Transcription
1. Comprendre la sécurité WordPress: Bonjour, je m'appelle David et bienvenue. C' est un cours tout sur la sécurisation d'un site WordPress. Nous allons couvrir problèmes
les plus courants et facilement évitables qui amènent les gens à faire pirater leur site et nous allons également couvrir ce que cela, « piraté » chose signifie réellement dans la pratique. Qui suis-je ? Mon nom est David, comme je l'ai mentionné, nom complet David Hayes. Vous pouvez me trouver sur Twitter, etc comme David B Hayes parce que David Hayes est un nom assez commun au moins en Amérique. Qui je suis, je dirige un site WordPress qui est tout sur la création de meilleurs développeurs WordPress. Ce n'est pas un cours sur le développement WordPress cependant. J' ai créé un cours tout sur le développement WordPress sécurisé, mais c'est ce qu'on appelle WordPress Security of Confidence et il couvre bien plus que ce cours peut ou devrait, étant donné que nous visons pour une heure ici. J' ai utilisé WordPress depuis 10 ans et j'ai développé professionnellement dans le commerce électronique et l'adhésion et ainsi sur les sites depuis plus de cinq, je n'ai jamais eu un site pris en charge ou piraté, comme nous l'avons mentionné plus tôt et c'est parce
que des choses que je vais vous enseigner dans ce cours. Pour ce cours, vous aurez besoin d'un site WordPress que vous souhaitez sécuriser. Notre projet sera la sécurisation d'un site WordPress existant. Il y a bien sûr beaucoup de choses sur la façon de mettre en place un. Donc, nous allons juste parler maintenant que vous en avez un, comment le rendre encore plus sûr et c'est vraiment la raison pour laquelle suivre ce cours. Chaque site WordPress est en danger en ligne, je ne dis pas que pour vous effrayer juste pour être clair sur la réalité réelle de la situation. En tant que tel, nous allons expliquer pourquoi c' est le cas et nous allons ensuite nous pencher sur la façon dont vous pouvez atténuer ce risque. Nous allons parler de choses comme la sécurité des utilisateurs avec des mots de passe, et nous assurer que les utilisateurs ont l'accès dont ils ont besoin et pas plus. Nous allons également parler des sauvegardes, de la façon de les obtenir, et de leur importance. Nous allons vous parler de savoir ce que WordPress Plugins vous voulez réellement utiliser. Il y en a tellement, mais il est difficile de savoir à quoi faire confiance et les gens s'inquiètent beaucoup de la sécurité. Il plugins et nous allons couvrir cela en détail. Nous allons également parler de pourquoi il est si important de mettre à jour plugins et tout le reste dans WordPress et enfin, nous allons aborder brièvement les deux plugins de sécurité, qui sont de grande catégorie dans WordPress, et le genre de sujet de la façon d'obtenir cette icône de verrouillage vert que HTTPS configuration sur un site WordPress. Pour ces deux dernières choses, nous ne pouvons pas entrer dans les détails exhaustifs, mais nous devrions vous donner une très bonne base pour savoir comment
penser à ces choses et à quoi cela ressemblerait. Donc avec ça, nous sommes prêts à commencer. Je suis impatient de le faire.
2. Pourquoi votre site WordPress doit être fait: Dans ce module, nous allons expliquer pourquoi votre site WordPress est en danger, même si vous préférez penser que ce n'est pas le cas. La raison pour laquelle je dis ceci est que j'entends beaucoup de gens quand il s'
agit de sécurité s'en
excuser, y penser parce qu'ils sont comme, eh bien, mon site est juste un passe-temps ou pendant que je reçois juste pour les visiteurs un mois. Quoi qu'il en soit, il y a tellement de raisons pour lesquelles les gens essaient d'
échapper à la responsabilité de garder leur site sécurisé, mais ils ne sont tout simplement pas viables. Ils ne sont pas raisonnables, ils ne sont pas exacts, car il y a tellement de raisons différentes pour lesquelles un site est compromis et très peu d'entre eux ont à voir avec le nombre de visites que vous obtenez ou l'importance votre site pour vous pour d'autres personnes, ils sont tout simplement à côté de la question. Il y a tellement de raisons que les gens veulent prendre en charge votre site WordPress, ou n'importe quel ordinateur vraiment, mais cela est spécifique au site WordPress. L' un d'eux est qu'à cause de WordPress est public, c'est sur Internet. Les gens vont essayer de faire ce qu'on appelle les téléchargements de drive-by, où fondamentalement ils essaient juste de pousser les logiciels malveillants, les virus, les mauvaises choses, les vers, beaucoup de termes différents que les gens utiliseront. Ils essayent juste de pousser de mauvaises choses sur les gens. Ils veulent n'importe quel site sur Internet qui peut pousser de mauvaises choses aux gens et un site WordPress fera l'affaire. Ils pourraient aussi essayer de faire ce qu'on appelle une attaque de rançongiciels, où ils prennent le contrôle de votre site et ils sont comme, eh bien, nous
donnerons 0.04 Bitcoins et nous le rendrons. Peu importe ce que c'est. C' est une attaque très courante, surtout sur les ordinateurs personnels, mais c'est aussi quelque chose qui peut et pourrait bien vous arriver sur un site WordPress. Certaines personnes veulent juste prendre le contrôle d'un site WordPress pour montrer qu'ils peuvent, qu'ils ont été en mesure d'obtenir une jambe sur quelqu'un en prise de contrôle. C' est vraiment tout ce qu'ils recherchent. Tout site fera l'affaire, ils pourraient vouloir réellement utiliser vos ressources de serveur pour extraire des pièces de crypto comme Bitcoin ou Ethereum. Il y a beaucoup de pièces de crypto, elles sont évidemment bien au-delà de notre sujet, mais essentiellement vous explorez des pièces de crypto sur n'importe quel matériel informatique. Un serveur qui exécute un site WordPress est le
matériel informatique , donc ils sont heureux de prendre le relais pour l'utiliser pour cela. Ça sonne une attaque super commune, mais ça arrive. Ils voudront peut-être emprunter le classement de votre moteur de recherche. C' est là que ça compte. Un peu, ton prestige. Mais si votre site est bien connu de Google, il est très agréable pour un pirate de pouvoir emprunter cela en glissant quelques liens inoffensifs dans votre texte. Par exemple, ce n'est pas une attaque super commune pourrait totalement se produire, faire des déclarations politiques. C' est certainement, je pense que j'ai vu où cette Armée syrienne libre ou quelques hackers russes ou tout ce qui veut juste prendre le contrôle de certains sites et dire, « hé personne, nous étions ici et nous avons de l'importance politique, vous devriez faire attention à nous. » C' est comme montrer vos compétences, mais à un niveau différent pour une raison différente. Ils voudront peut-être simplement conserver votre site pour une utilisation future. C' est sous-estimé. Mais les sites de backdooring où vous avez accès à eux mais que vous ne les exploitez pas actuellement est très commun. L' un des moyens les plus courants et pernicieux qu'un site est pris en charge. se peut qu'ils souhaitent simplement diffuser des annonces dans votre compte. Si vous avez un site avec un trafic élevé, il vaut la peine de simplement prendre le relais pour obtenir quelques 1000$ d'un fournisseur de publicité. Ils peuvent vouloir envoyer du spam avec votre compte. La plupart des sites WordPress ont des e-mails connectés
