Posted By Gregory

Mise en route avec WP Cerber

Pas de soucis. La sécurité de WordPress n'est plus sorcière.


English version: Getting Started with WP Cerber Security


Une fois que vous avez installé et activé le plug-in , celui-ci charge un ensemble de paramètres essentiels. Ils conviennent assez bien à de nombreux cas. Pour tirer le meilleur parti de WP Cerber et protéger WordPress de la manière la plus efficace, vous devez configurer le plug-in de manière réfléchie.

1. Assurez-vous que Cerber détecte correctement les adresses IP

  1. Ouvrez la page Quelle est mon adresse IP dans une fenêtre de navigateur et la page d’administration de Cerber Access Lists dans une autre
  2. Comparez l'adresse IP de la page Quelle est mon adresse IP à l'adresse IP indiquée sous l'étiquette Votre adresse IP sur la page d'administration de Listes d'accès
  3. Vous devriez voir deux adresses IP identiques. Si vous voyez deux adresses IP différentes, vous devez vérifier que Mon site est derrière un proxy inverse dans les Paramètres principaux du plug-in et répéter les étapes ci-dessus.
  4. Si vous voyez toujours deux adresses IP différentes et que le site Web n'est pas derrière un proxy, suivez ces instructions: Résolution du problème avec la détection incorrecte des adresses IP
  5. Encore une étape si votre WordPress est sous CloudFlare

2. Assurez-vous de recevoir des notifications par courrier électronique

Une fois que vous avez activé le plug-in, il envoie un courrier de bienvenue au courrier électronique de l'administrateur du site Web. Si vous n'avez pas reçu l'e-mail de bienvenue, assurez-vous que l'adresse e-mail que vous voyez sur la page d'administration Notification est correcte et que les e-mails du plug-in ne vont pas dans le dossier spam. Si vous n'avez pas reçu l'e-mail de bienvenue, vous ne recevrez probablement pas d'autres notifications importantes. Vous pouvez entrer plusieurs adresses électroniques alternatives dans le champ de texte Adresse électronique de la page d'administration Notification . Pour tester la livraison, accédez à la page Paramètres principaux et cliquez sur le lien Cliquez pour envoyer le test .

Lire la suite: Comment configurer les notifications mobiles sur votre smartphone

3. Activer le chargement du plugin en mode standard

Accédez aux paramètres principaux et définissez le paramètre du moteur de sécurité de chargement en mode standard .

4. Ajoutez l'adresse IP de votre domicile ou de votre bureau à la liste White Access.

Si vous travaillez à domicile ou au bureau sur un ordinateur avec une adresse IP statique, il est raisonnable d’ajouter cette adresse IP (ou l’ensemble du réseau de la société) à la liste d’accès IP blanche. Vous pouvez atteindre deux objectifs. Cela vous évite d'être bloqué par hasard sur votre site Web et vous permet de restreindre l'accès à XML-RPC, à l'API REST et à d'autres éléments essentiels de WordPress.

Lire la suite: Comment utiliser les listes d'accès pour WordPress

5. Activer la page de connexion et d'enregistrement personnalisée

Pour masquer la page de connexion WordPress wp-login.php par défaut des attaques automatisées et des enregistrements de spam, spécifiez votre propre URL de connexion personnalisée (page de connexion) et désactivez le fichier wp-login.php. Remarque: Si vous utilisez un plug-in de mise en cache (tel que W3 Total Cache ou WP Super Cache), vous devez ajouter votre URL de connexion personnalisée à la liste des pages à ne pas mettre en cache.

Comment configurer l'URL de connexion personnalisée pour WordPress

6. Activer la protection antispam

Le moteur antispam de Cerber est compatible avec la plupart des constructeurs de formulaires et peut protéger pratiquement toutes les formes. Sur la page d'administration Antispam, vérifiez toutes les fonctionnalités nécessaires dans la section Moteur antispam de Cerber . Assurez-vous que les formulaires sur votre site fonctionnent bien. Si certaines fonctionnalités du site Web ne fonctionnent plus, activez Utiliser des stratégies moins restrictives (autoriser AJAX) .

Enfin, laissez le plugin nettoyer le désordre avec des commentaires de spam. Choisissez de refuser complètement les commentaires de spam ou seulement de les marquer comme spam . Activer le déplacement automatique du spam dans la corbeille.

7. Restreindre l'accès à l'API REST et à XML-RPC

  1. Allez à la page d'administration de Hardening .
  2. Cochez Désactiver l'API REST . Spécifiez les exceptions d'espace de nom pour l'API REST si nécessaire. Par exemple, si vous utilisez le formulaire de contact 7, l'espace de nom est contact-form-7 et pour Jetpack, il s'agit de jetpack .
  3. Cochez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé sans limitation.
  4. Cochez Désactiver XML-RP C si vous n'utilisez pas le plugin Jetpack. Si vous utilisez XML-RPC à partir d'hôtes spécifiques, ajoutez leurs adresses IP à la liste d'accès blanche .

Lire la suite: Restreindre l'accès à l'API REST WordPress

8. Spécifiez une liste de noms d'utilisateurs interdits

Allez à la page d’administration du plug-in Utilisateurs et, si votre liste est toujours vide, il est conseillé de mettre sur cette liste les noms d’utilisateur suivants: admin, administrateur, gestionnaire, éditeur, utilisateur, démo, test .

En savoir plus sur les noms d'utilisateurs interdits

9. Configurer le masquage des champs de formulaire pour Traffic Inspector

Le consignateur du plug-in Cerber Security masque toujours le champ mot de passe sur le formulaire de connexion WordPress par défaut et les champs de formulaire suivants: "pwd", "pass", "mot de passe". Si vous avez activé l'enregistrement des champs de formulaire dans le journal (l'option Enregistrer les champs de demande est activée) et que vous utilisez un plug-in qui génère un formulaire de connexion, comme le font certains plugins d'adhésion ou de formulaires de connexion contextuels, vous devez ajouter le nom du formulaire de mot de passe champ (s) dans le champ Masquer ces champs de formulaire sur la page des paramètres de l'inspecteur de trafic.

Inspecteur de la circulation et enregistrement comment

10. Activer l'envoi d'adresses IP malveillantes au développeur du plugin

Laissez l'équipe de plugins améliorer les algorithmes de sécurité dans le plugin et optimiser ses performances afin d'améliorer constamment la protection de votre site Web. Accédez aux Paramètres principaux , sous la section Activité, cochez la case Connexion Cerber Lab . Pour une meilleure sécurité, définissez le protocole Cerber Lab sur HTTPS. En savoir plus sur Cerber Lab .

11. Définir des notifications sur les événements

Si vous souhaitez garder un œil sur une activité spécifique ou être averti lorsqu'un utilisateur s'est enregistré ou connecté à votre site Web, filtrez une activité spécifique dans l'onglet Activité et cliquez sur le lien S'abonner. En savoir plus: notifications WordPress simplifiées .

Vous avez une question ou avez un problème?

"Obtenez

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.