J'ai eu des temps d'arrêt continus avec le pare-feu de Sucuri… j'ai eu 48 heures d'indisponibilité sur 2 pannes. Leur support technique est vraiment incompétent. Je ne recommande PAS leur service.
Vinny
Combien sucuri vous a payé pour les mettre sur votre liste ? Je ne dis pas qu'ils sont mauvais mais, je préférerais utiliser Wordfence ou même iThemes Security, qui ont tous deux 6 fois plus d'utilisateurs actifs que sucuri .
Personnel éditorial
Sucuri ne nous a pas payé un seul centime. Au moment de la rédaction de cet article, iThemes Security avait un nom différent et WordFence était le seul concurrent principal. Le service de nettoyage de logiciels malveillants et la surveillance active de Sucuri leur ont donné l'avantage. Nous sommes en train de passer à leur nouveau WAF, à ce moment-là, nous écrirons une mise à jour à ce sujet.
Le WAF de Sucuri est bien supérieur aux autres plugins que vous avez mentionnés car c'est un pare-feu DNS basé sur le cloud actif et non un pare-feu hébergé pour votre site WP. De plus, 6 fois plus d'utilisateurs actifs est principalement parce que les autres sont gratuits.
Admin
butterkitten
J'aime la recommandation, mais je ne peux pas me permettre Sucuri pour le moment. Y a-t-il d'autres plugins que vous pouvez recommander qui sont abordables ?
Chris Bunting
Bien qu'il existe maintenant divers plugins de sécurité, je préfère toujours securi ! J'ai un site où le trafic n'est pas vraiment le problème, mais plutôt le type de personnes qui le visitent... Les tentatives de piratage sont quotidiennes pour nous... Mais Securi a les meilleures notifications et la meilleure configuration que j'aie trouvées !
Protéger réellement votre site va bien au-delà d'un simple plugin... Ne vous laissez pas berner par le battage médiatique ! Si vous utilisez un serveur dédié / VPS, vous devez commencer par le système d'exploitation... Si vous êtes sur un compte d'hébergement partagé avec des scripts d'installation automatique, vous devriez faire quelques recherches sur la sécurisation de votre site avant même de penser à sécuriser WordPress...
Thomas Zickell
Sucuri CloudProxy est sorti maintenant et je l'utilise depuis sa sortie. Je dois dire que c'est l'un des meilleurs outils que j'aie jamais utilisés. La vitesse du site est plus rapide, vous avez une vraie protection contre toutes les attaques par force brute, même la protection DDos 7 intégrée à leur offre de base avec DDos 3,4 &7 complet dans leur offre professionnelle. C'est vraiment un outil exceptionnel pour quiconque n'utilise pas l'hébergement WordPress géré (j'utilise à la fois WordPress géré ainsi que Terremark, FireHost, Linode & digital ocean), c'est un excellent ajout, surtout pour quiconque recherche une paire de serveurs très rapide, fiable et sécurisée avec digital ocean et vous avez quelque chose d'incroyable.
Sean
Bonne critique, nous sommes sur le point de nous inscrire chez eux. Quand vous avez souffert aux mains de pirates informatiques et que tant de gens recommandent ces gars, vous savez que c'est la bonne chose à faire.
Thomas Zickell
J'aime vraiment les nouvelles sauvegardes Sucuri. Elles coûtent 5 $ par mois et vous avez un espace illimité. Je suis d'accord que VaultPress est un excellent service, cependant après avoir comparé VaultPress à 15 $ par mois par rapport à Sucuri & Codeguard, j'ai choisi Sucuri. Tout ce dont vous avez besoin est sftp/ftp/mySQL, ce qui est préférable à une méthode uniquement par plugin.
Je le fais surtout à cause du service que vous obtenez de Sucuri, ils vous aideront même à restaurer le site pour vous et oui, vous devez soit utiliser le chat, qui est disponible 20h/24 et 7j/7
Vous pouvez envoyer à votre client un e-mail chaque jour, semaine ou mois avec un lien de sauvegarde pour le téléchargement.
Lorsque vous faites de l'optimisation pour les moteurs de recherche, du développement web et de la création de contenu comme moi.
Les clients ont besoin d'une méthode pour savoir que vous êtes une personne honnête, donc s'ils disparaissent, ils récupéreront leur site même s'il est sur votre plateforme d'hébergement.
Pour cette raison, que je sais être étrange à mentionner, mais c'est important car vous ne voulez pas que votre client, qui n'est peut-être pas aussi averti du web que vous, joue avec des plugins ou quoi que ce soit si vous êtes le webmaster.
Sucuri a vraiment fait des efforts, je les utilise depuis des années et c'est une entreprise fantastique.
Je dirais que CodeGuard est correct
Je préférerais dépenser l'argent sur la sauvegarde Sucuri et ne jamais m'inquiéter de l'espace
Phil Alcock
Lorsque j'ai effectué la vérification Sucuri sur notre domaine, elle est revenue comme étant propre, mais dans la section version de l'application web, il y avait un triangle d'avertissement pour
Chemin interne de Wordpress : /home/dibdench/public_html/wp-content/themes/atahualpa3712/index.php
Sans aucune indication sur ce que cela signifie. Des idées ?
oj wickliffe
Bonjour,
J'ai déjà vu ce site et il a effectivement aidé à découvrir des malwares.