d'une manière que WordPress peut envoyer des e-mails et, en tant que tel, s'ils ne pouvaient pas obtenir d'autres e-mails pour sortir de cette boîte, c'est utile pour eux. Le dernier est qu'ils veulent utiliser votre serveur dans le cadre d'un botnet. La raison pour laquelle je veux en parler car les botnets sont importants dans les deux sens. Qu' est-ce qu'un botnet ? En général, un botnet est juste un réseau d'ordinateurs que quelqu'un, une équipe ou un seul mauvais acteur contrôle. Les ordinateurs personnels, Windows, les ordinateurs qui ont été repris peuvent faire partie d'un botnet. Donc peut effectivement acheté des ordinateurs commerciaux que quelqu'un obtient juste d'Amazon ou Google ou qui que ce soit. Mais aussi les sites Web WordPress. Généralement, vous voulez juste penser à un botnet comme un réseau d'ordinateurs qui peut être utilisé par une mauvaise personne pour faire de mauvaises choses. Ajouter votre site WordPress à un botnet est vraiment utile. Mais l'autre côté du botnet qui est vraiment important quand on pense à la sécurité WordPress est que, la façon la plus courante que les sites WordPress sont attaqués est que ces botnets qui
existent qui peuvent ou ne peuvent pas inclure d'autres WordPress sont activés sur les sites WordPress, afin d'entrer dans leurs comptes ou d'utiliser n'importe quelle méthode de compromis qu'ils veulent essayer de prendre le contrôle. La plupart des prises de contrôle WordPress effectuées par des botnets, pas des humains. Il peut arriver que l'utilisation du feu Steve ou Sousa qui que ce soit, et ils sont vraiment en colère contre vous et ils décident utiliser leur compte existant ou leurs compétences de piratage pour revenir à vous personnellement face à face en devinant que votre mot de passe est votre adresse, cela arrive. Ce n'est pas comme si ça ne pouvait jamais ou ne se produisait pas. Mais à l'échelle des sites WordPress, nous pouvons l'arrondir presque à zéro. Il est presque garanti que c'est ce qui se passe à la place est juste tellement d'ordinateurs tourbillonnants sont envoyés sur tant de sites WordPress et finalement vôtre est pris au milieu et compromis. Il y a vraiment deux méthodes très courantes de prise de contrôle pour le site WordPress. Où un botnet est défini contre un site WordPress et ce site WordPress est compromis en raison de
l'une des nombreuses attaques que le botnet essaie. chose la plus courante que je dirais, le plus facile pour quelqu'un à faire contre la plupart des sites WordPress est que vous avez juste un logiciel obsolète avec des exploits connus. Vous exécutez soit une ancienne version de WordPress, soit une ancienne version d'un plug-in. Gravity Forms avait un gros exploit.
3. Réglage de votre mot de passe WordPress: Donc, vous venez de vous connecter à votre site WordPress. Comment modifier mon mot de passe ? C' est la première question que nous allons aborder rapidement. Dans la barre latérale gauche, je veux aller de bas aux utilisateurs, puis je vais cliquer sur Votre profil. Là, en bas, je trouverai cette boîte de gestion de compte, Nouveau mot de passe. Ce qui est vraiment cool à propos de WordPress aujourd'hui, c'
est qu'il ne vous donne plus juste un champ vide. Cela vous fait générer un mot de passe qu'il considère comme fort. Il le considère comme fort parce qu'il est très aléatoire et a un grand espace de caractères. C' est-à-dire qu'il contient des symboles et des majuscules, lettres minuscules et des chiffres. Compte tenu de cela, c'est un bon mot de passe. La chose difficile à propos d'un mot de passe comme celui-ci pour la plupart des gens est de s'en souvenir. Dans la prochaine vidéo, nous vous expliquerons pourquoi vous voulez probablement un gestionnaire de mots de passe. Si vous n'êtes pas en mesure de simplement dire oui, je vais utiliser ce mot de passe que WordPress a généré, qu'il dit qu'il est fort, vous devez penser à la façon de faire un mot de passe. Le mot de passe est un mot de passe terrible. Certaines personnes aiment faire ces substitutions de personnages où elles vont être comme : « Eh bien, je peux faire ça et ça », mais vous avez à peine augmenté la sécurité de ça. Même si vous avez fait un nombre vraiment aléatoire deux ici, WordPress vous indique correctement que c'est encore faible. Votre objectif est de faire en sorte que cette boîte dise que votre mot de passe est fort. Les deux recommandations les plus courantes que je pense sont en fait assez solides sont, si vous tapez simplement dans un sens littéral, c'est une phrase littérale, c'est un mot de passe assez fort en général, juste parce qu'il finit par être assez long. Les humains ont un moment assez facile de se souvenir des phrases et si vous mettez des espaces, c'est un personnage spécial. Donc, même toutes les minuscules, pas de ponctuation, qu'il n'y a aucune raison de l'exclure dans un champ de mot de passe comme les presses de mots, vous obtenez toujours un assez bon mot de passe. L' autre façon est ceux comme le fait WordPress, mais ils sont plus difficiles à retenir. Il y a aussi la façon, l'option de trouver un moyen de mémoriser une phrase mais de l'encoder en plusieurs types de symboles. Certains disent des choses comme, « Il y avait neuf chevaux » et ils se souviennent qu'il y a un mot qu'ils écrivent toujours. Étaient, obtient abrégé comme R capitalisé, quatre chevaux, quatre est juste le chiffre, chevaux devient mot majuscule. Si vous venez avec un algorithme comme celui-ci, il est assez facile pour vous de vous rappeler des phrases que nous sommes assez bons tant qu'humains et de le transformer en quelque chose qui est un peu plus de sécurité que cela, mais en général, vous voulez juste avoir un bon mot de passe sur votre site WordPress. Les gens recommandent que vous n'ayez pas de compte étiqueté admin, mais je pense qu'un meilleur mot de passe est tellement
plus important que si vous avez ou non un compte qu'un botnet va deviner comme admin. Certainement, avoir un bon mot de passe sur votre site WordPress. Le mot de passe n'est tout simplement pas acceptable et ni la bière, ni le whisky, ni les Broncos de Denver ou les Bulls de Chicago ou quelle que soit votre équipe sportive préférée est ce. Vous devez avoir un bon mot de passe et nous allons parler de pourquoi les gestionnaires de mot de passe aident avec cela, mais venez avec une phrase et l'utiliser sur votre site WordPress, et ne l'utilisez nulle part ailleurs, et vous serez bien en avance sur la jeu. Une fois que vous avez défini ce mot de passe, vous pouvez cliquer sur « Mettre à jour le profil » et il changera ce mot de passe pour vous et assurez-vous de vous en souvenir. Mettez votre gestionnaire de mots de passe, mettez-le dans votre tête, et vous serez prêt. C' est juste une énorme victoire qui est très facile à obtenir.
