Posted By Gregory

Premiers pas avec WP Cerber Security

Pas de soucis. La sécurité de WordPress n'est plus sorcier.


English version: Getting Started with WP Cerber Security


Une fois que vous avez installé et activé le plugin , il charge un ensemble de paramètres essentiels. Ils permettent à WP Cerber de protéger efficacement votre site Web. Néanmoins, pour tirer le meilleur parti de WP Cerber et protéger WordPress de la manière la plus efficace, vous devez configurer le plugin de manière réfléchie.

1. Assurez-vous que Cerber détecte correctement les adresses IP

  1. Ouvrez la page Quelle est mon adresse IP dans un onglet de navigateur (fenêtre) et la page d'administration des listes d'accès sur votre site Web dans un autre onglet de navigateur (fenêtre).
  2. Comparez l'adresse IP sur la page Quelle est mon adresse IP à l'adresse IP sous l'étiquette Votre IP sur la page d'administration des listes d'accès.
  3. Vous devriez voir deux adresses IP identiques. Si vous voyez deux adresses IP différentes, vous devez cocher Mon site est derrière un proxy inverse dans les paramètres principaux du plugin et répéter les étapes ci-dessus.
  4. Si vous voyez toujours deux adresses IP différentes et que le site Web n'est pas derrière un proxy, suivez ces instructions : Résolution du problème avec la détection d'une adresse IP incorrecte
  5. Une étape de plus si votre WordPress est sous Cloudflare

2. Activer le chargement du plugin en mode Standard

Accédez aux paramètres principaux et définissez le paramètre Charger le moteur de sécurité sur le mode standard .

3. Assurez-vous de recevoir des notifications par e-mail

Lorsque vous activez le plugin, il envoie un e-mail de bienvenue à l'e-mail de l'administrateur du site Web. Si vous n'avez pas reçu l'e-mail de bienvenue, assurez-vous que l'adresse e-mail que vous voyez dans l'onglet Notifications est correcte et que les e-mails du plug-in ne vont pas dans le dossier spam. Si vous n'avez pas reçu l'e-mail de bienvenue, vous ne recevrez probablement pas d'autres notifications importantes. Vous pouvez saisir d'autres adresses e-mail dans le champ de texte Adresse e -mail. Pour tester la diffusion, cliquez sur n'importe quel lien Cliquez pour envoyer le test .

Lire la suite : Comment configurer les notifications mobiles sur votre smartphone

4. Activez votre page de connexion et d'inscription personnalisée

Pour masquer la page de connexion WordPress wp-login.php par défaut des attaques automatisées et des enregistrements de spam, spécifiez votre propre URL de connexion personnalisée (page de connexion) et désactivez wp-login.php. Remarque : Si vous utilisez un plugin de mise en cache (comme W3 Total Cache ou WP Super Cache), vous devez ajouter votre URL de connexion personnalisée à la liste des pages à ne pas mettre en cache.

Comment configurer une URL de connexion personnalisée pour WordPress

5. Ajoutez l'adresse IP de votre domicile ou de votre bureau à la liste d'accès IP blanche

Si vous travaillez à domicile ou au bureau sur un ordinateur avec une adresse IP statique, il est raisonnable d'ajouter cette adresse IP (ou l'ensemble du réseau de l'entreprise) à la liste d'accès IP blanche. Vous pouvez atteindre deux objectifs. Il vous empêche d'être verrouillé par hasard sur votre site Web et vous permet de restreindre l'accès à XML-RPC, à l'API REST et à d'autres parties vitales de WordPress.

Lire la suite : Comment utiliser les listes d'accès pour WordPress

6. Activer la protection anti-spam

Le moteur anti-spam de Cerber est compatible avec la plupart des constructeurs de formulaires WordPress et capable de protéger pratiquement n'importe quel formulaire. Sur la page d'administration anti-spam , activez toutes les fonctionnalités nécessaires dans la section du moteur anti-spam Cerber . Une fois que vous avez activé l'anti-spam, assurez-vous que les formulaires de votre site fonctionnent normalement. Si certaines des fonctionnalités du site Web cessent de fonctionner, activez Utiliser des politiques moins restrictives (autoriser AJAX) .

Enfin, laissez le plugin nettoyer le gâchis avec les commentaires de spam. Choisissez de refuser complètement les commentaires de spam ou de les marquer uniquement comme spam . Activez le déplacement automatique des spams vers la corbeille.

7. Restreindre l'accès à l'API REST et XML-RPC

  1. Accédez à la page d'administration du durcissement .
  2. Cochez Désactiver l'API REST . Spécifiez les exceptions d'espace de noms pour l'API REST si nécessaire. Par exemple, si vous utilisez Contact Form 7, l'espace de noms est contact-form-7 , et pour Jetpack c'est jetpack .
  3. Cochez Autoriser l'API REST pour les utilisateurs connectés si vous souhaitez autoriser l'utilisation de l'API REST pour tout utilisateur WordPress autorisé sans limitation.
  4. Cochez Disable XML-RPC si vous n'utilisez pas le plugin Jetpack. Si vous utilisez XML-RPC à partir d'hôtes spécifiques uniquement, ajoutez leurs adresses IP à la liste blanche d'accès IP .

Lire la suite : Restreindre l'accès à l'API WordPress REST

8. Spécifiez une liste de noms d'utilisateur interdits

Rendez-vous sur la page d'administration du plugin Users et, si votre liste est toujours vide, il est conseillé de mettre sur cette liste les noms d'utilisateurs suivants : admin, administrator, manager, editor, user, demo, test .

En savoir plus sur les noms d'utilisateur interdits

9. Activer l'authentification à deux facteurs

Pour protéger les comptes des utilisateurs et empêcher la prise de contrôle de compte, activez l'authentification à deux facteurs. Il fournit une couche de sécurité supplémentaire nécessitant un deuxième facteur d'identification au-delà d'un simple nom d'utilisateur et mot de passe WordPress.

Lire la suite : Authentification à deux facteurs pour WordPress

10. Activer le masquage des champs de formulaire pour Traffic Inspector

Si vous avez activé l'enregistrement des champs de formulaire dans le journal ( Enregistrer les champs de demande est activé) et que vous utilisez un plug-in qui génère le formulaire de connexion pour votre site Web, vous devez ajouter le nom du champ de formulaire de mot de passe dans Masquer ces champs de formulaire sur la page des paramètres de l'inspecteur de trafic. WP Cerber masque toujours le champ mot de passe sur le formulaire de connexion WordPress par défaut et les champs de formulaire suivants : 'pwd', 'pass', 'password'.

Inspecteur de trafic et journalisation comment

11. Activer l'envoi d'adresses IP malveillantes au laboratoire de Cerber

Laissez l'équipe du plugin améliorer les algorithmes de sécurité dans le plugin et optimiser ses performances. Accédez aux paramètres principaux , sous la section Activité, activez la connexion Cerber Lab . Pour une meilleure sécurité, définissez le protocole Cerber Lab sur HTTPS. En savoir plus sur Cerber Lab .

12. Activer les alertes mobiles et les notifications par e-mail

Si vous souhaitez garder un œil sur une activité spécifique ou être averti lorsqu'un utilisateur s'est enregistré ou connecté à votre site Web, filtrez une activité spécifique dans l'onglet Activité et cliquez sur Créer une alerte . En savoir plus : Notifications WordPress simplifiées .

Vous avez une question ou besoin d'aide avec WP Cerber ?

"Obtenez

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.