Mesures de sécurité OBLIGATOIRE pour WordPress sur nos serveurs

1

Ce n'est pas un secret, les sites wordpress subissent des attaques multiples et de plus en plus volumineuses causant l'indisponibilité de vos sites (conception URL unique de page de connexion de wordpress), mais aussi causant des problèmes parfois aux serveurs. 

Notre système Ddos est efficace jusqu'à un certain point de sensibilité. Vous êtes déjà protégé par le serveur sur le XMLRPC entre autres et vous n'avez rien à faire sur ce dernier point ! :
https://support.yoorshop.hosting/knowledgebase/1207/Protection-WordPress-xmlrpcphp.html

 Nous avons mis en place par défaut une limitation par 2-3 requêtes/ 30 secondes sur la page wp-login.php (ceci décourage les tentatives répétées). Si cette page de login n'est pas accessible et montre un code 429  à intervalle de 1-2 minutes, avec notre message dédié, cela veut dire qu'il y a des tentatives d'accès nombreuses...

Ensuite, vous devez immédiatement installer le plugin suivant 1.

Pour TOUS : vous devez installer ce premier plugin obligatoirement ou activer la fonction similaire dans un plugin de sécurité globale:

1. Protection wp-login.php ( OBLIGATOIRE)
Le meilleur moyen de contrer ceci est de renommer l'URL de l'administration en utilisant un plugin tel que :
https://wordpress.org/plugins/wps-hide-login + pare-feu basique (voir onglet IDS firewall avec blocage pays si désiré)

Dans votre admin wordpress, extensions puis ajouter en haut, tapez wps hide login, puis installer, puis activer puis settings, puis tout en bas de la page donnez le nouveau login désiré, puis sauvegardez !

Au choix, il y a d'autres éditeurs si besoin : https://wordpress.org/plugins/search/hide+login/

NB : Les plugins anti-force brute sont inutiles contre ce problème précis, car les robots persistent en revenant soit plus tard ou en changeant d'IP !!!


2. Pare-feu ( Facultatif)
Ces plugins dupliquent une partie de ce dont nous vous protégeons déjà au niveau serveur.
Ceci nécessite une configuration, en plus ceci bouscule votre base de données... alors attention !
Nous recommandons celui qui est le meilleur à notre connaissance car il protège des injections, et de différentes petites attaques, vous devrez régler/activer certaines fonctions :
https://wordpress.org/plugins/ninjafirewall/
Une fois installé, il faut vérifier quelques réglages importants :

Firewall protection : enabled
Enable FileGuard : enabled
Updates : yes daily

Moins bons :
https://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ 
https://fr.wordpress.org/plugins/wordfence/ 

(Nous vous protégeons déjà contre de multiples attaques comme xss, injection sql, bots, anti-failles php. Ne faites pas de la sur-sécurité, cela peut casser votre site web)



3. Plugin Anti-Ddos (Optionnel, pas obligatoire si vous n'êtes pas attaqué) Les autres plugins de sécurité n'ont pas non plus cette fonction précise en général...
Voyez vos stats par awstats de votre cpanel, les hits/visiteurs)
En ce qui concerne le Ddos pur, nous avons trouvé un plugin spécifique pour les Ddos avec limitation par IP (ceux sans tentative d'accès à votre admin, et qui veulent saturer votre site, et donc notre serveur...) : https://wordpress.org/plugins/wpantiddos/ 
Dans un premier temps laissez les réglages par défaut, et cette variable peut être augmenté si jamais des utilisateurs voient illégitimement un message de blocage : 'Maximal Hits count for GET requests (per 1 seconds)'
Ajoutez bien les quelques lignes de code suggérés dans la configuration du plugin dans wp-config.php afin d'avoir de l'éfficacité.
Vous verrez ensuite dans la section "Erreurs" de votre cpanel tous ceux qui ont été bloqués...
Si jamais des attaques persistent rendant votre site indisponible, changez les réglages :
Maximal Hits count for GET = 2
Minimal Seconds timeout = ANY
(Lisez la documentation si besoin : wp-content/plugins/wpantiddos/Documentation)
Au contraire, si il est trop sensible et cause des soucis dans des fonctions de l'administration, élargissez les réglages....

NB :
Nous vous protégeons déjà au niveau serveur contre de multiples failles XSS/injections SQL, et robots... Faire de la sur-sécurité peut causer des dysfonctionnements à votre site web...