4. Managers mots de en bref: J' utilise un gestionnaire de mot de passe appelé 1Password et il a une extension de navigateur qui me permet de me connecter rapidement un site comme mon site WordPress juste ici sur la gauche. Ce qui est vraiment impressionnant et génial,
c'est que je n'avais pas besoin de savoir quel était ce mot de passe. Le mot de passe pour ce site que j'utilise, titre d'exemple ici, à
titre d'exemple ici,
je vais vous le montrer très rapidement, donc je vais le changer, mais il n'y a aucun moyen dans ma tête comment me souvenir de ce mot de passe parmi les milliers d'autres mots de passe que je avoir dans ma vie. Mais parce que je connais le seul mot de passe que j'utilise pour 1Password, je peux avoir un mot de passe unique très similaire à celui-ci sur pratiquement tous les sites que j'utilise. C' est la grande puissance d'un gestionnaire de mots de passe. 1Password est juste l'un d'entre eux, le LastPass, KeePass, etc., Dashlane, vient à l'esprit très rapidement. Il y a beaucoup et beaucoup de gestionnaires de mots de passe. En raison du risque d'un compromis à dire, Facebook ou un site que vous deviez mettre un identifiant, utiliser Stack Overflow ou des photos de stock ou quoi que ce soit, n'importe lequel de ces choses, un compromis de l'un de ces sites, où ils stockaient mal les mots de passe, ce qui arrive malheureusement, peut compromettre votre mot de passe WordPress parce que vous pourriez utiliser le même mot de passe là-bas et une fois qu'il est sur une liste, c'est de mauvaises nouvelles. Avoir un mot de passe vraiment unique sur chaque site est génial. La façon la plus simple de le faire est de ne pas avoir à se souvenir d'eux en utilisant un gestionnaire de mots de passe. Vous n'avez pas besoin d'utiliser celui-ci et vous n'avez pas absolument besoin de les utiliser, mais je pense qu'il est si bénéfique de savoir que chaque site WordPress que vous en avez quelques-uns, si comme moi, vous en avez eu beaucoup,
peut avoir son propre mot de passe unique et donc pas de compromis si l'un d'entre eux va compromettre les autres au niveau du mot de passe. C' est l'une des choses les plus faciles que vous pouvez faire pour rendre votre site plus sécurisé. Je vous encourage certainement à le faire ou au moins réfléchir à la raison pour laquelle vous devriez le faire. Ils ont généralement un coût par an pour les fonctionnalités de naufrage et ce genre de choses, mais ils sont généralement assez raisonnables quand vous considérez le coût d'un outil commun que vous utilisez en tant que professionnel, comme WordPress. Ils sont juste si bon marché relativement que c'est un bon choix évident, donc je vous recommande vraiment d'obtenir un gestionnaire de mots de passe et c'est la logique.
5. Roles et capacités de WordPress: Nous allons parler de la façon dont vous devriez donner à votre amie Susan, appelons-la, accès à votre site. Susan veut écrire un article pour vous sur le même sujet que votre site, ou elle veut vous aider avec des trucs techniques, ou elle veut juste, vous vouliez qu'elle lise tout le contenu de votre site parce qu'elle ne comme le référencement ou tout simplement la relecture, quoi que ce soit. Il y a une ou deux façons différentes de penser à donner à Susan l'accès. La première est qu'ils ont un compte et qu'ils donnent à Susan l'accès au compte. Pour des raisons de sécurité, je pense que c'est la pire situation possible. Il y a cette idée appelée le principe du moins privilège et le principe du moins privilège, aka principe du moins accès est une autre chose que je l'appelle souvent un principe de moindre autorité, est l'idée que vous voulez pour ne donner aux gens qu'autant d'informations qu'ils ont besoin. Par exemple, ici, aux États-Unis, il existe cette chose appelée Zone 51, qui est un site militaire qui a peut-être à voir avec des extraterrestres, nous ne savons pas. Le fait est qu'on n'a pas besoin de savoir. C' est tout le principe fondateur de ce projet et ce genre de pensée de sécurité est pourquoi seuls le président et certaines autres personnes qui ont besoin de savoir à ce sujet ou quoi que ce soit d'autre arrivent à le voir. C' est pourquoi la classification se fait à l'intérieur des agences de renseignement. WordPress traite de la même chose via ce qu'il appelle les rôles et les capacités des utilisateurs. Si je vais à mon écran d'ajout d'un nouvel utilisateur, je vois en bas de cette liste déroulante. Il est important que vous choisissiez de bons noms d'utilisateur et que vous donniez à Susan un bon mot de passe, mais ces rôles sont vraiment la chose importante que je veux couvrir ici. Sur WordPress.org, je peux voir ce rôle dans les capacités, URL, Je suis juste à Codex dot WordPress.org outils barre oblique
et capacités, et il a ce tableau vraiment, vraiment utile. Nous pouvons ignorer en toute sécurité le compte super admin parce que cela n'existe que pour WordPress multi-site, ce qui est une chose que vous n'avez pas probablement ou avez besoin de vous inquiéter. Ce qui est vraiment important, c'est que vous pouvez voir qu'un rôle d'administrateur, qui est ce que mon utilisateur actuel est et ce que la plupart des gens
auront quand ils mettent en place un site WordPress a la capacité d'activer, supprimer, plugins et thèmes, il peut importer et exporter le site, il peut supprimer des utilisateurs, il peut faire une tonne de choses. Susan probablement, moins qu'elle soit comme une développeur que vous embauchez, Susan n'a probablement pas besoin de tout cet accès. Elle a probablement juste besoin de gérer vos commentaires. C' est une chose commune sur un site vraiment populaire. Quelqu' un avait juste besoin d'y aller et d'approuver manuellement les commentaires sur une base régulière. Si Susan a juste besoin de modérer les commentaires, un rôle d'éditeur lui suffit parce qu'elle n'a pas besoin de la possibilité de mettre à jour vos thèmes et plugins, mais n'a pas la capacité de modérer les commentaires. Dans cette liste déroulante, vous allez choisir l' éditeur si c'est le rôle dont Susan aura besoin pour vous. Au fur et à mesure que nous descendons, nous sommes de plus en plus contraints. Un auteur a essentiellement la capacité de créer complètement un post, y compris mettre de nouvelles images et toutes ces choses là-dessus. Auteur est génial si vous avez besoin de donner un accès à quelqu'un pour créer une publication, un contributeur peut modifier et supprimer des publications. Mais il y a ce hoquet bizarre dans l'éditeur WordPress où un contributeur ne peut pas télécharger des images et alors un abonné est ce dont vous avez besoin avec quelqu'un a juste besoin pour être en mesure de se connecter à votre site WordPress mais a besoin d'avoir aucun autre accès. Les plugins d'adhésion sur WordPress créent presque toujours des comptes d'abonné pour les gens parce qu'aucun des rôles WordPress communs ils ont besoin, ils ont juste besoin de ce compte, puis le plugin d'adhésion ajoute sur d'autres fonctionnalités là-bas. Lorsque vous avez besoin de collaborer avec quelqu'un, donnez-leur le rôle correct, rôle d'utilisateur
WordPress pour eux. cette façon, quand vous n'avez plus besoin d'eux pour avoir accès, nous pouvons simplement les supprimer. De cette façon, vous savez qu'ils ne peuvent faire que ce que vous voulez qu'ils fassent. C' est vraiment un principe assez simple, mais c'est super, super impact en ce qui concerne la sécurité, parce que si Susan change son mot de passe pour être mauvais, vous devriez certainement en donner un bon pour commencer. Vous voulez limiter le montant des dommages que quelqu'un qui a accès au compte de
Susan pourrait faire et vous le faites en créant le rôle approprié pour eux.