En fait, j'ai un problème pour lequel j'ai besoin de quelques recommandations. Mon site semble piraté car il y a un dossier qui n'est pas de moi. Mais à chaque fois que je le supprime, il revient depuis mon gestionnaire de fichiers cpanel.
Que puis-je faire.
Merci.
Support WPBeginner
Un dossier ne signifie pas nécessairement qu'il est dû à un malware ou à un cheval de Troie sur votre site. De nombreux plugins WordPress créent également des dossiers pour stocker des données. Pour vous assurer que ce n'est pas un plugin qui crée ce dossier, désactivez d'abord tous vos plugins, puis supprimez le dossier. Voyez si le dossier revient. Si c'est le cas, il est probablement dû à un script malveillant ou à un malware. S'il ne revient pas, cela signifie qu'un des plugins de votre site a besoin de ce dossier pour fonctionner correctement.
Admin
TOrben Heikel Vinther
Super critique ! J'utilise actuellement le plugin gratuit Better WP Security sur mes sites, mais en lisant votre article sur Sucuri, il semble qu'il soit encore meilleur ! Si j'achète le plugin Sucuri, aurai-je la même protection (ou plus) qu'avec Better WP Security ?
Recommandez-vous d'autres plugins de sécurité pour travailler avec Sucuri, par exemple Wordfence, ou y aurait-il trop de chevauchement ?
Personnel éditorial
Sucuri est une solution assez complète, vous n'avez donc pas besoin de la combiner avec Wordfence et autres. Un avantage clair de Sucuri est leur garantie qu'ils répareront votre site si quelque chose tourne mal. Quiconque connaît la douleur de nettoyer un site piraté achètera l'abonnement en un clin d'œil. Engager un bon consultant en sécurité coûte des centaines de dollars par heure. Sucuri dispose également d'une analyse côté serveur qui vous donne des avertissements. Il surveille les modifications de fichiers et autres.
Admin
Frithjof
Merci pour cette excellente critique ! Avant de m'inscrire, une question « bonus » : l'analyse côté serveur remplace-t-elle le besoin de surveillance de la disponibilité ?
Personnel éditorial
Ils ont une option pour recevoir des alertes de disponibilité.
Admin
Maggie
J'ai lancé mon blog le mois dernier et c'est encore un très petit site que pas plus de 10 personnes visitent chaque jour.
Est-ce que cela signifie qu'il y a moins de chances que quelqu'un pirate mon site web ?
Devrais-je attendre que mon site web devienne plus fréquenté ?
Je prends mon blog très au sérieux, mais je ne suis pas sûr que cela vaille un gros investissement au début.
Mary
Bonjour,
Je voulais juste vous répondre car je subis des attaques par force brute sur mes sites web et ils sont tous nouveaux avec très peu de trafic.
« Login in security » est un plugin gratuit qui me donne cette information et qui a été discuté sur ce site.
Les mises à jour et un mot de passe fort sont également importants.
Mais je regarde Sucuri et j'achèterai via le lien sur ce site car ces gars sont géniaux.
Bonne chance !
Maggie
Merci pour votre réponse Mary. Ça fait peur !
Je viens d'installer "Limit Login Attempts" maintenant et je vais reconsidérer Sucuri.
Mary
Bonjour, Merci pour cet article
Je ne comprends pas tous les détails écrits ici ou dans les commentaires
Alors je me demandais ceci. Si j'obtiens Sucuri, DOIS-JE
1) décider de ce dont j'ai besoin parmi ce qu'ils proposent (je ne saurais pas)
2) est-ce difficile à installer pour un NON-COMPRENANT” comme moi
3) y a-t-il du code ? J'ai déjà cassé mon site en ajoutant du code
4) et d'autres mesures de sécurité seront-elles nécessaires ?
Merci pour votre site ! Mary
Personnel éditorial
Salut Mary,
1. Non, vous achetez simplement le forfait (tout compris).
2. Assez facile à installer. Leur équipe vous aidera si vous en avez besoin.
3. Non. Aucun code impliqué.
4. L'utilisation d'un mot de passe fort est toujours nécessaire
Admin
Keith Davis
Salut Syed
Je voulais juste te faire savoir que Sucuri en a maintenant un – changement de préfixe de base de données en un clic – génial !
Personnel éditorial
Génial… Je ne savais pas qu'ils avaient ajouté ça.
Admin
Keith Davis
Je regarde sérieusement Sucuri pour 5 à 8 sites.
Avez-vous des codes de réduction ?
Ahmed
Eh bien, je suppose que je vais essayer ces gars !
Brad Dalton
Mon site a été piraté aujourd'hui et le scan Sucuri était propre avant que je le corrige.
Wordfence l'a détecté lorsque j'ai scanné en utilisant ce plugin.
Personnel éditorial
Brad, utilisiez-vous leur scanner gratuit ou le scan serveur payant ? Leur scanner gratuit ne vérifie pas les fichiers sur votre serveur. Il vérifie simplement les codes malveillants qui sont publiquement affichés.
Admin
Jason H
L'avis positif se termine par cette phrase :
« Il n'y a aucune raison pour que des publications majeures comme CNN, USAToday, PC World, TechCrunch, TheNextWeb, et d'autres recommandent ces gars. »
Personnel éditorial
Wow, quelle omission de notre part. Il était censé lire « il y a une raison ». Merci de l'avoir signalé.
Admin