6. Sauvegardes - comment les créer et pourquoi: Les sauvegardes sont super importantes. La raison pour laquelle ils sont si importants est parce que du point de vue de la sécurité, si vous avez été compromis, vous avez un besoin de ce que j'appellerais peut-être la sécurité du temps
et la sauvegarde fournit la sécurité du temps parce que vous avez une sauvegarde à partir d'un jour ou d'une semaine il y a, vous avez un certain temps de sécurité. C' est en partie la raison pour laquelle vous voulez ce que les gens appellent
des sauvegardes de roulement où vous conservez plusieurs versions au fil du temps. Time machine célèbre le fait sur un système d'exploitation Mac. Il y a beaucoup d'autres programmes qui le font sur différents environnements et les hôtes Web en fournissent généralement un. Je crois que le terrain du site avec lequel j'ai la plupart de mes sites hébergés. Je crois qu'ils en stockent un par semaine pendant 30 jours et qu'ils en stockent un par jour pendant une semaine. C' est vraiment bon parce qu'il vous donne l'avantage de si quelque chose s'est passé sur une semaine un aller, vous avez encore une sauvegarde, mais il peut ne pas être aussi bon que spécifiquement celui-là. Les gens peuvent compter sur leur hôte en avoir un mais je crois très fermement dans l'idée que si vous le soutenez à un endroit, vous en avez une copie. Si vous le sauvegardez à deux endroits, vous avez vraiment une vraie sauvegarde. C' est la personne paranoïaque en moi. J' ai eu l'expérience de mauvaises sauvegardes quand je suis allé à la restauration et ce n' parce que j'avais cette seconde sauvegarde disponible que cela m'a sauvé. Certainement, c'est la logique de ça. Personnellement, je suis en cours d'exécution plugin sur ce site appelé Backup Buddy, qui je pense est un très bon service de sauvegarde payé pour WordPress. D' autres qui viennent à l'esprit immédiatement ou voltpress/wordpress.com, jetpack. C' est trois marques qui signifient la même chose sous le capot. Il y a aussi un coffre-fort de blog dont j'ai entendu beaucoup de bonnes choses récemment. Mais si vous ne cherchez pas à payer, il y a un bon nombre de plug-ins de sauvegarde dans le dépôt de plug-in gratuit WordPress qui fonctionnent. Updraft avantages quand j'ai eu seulement de bonnes expériences avec où fondamentalement vous pouvez le configurer pour pousser vos données à Dropbox ou Google Drive ou Amazon S3 ou quelque chose comme
ça et puis vous l'avez créé votre roulement sauvegardes et magasins de fichiers que vous payez probablement déjà. Si vous payez pour Dropbox ou Google Drive, vous avez beaucoup d'espace là-bas par rapport à un site WordPress, qui est généralement un grand WordPress dans mon expérience, est d'environ cinq concerts et il ne devient que grand si vous mettez beaucoup de les médias en elle ou c'est assez vieux. Il y a des tonnes d'autres options cependant et honnêtement,
je n'ai aucune expérience avec aucune d'entre elles, mais je recommande vraiment que tout d'abord, vous voulez vous assurer que votre hébergement fournit une sauvegarde. Deuxièmement, vous voulez exécuter une prise de sauvegarde. L' autre avantage des plugins de sauvegarde est certains d'entre eux rendent assez facile de
migrer des sites autour si vous faites une formation de développement WordPress de ces choses. Non pas que je m'attends forcément à ce que vous le fassiez. Je pense juste que les sauvegardes sont super importantes que vous
ayez ou non une utilisation secondaire pour eux au-delà. Je peux le restaurer lorsque mon site tombe en panne. C'est ça.
7. Signaux de confiance pour les Plugins: Là où nous nous sommes arrêtés dans notre discussion de sauvegarde, c'est regarder les plugins. Une question courante est, comment puis-je savoir qu'un plugin est sécurisé ? Malheureusement, il n'y a pas moyen qu' une personne non technique puisse facilement juger une sécurité de plugin WordPress. Le code peut être jugé par des experts qualifiés, mais si vous n'êtes pas familier avec PHP, par
exemple, il est très difficile pour vous de juger si un plugin est sécurisé ou non. Le meilleur proxy que nous avons pour savoir comment un plugin est sécurisé, est honnêtement sa réputation en général dans l'écosystème. Ce n'est pas un signal parfait. Il est certainement le cas que les plugins très populaires. Je l'ai mentionné, les formes de gravité et le côté de la révolution ou dans quelques autres qui ont eu des problèmes dans le passé où ceux-ci avaient des problèmes. Mais l'un des meilleurs proxies que vous pouvez avoir pour évaluer la sécurité d'un plug-in WordPress où vous ne pouvez pas lire le code pour le juger parce que vous ne
comprenez pas assez bien le code est vraiment cette réputation. Quatre plugins WordPress gratuits qui sont distribués dans le dépôt de plugin WordPress. Ils vous donnent une tonne d'informations utiles ici, dans cette petite boîte en bas. C' est tout ce que l'auteur du plugin crée où ils disent ce qu'est leur plugin et ce qu'il fait. Ce n'est pas de très haute qualité en ce qui concerne l'évaluation de sa sécurité ou de sa réputation, mais cette boîte l'est. Cette note d'étoiles est comme toutes les autres étoiles que vous avez vues sur Yelp ou Foursquare ou n'importe quel système d'évaluation dans le monde. Je juge tout système d'évaluation par étoiles autant par la quantité de répondants que par la qualité d'entre eux. Vous remarquerez que XCloner en bas à droite de mon écran a quatre étoiles et 85 commentaires, alors que UpdraftPlus a cinq étoiles et plus de 2000 commentaires. Je considère cela comme un signal de bonne qualité que beaucoup de gens l'ont examiné et qu'ils y ont beaucoup pensé. C' est deux bonnes choses combinées dans cette petite boîte. La suivante est les installations actives réelles. Chaque site WordPress téléphone efficacement maison au dépôt de plugin WordPress pour poser des questions sur les mises à jour, que nous obtiendrons dans une seconde. Lorsque vous faites cela, WordPress recueille le nombre de personnes qui exécutent activement le plugin. Comme vous êtes déjà familier, vous pouvez avoir un plugin installé dans WordPress mais pas actif. Cela compte les installations actives réelles d'un plugin. Si les gens continuent à le faire,
c' est probablement un bon signe qu'il est bon et qu'il a une bonne réputation. Mise à jour est celui qui est le plus pertinent pour la sécurité car la mise à jour est l'un des meilleurs proxys vous avez pour combien un plugin est activement développé et qu'ils pensent à sa sécurité sur une base continue. S' ils sont mis à jour régulièrement, c'est probablement le cas que s'ils recevaient un rapport d'un problème de sécurité, ils le corrigeraient rapidement. C' est un signal faible parce qu'il y a que je connais et que je
recommande un plugin qui n'a pas été mis à jour depuis cinq ans où j'ai regardé le code, j'ai pensé que c'était très bon et il a toutes les fonctionnalités que j'ai besoin d'avoir. Comme quelqu'un qui ne peut pas aller regarder le code et évaluer sa qualité. Je pense que vous devez vous entraîner sur les proxies comme, cette version
est-elle mise à jour récemment ? Est-ce que cela dit que lui-même est compatible avec les versions de WordPress ? Ceci est auto-déclaré, de sorte que vous pouvez avoir des problèmes d'incompatibilités, même si vous voyez cette coche ici. Mais en général, c'est plutôt bon. Ce sont les principaux signaux que vous pouvez utiliser. L' autre chose, c'est comme nos gens vous le
recommandent en ligne ou en personne. Si vous allez à WordPress meetup, ou si vous allez à une conférence, est-ce que les gens parlent d'un plugin ? S' ils le font, c'est un bon, encore une fois, signal de réputation, qui est notre meilleur proxy en tant que scénaristes sans code pour la qualité d'un plugin. Certains plugins ne sont même pas dans les formulaires de gravité du dépôt WordPress, comme je l'ai mentionné quelques fois, est un plugin de formulaire que les gens aiment qui a une bonne réputation mais n'est pas en fait ici donc vous n'obtenez pas ces signaux de confiance spécifiques disponibles pour vous avec un plugin comme ça. Mais si vous avez entendu des gens vous dire que la forme de gravité est génial, c'est probablement le cas. Vous pouvez compter sur cela aussi. Encore une fois, la réputation est le meilleur proxy que nous ayons lorsque nous ne pouvons pas évaluer la qualité du code. C' est ce que vous tradez et ce qui vous permet d'avoir une certaine confiance que ce plugin est probablement assez bon et va probablement être sécurisé. Si elle est mise à jour récemment, si elle a de bonnes notes, y a de bonnes
chances qu'elle soit maintenue d'une manière que quand quelqu'un dit, j'ai trouvé ce problème bizarre où je peux réellement voir toutes les informations d'identification, ils le corrigeront dans le temps.
8. Mise à jour WordPress - Quoi faire et pourquoi ils comptent: Nous avons parlé des plugins et comment savoir qu'ils sont bons. La prochaine chose dont je veux parler est pourquoi vous devez mettre à jour vos plugins et aussi WordPress lui-même et plus encore. J' ai actuellement, dans cette installation, une version de mise à jour de WordPress, et il est vraiment important que vous gardiez WordPress à jour. Vous remarquerez que je suis sur 4.9.4 et 4.9.4 est une continuation de la série 4.9 de sortie de WordPress. Je pense que quatre était une libération de sécurité et si ce n'était pas trois, deux ou un l'était. Je suis confiant de dire qu'au moins l'un d'entre eux l'était. Vous devez obtenir chacun de ces éléments parce que de petites erreurs sont faites dans le processus d'écriture de code et il est vraiment important que vous mettez à jour en général parce que les gens ont besoin de temps et de capacité pour corriger ces erreurs, et WordPress a, dans les derniers années, a rendu tellement plus facile de mettre à jour ces choses que je ne peux vraiment pas recommander assez. Venir à cet écran, mises à jour du tableau de
bord dans votre barre latérale et mise à jour de WordPress lorsque vous obtenez une nouvelle version disponible. C' est le cas des hôtes comme SiteGround ont maintenant un peu fait une habitude de nous allons toujours garder votre version WordPress ; donc celui-ci, le principal WordPress à jour pour vous automatiquement sans vous demander parce qu'ils comprennent comment important, il est pour la sécurité de non seulement WordPress, votre version spécifique, mais l'ensemble d'Internet qu' il n'y a pas un tas d'installations WordPress obsolètes flottant autour. C' est également important pour exactement les mêmes raisons que vous conservez vos plugins, et dans une moindre mesure parce que les thèmes ont moins d'implications en matière de sécurité, à jour. Exécuter des mises à jour sur cet écran est super facile. Il y a un bouton pour mettre à jour WordPress. Si vous avez une sauvegarde, vous allez probablement être en bonne forme car rarement une mise
à jour de ces choses cassera quoi que ce soit pour vous, mais c'est l'objection la plus courante. Je vais aller de l'avant et appuyer sur Update sur tous ces plugins et ils vont juste courir à travers, WordPress va s'assurer et faire pour vous la partie difficile de télécharger le fichier zip, mettre sur le système de fichiers et tout ce que des trucs. Avec ça, je viens de télécharger six plugins. C' est assez facile à faire, ça ne prend pas beaucoup de temps. Le paranoïaque parmi nous ira à l'avant de notre site et être comme, il semble toujours être le même qu'il était. Mais vous n'avez pas absolument besoin de le faire,
c' est juste quelque chose que le paranoïaque d'entre nous voudra probablement faire de temps en temps. La raison pour laquelle les sauvegardes sont si importantes est précisément pour cette capacité de faire rapidement les mises à jour sans avoir à y penser. C' est pourquoi la mise à jour est si importante et comment le faire en très peu de temps. C' est incroyable l'avenir de WordPress dans lequel nous vivons aujourd'hui. Les applaudissements.
9. Pourquoi / comment visiter votre site WordPress: Donc, l'une des choses les plus sous-commercialisées sur la sécurité de votre site WordPress est simplement ceci. J' ai un site appelé Thoughtful Code et je veux m'assurer qu'il est sécurisé. Donc, je vais à Thoughtful Code, disons que je ne suis pas connecté. Je regarde le site web. Ces pop-ups ou les miens. Je les ai créés et toutes les pages ont l'air bien autrement. Si je vais me connecter, la page de connexion ressemble à ce que je m'attends, et je me connecte, et tout, espérons-le, ressemble à ce que je m'attends. Je vois les plugins que j'ai installés, je vois jet pack que j'ai installé. Je n'ai pas de mises à jour, et je vais bien. Juste faire cela sur une base régulière est l'une des choses
les plus simples que vous pouvez faire pour rendre votre site WordPress plus sécurisé. Nous avons déjà expliqué pourquoi vous devez mettre à jour. Eh bien, quand vous faites cette vérification sur une base hebdomadaire, mensuelle, venez ici et accédez à toutes les mises à jour. Venez ici et assurez-vous que vos sauvegardes sont en cours d'exécution. Venez ici et assurez-vous que rien de bizarre se passe sur vos écrans de paramètres ou il y a une nouvelle chose sous le menu des outils ou quelque chose comme ça. Juste faire ce truc de s'assurer que rien d'étrange n'est arrivé, rien d'inattendu ne se passe sur votre site est si précieux d'un point de vue de, ok, donc quelque chose de mauvais est arrivé. Vous avez une sauvegarde assez récente pour que vous n'ayez pas seulement mauvaises sauvegardes d'un site non sécurisé qui a été compromis d'une manière ou d'une autre. Cela semble si simple qu'on le dit à peine, mais il est si important de simplement vérifier sur un site. Même si c'est quelque chose qui n'est pas au cœur de votre entreprise, si vous vous en souciez, vous avez juste besoin de vérifier une fois de temps en temps, ce qui fait une énorme différence dans la sécurité globale de ce site.
10. Aperçu des Plugins de sécurité: Il y a une grande catégorie de plugins WordPress dont je
pense que nous devons parler en ce qui concerne sécurité WordPress et
c'est ce que je catégoriserais généralement comme plugins de sécurité WordPress. Il existe divers plugins qui vont soit à l'intérieur de WordPress ou que notre couche de service [inaudible] situ s'exécute en dehors de WordPress qui vous donnent des avantages de sécurité supplémentaires au-delà de ne pas faire les erreurs évidentes de ne pas mettre à jour votre WordPress, disons avoir de mauvais mots de passe et ce que vous avez. Beaucoup d'entre eux ont un niveau gratuit, comme je l'ai mentionné dans ce graphique que j'ai mis sur mon écran, presque tous ont un niveau gratuit. En général, vous voulez payer pour certaines fonctionnalités sur certaines d'entre elles. Les meilleurs comprennent tous, avec presque aucune exception, sauf celui-ci est
un son aberrant de plugin de sécurité à part entière et suggère pour les journaux d'audit, qui remontent à cette dernière vidéo. Les journaux d'audit sont excellents si vous n'êtes pas en mesure de vous connecter régulièrement à votre site, cela peut vous donner une idée de ce que chaque utilisateur de votre site entier a fait. Mais en général, un plugin de sécurité WordPress, l'
une de ses plus grandes choses est que permettra d'éviter ce qu'ils appellent des attaques de force brute, qui est où quelqu'un devine un mot de passe beaucoup sur votre site essaie
juste vraiment de vous frapper vraiment dur et presque tout ce qui s'appelle plug-in de sécurité bloquera ceux en partie en bloquant les adresses IP spécifiques qu'il sait être hostiles à vous. Ce sont quelques-unes des deux caractéristiques les plus courantes. Une version plus avancée de cela est ce qu'on appelle un pare-feu d'application Web. Un pare-feu d'application Web est quelque chose qui fonctionne sur votre serveur ou qui se trouve entre votre serveur et l'Internet public et bloque les requêtes qu'il juge mauvaises, destinées à nuire. Essentiellement, des choses comme, Demandes pour, est ce plugin obsolète sur votre site. Un pare-feu d'application Web peut arrêter ces requêtes avant même qu'elles n'atteignent votre serveur. Beaucoup de plugins de sécurité offrent ce qu'ils appellent l'analyse des logiciels malveillants, qui est là où ils vont passer et essentiellement regarder tous les fichiers sur ensemble de
votre système et vérifier la signature de tous vos fichiers pour les choses qu'ils considèrent comme mauvaises choses, qu'ils considèrent pour la distribution de logiciels malveillants à conduire par les téléchargeurs ou quoi que ce soit du genre. C' est ce que fait l'analyse des logiciels malveillants et généralement, sont des services que vous payez examineront tous les fichiers de votre site et le feront. journaux d'audit comme j'ai commencé à le mentionner sont parfaits car je n'ai pas réellement la possibilité de regarder mon site aussi régulièrement que je le voudrais, mais je veux savoir ce qui se passe là-dedans. Audit enregistre une façon où différents plugins le font à différents niveaux, mais ils feront des choses comme dire que ce plugin a été activé, ce plugin a été ajouté, ce plugin a été désactivé. Ces choses peuvent être suivies par un logiciel pour vous et vous allez dans et regarder dans tant que le journal a la fidélité, qu'il espère faire,
alors vous savez exactement ce
qui se passe sur votre site WordPress et vous savez aussi ce qui ne se passe pas sur votre site WordPress. Certains de ces plugins vous donnent également de l'aide pour faire choses
plus compliquées qui pourraient durcir votre site WordPress. Ils vous guideront peut-être à travers des choses comme s'assurer que les autorisations de fichiers sont correctes ou même la configuration de l'authentification à deux facteurs. Vous avez probablement eu une certaine exposition à l'authentification à deux facteurs si vous vous connectez à un site Web de banque aujourd'hui, il y a de bonnes chances qu'ils vous envoient
un message texte avec un code que vous devez entrer en plus de votre mot de passe. Vous pouvez configurer cela sur WordPress et alors il vaut mieux juste pour sécuriser le mot de passe WordPress, mais il est difficile d'obtenir, il est plus difficile de mettre en place. Certains des plugins de sécurité ont cette fonctionnalité. Ce tableau est comment je pense et comment j'ai comparé les plugins de sécurité WordPress dans le passé. À un moment donné en 2018 a publié un site qui est juste cette table parce qu'il est vraiment utile pour les gens, mais c'est ainsi que je pense des différents plugins WordPress qui existent. Vous pourriez avoir un ami qui a déjà une copie de Word clôture et aimerait vous ajouter à leur utilisation,
leur licence multi-utilisateur et si c'est le cas, je pense qu'il est vraiment bénéfique d'avoir un plugin de sécurité WordPress. La seule chose que je dirais cependant est qu'il est important de réaliser que toutes les choses dont nous avons parlé sont toujours très pertinentes pour avoir un WordPress sécurisé comme même lorsque vous installez un de ces plugins parce qu'aucun d'entre eux faire tout ce que vous voulez pour qu'un site soit sécurisé. En fait, presque aucun d'entre eux ne fait des sauvegardes par exemple. Vous devez toujours penser aux sauvegardes indépendamment de l'obtention d' un plugin de sécurité WordPress en tant que solution à part entière. Mais un plugin de sécurité WordPress est une grande étape que vous pouvez prendre que sans trop de bruit, sans trop de ralentissement, fera presque certainement votre site au moins un peu plus sécurisé.
11. iThemes Security Rapde Security Résumé: Nous venons de parler de cette matrice que j'ai faite de différents plug-ins de sécurité WordPress. Vraiment rapidement, je veux juste souligner à quoi ressemble l'expérience de l'un d'entre eux. Comme je l'ai mentionné le montant même de l'affaire. Certains d'entre eux incluent un pare-feu d'application Web, d'autres pas. J' ai choisi de mettre en évidence la sécurité iTheme rapide, ce n'est pas celui que je pense que vous avez absolument besoin d'avoir. Je pense que tous ceux que j'ai dans cette matrice sont bons pour diverses raisons. Il se trouve que c'est celui que j'ai installé. J' ai configuré iTheme Security, je viens d'installer et d'activer le plug-in gratuit et il est vérifié que beaucoup de choses sont bonnes pour moi. Sauvegardes de base de données sur, Protection de force brute est activée, Liens
magiques sont activés. J' ai configuré ce plug-in pour être essentiellement suffisamment sécurisé pour que je suis satisfait avec lui. Je peux exécuter différentes choses comme mon contrôle de sécurité. Je peux également activer ce qu'on appelle un Mode Away, qui est un moyen où seulement pendant les heures programmées, quelqu'un
peut-il se connecter à mon site WordPress ? Je peux activer la détection de changement de fichier ce qui est idéal pour exactement ce dont nous avons parlé, où nous voulons quelque chose pour nous avertir que quelqu'un a essayé de changer un fichier, disons, en piratant le plug-in obsolète, ou quelque chose comme ça. Donc, toutes ces choses, ces étapes individuelles dans iTheme Security sont de bonnes pratiques que vous pouvez faire. Ils en ont des avancées et d'autres recommandées. Il prend soin de toutes les différentes étapes pour vous et vous aide à expliquer un peu plus sur ce qu'ils font. Ce qui est vraiment génial avec iTheme Security en particulier, c'est que l'écran est relativement convivial. Il est convivial dans la façon dont un développeur l'a construit un peu, c'est un peu je pense pas super intuitif. Je ne dirais pas que c'est la meilleure interface de tous les temps, mais c'est plutôt bon. Ce qui est vraiment bien à ce sujet,
c'est que cela me donne juste des vérifications rapides sur la façon dont je fais la sécurité sage et quelles autres mesures puis-je prendre. Je ne pense pas que vous avez besoin d'utiliser iTheme Security, je pense que l'un de ceux que j'ai dans cette matrice entière est
une bonne étape et vous donne quelques avantages que nous avons couverts dans la dernière vidéo. Mais iTheme Security est l'un d'entre eux, et il me montre assez clairement certains des bons et des mauvais du plug-in de sécurité. J' ai des journaux automatiques de divers événements depuis que je viens d'activer cela, je l'ai déjà. Je l'ai vide mais depuis que je viens d'allumer cela, c'est actuellement vide pour moi. Je sais qu'au fil du temps ils vont s'accumuler au fur et à mesure que de plus en plus de gens utilisent le site, contrôlent les choses sur une orbite. Juste je fais des modifications aux plug-ins qui sont allumés et désactivés. C' est vraiment bon d'avoir ce sentiment de sécurité bénéfique
ajoutée que j'obtiens presque gratuitement, mais ce n'est pas une solution complète. Je dois toujours m'assurer que je le vérifie régulièrement sur mon site, assurez-vous que j'exécute des sauvegardes parce que le plug-in lui-même ne fait pas ces choses pour moi.
12. Partie SSl : quoi et pourquoi et: S' il y a une chose que la plupart des gens considèrent comme assez synonyme de sécurité en ligne, c'est
cette icône verte, celle-ci dans Firefox. Mais la plupart des navigateurs feront une icône de verrou vert similaire indépendamment de ce qu'ils sont. Mon site Web avec lequel j'ai joué pour ce cours s'appelle thoughtfulcode.com, et vous remarquerez que j'ai un HTTPS ici au début de son adresse, et j'ai ce verrou vert qui dit que je suis sur une connexion sécurisée. Ceci est appelé SSL ou TLS ou HTTPS différemment. Si je clique plus d'informations ici, je peux voir que j'ai un certificat Let's Encrypt, qui est un consortium gratuit qui donne des tickets gratuits que mon certificat qui vérifie qu'
il sécurise essentiellement la connexion entre mes visiteurs et moi. Expire le 31 mai 2018, que je suis allé sur ce site un tas de fois et ainsi de suite. Je peux voir ici le certificat. La grande chose à savoir à propos de ce certificat est qu'il a essentiellement
une empreinte digitale dans une manière retracer l'origine de tout cela la sécurité de notre connexion, essentiellement à cause de ce certificat SSL. Vous avez plusieurs façons dont personne ne se penche sur ces généralement pour évaluer la validité des certificats. Qu' est-ce qu'un certificat permet pour son fondamentalement, la connexion entre moi en tant que visiteur sur une connexion réseau domestique et la sécurité relative à ce domaine et serveur thoughtfulcode.com. Cette connexion entre moi en tant qu'utilisateur à domicile et ce site web distant est sécurisée via cette petite icône de cadenas. C' est vraiment important pour le commerce électronique, par exemple, parce qu'il vérifie presque de manière robuste que personne ne peut fouiller, même sur des connexions Wi-Fi publiques, pas très sécurisées. Votre connexion pour dire votre banque, si vous utilisez HTTPS et que vous avez un certificat valide là-bas est beaucoup plus sécurisée contre les personnes indiscrets sur les espoirs que votre trafic passe intrinsèquement par Internet. Cela dit, cette icône verrou vert ne vérifie pas que je n'ai pas été, le site ne peut pas forcer les logiciels malveillants, ou qu'il ne s'assure pas que le site n'a pas été pris en charge, qu'il ne montre pas d'annonces comme toutes les choses que nous avons couvertes donc bien plus sur les raisons pour lesquelles la sécurité est importante sur votre site. Sur la raison pour laquelle il est important de vérifier sur votre site. Pour savoir pourquoi il est important d'avoir des sauvegardes. Rien de tout cela n'est vérifié par ce truc de verrouillage sécurisé. C' est tout à fait séparé de ça. Rapidement, si je pense à une banque, une banque américaine est une grande banque. Ils ont ce qu'on appelle un certificat de vérification étendu. Leur nom est là et c'est en fait le nom d'une personne morale. Si je clique par là certificat un peu plus, il dit qu'ils sont à Minneapolis,
Minnesota et qu'ils ont été vérifiés par Entrust Incorporated. C' est des choses, ce sont d'autres fonctionnalités que vous pouvez obtenir sur un certificat SSL, que je n'ai pas sur le mien, parce que le mien est fondamentalement juste pour cette couche de cryptage plutôt que, US Bank si vous allez sur usbank.com, vous voyez ce certificat. Alors qu'il serait très difficile pour un pirate de, ne pas obtenir un certificat pour être réellement modifié pour dire U.S.Bank National Association US, et c'est beaucoup plus difficile pour un attaquant à faire que simplement,
juste faire quelque chose qui semble vaguement comme l'URL correcte ici. C' est essentiellement ce que font les certificats SSL et ce pour quoi ils sont bons. Vous pouvez avoir un site WordPress qui n'est pas sécurisé parce qu'il a un vieux code, parce qu'il ne fonctionne pas, une version patchée de WordPress comme ça se passe
totalement dans ce truc indépendant de ce HTTPS, tout ce que HTTPS à propos de cette connexion entre un utilisateur de navigation et votre serveur. Il est important, en particulier pour les sites de commerce électronique, d'avoir des connexions HTTPS. Il est honnêtement de plus en plus considéré comme une bonne pratique pour tout le monde sur chaque site toujours
avoir . Parce que non seulement de ce point de vue précaire du café Wi-Fi, mais aussi de l'espionnage du gouvernement et d'autres perspectives. C' est une bonne idée d'avoir HTTPS, peu importe ce que vous faites avec votre site. Mais ce n'est pas absolument nécessaire et n'est pas une sécurité complète. C' est juste utile, et donc dans la prochaine vidéo, nous allons parler de la façon dont je vais configurer cela sur l'un de mes sites afin que vous puissiez voir comment je suis passé d' une connexion non HTTPS à une connexion HTTPS. On va faire ça.
13. SSL Partie II : configuration de SSL: Le site de code réfléchi que j'ai utilisé pour tout démo jusqu'à présent, est déjà sur une connexion HTTPS, donc ce n'est pas une très bonne chose de vous montrer comment vous déplaceriez un site vers HTTPS parce qu'il est déjà là. J' ai cet ancien site, qui dans mon navigateur n'a pas d'icône de verrouillage vert. Je ne vois pas HTTPS, et ceci est hébergé chez Bluehost, qui est un hôte Web très réputé et très grand, plus important encore pour moi. Je vais essayer d'utiliser n'importe quelle configuration Bluehost a pour mettre à niveau ce domaine pour être HTTPS et nous verrons ce qui se passe. Si je viens ici et que c'est ce qu'ils appellent un cPanel, il y a beaucoup d'icônes et il y a un volet de sécurité ici, que j'ai remarqué a un SSL dessus. Si je vais ici, je sais qu'ils offrent ce qu'ils appellent un SSL gratuit WordPress. Je pense que c'est similaire mais distinct des certificats de chiffrement que j'utilise du code peu réfléchi. Je vais aller de l'avant et choisir mon domaine hors de là et je
vais cliquer pour commencer et nous verrons où cela va parce que je ne sais pas vraiment. D' accord. Donc, il va protéger lien banana.com. C' est parfait et je vais installer, eh bien c'est l'installation. Je vais mentionner, lien banane est un peu comme ma version de Kottke. Si vous avez déjà vu kottke.org obtient comme certains gars au hasard collection de choses cool. J' adore ça. C'est un site amusant. Vous avez commandé avec succès un SSL gratuit. Si vos domaines peuvent être vérifiés automatiquement, vous pouvez vous attendre à ce que le nouveau certificat soit bientôt installé. Si ce n'est pas le cas, vous recevrez un e-mail avec les instructions. D'accord. J' espère que nous sommes dans le processus parce que je pense que nous devrions être mis en place. Allons de l'avant et connectez-vous au site que je n'ai pas dans. À mon embarras, il y aura beaucoup de possibilités de connexion ici. Une autre raison pour obtenir HTTPS est que, plus en plus les navigateurs vous disent que vous ne devriez pas entrer d'informations d'identification de connexion sur les forums non HTTPS, et c'est très raisonnable sur, vous savez, les réseaux ouverts comme le café, Wi-Fi, où quelqu'un pourrait snoop s' intercepte la demande qui implique votre nom d'utilisateur et votre mot de passe, il peut le voir, il est transmis grossièrement d'une manière assez rétrocompatible, afin qu'ils puissent le voir. Donc c'est mauvais, je vais faire des soins dentaires un peu. Je vois que je suis dépassée. Je suis actuellement sur WordPress 4.9.3. Donc, je veux mettre à jour vers 4.9.4 pendant que nous attendons. D' accord. Il semble que je suis tout prêt pour obtenir ce SSL de Bluehost là-bas, essayant
évidemment de me vendre, mais je ne suis pas intéressé. Pendant qu'on attend. Bluehost travaille sur la sécurité de mes sites en ce moment, mais je viens d'avoir quelques mises à jour de progrès. Je suis allé faire une petite promenade et me suis préparé pour le week-end et il me montre toujours en attente ici, mais j'ai décidé d'essayer ce qui se passe si je vais à HTTPS ? Ce qui se passe, c'est que mon site WordPress est maintenant essentiellement mis à jour pour travailler sur HTTPS. Si je regarde ici, je vois que je suis sur une connexion sécurisée. Je remarque que c'est un certificat Comodo plutôt que sur, chiffrons que j'ai un code réfléchi. Mais juste en utilisant leur configuration, leur tableau de bord, et en attendant un peu de temps, cela a nécessité certains patients, je ne vais pas vous mentir. Bluehost a mis à niveau mon site pour utiliser HTTPS. La plupart des bons hôtes aujourd'hui utiliseront un similaire. Nous procéderons automatiquement à la transition que Bluehost a ici. C' est fondamentalement une question de, ce sera une interface différente parce que cela existe en dehors de WordPress. Je ne peux pas vous montrer une seule interface WordPress. Je vous ai montré l'interface Bluehost, qui est quand j'ai un accès facile à quand un site dont j'avais besoin pour mettre à niveau HTTPS. Il est intéressant de mentionner que maintenant que j'ai mis à niveau vers HTTPS, certaines choses pourraient ne pas fonctionner comme je m'
attends à Google Analytics et que toute la suite d' outils
Google Webmaster vient à l'esprit comme quelque chose où vous pourriez doivent explicitement entrer et le modifier manuellement pour dire, mon site est maintenant HTTPS plutôt que HTTP mais dans l'ensemble,
soudain, j'ai une plus grande sécurité entre tous mes visiteurs et mon site Web. Mes connexions sont plus sécurisées lorsque je soumets mon formulaire de connexion et toutes ces choses sont d'excellents avantages de la mise à niveau. Si vous êtes sur GoDaddy ou sur le terrain du site ou quelqu'un d'autre. Le processus de mise à niveau peut sembler un peu différent, mais je vous encourage vivement à utiliser HTTPS si vous le pouvez et en général, il s'agit juste de trouver les bons documents de support ou le bon agent de support à votre société d'hébergement pour vous aider avec cette transition.
14. Étape finale: Avec cela, je pense que nous avons couvert tous les points clés que je pense sont essentiels pour comprendre la sécurité du site WordPress en tant que non-développeur. Je pense que HTTPS est vraiment vital pour inculquer la confiance, et pour une bonne raison. Je pense que les plugins de sécurité vous donnent une telle jambe par rapport à juste cette expérience de base de WordPress comme sécurisé. Si vous faites les choses de base dont nous avons parlé ; Je vais obtenir des plug-ins, assurez-vous que vous restez à jour, et avoir des sauvegardes, vous pouvez faire confiance
que cette expérience WordPress sera bonne pour le long terme. Mais les plugins de sécurité vous donnent cette étape de savoir que quelqu'un d'autre a réfléchi encore plus à ce que d'autres choses que vous pouvez faire pour rendre ce site plus sécurisé et vous aide tout au long du chemin. Nous avons également parlé un peu de pourquoi avoir passe dans le contrôle du rôle de l'utilisateur est si important dans WordPress, et combien il est facile de le faire, parce que tant que vous donnez à tout votre ami, Frank, qui vous donnez accès à votre site. Tant que vous lui donnez son propre compte et que vous lui donnez un bon mot de passe, vous êtes à peu près tout le chemin. Nous avons également expliqué pourquoi chaque site WordPress présente des risques de sécurité, parce qu'il est sur Internet et rien de plus que cela. La chose de séparation que je veux vous laisser avec est la compréhension que la sécurité WordPress, eh bien, c'est une série d'étapes que nous avons couvertes. Il s'agit également d'un processus continu, et les menaces vont changer et vous ne pouvez pas croire que les choses que vous faites aujourd'hui
ne seront pas insuffisantes à un moment donné dans le futur parce que commande
quantum computers a enfreint chaque mot de passe sur le internet, ces choses peuvent arriver. La dernière chose à garder à l'esprit en matière de sécurité, c'est qu' il ne s'agit pas d'un processus unique dans le temps. Tu dois continuer à le faire tout le temps. Espérons que, avec cette classe, vous vous sentez maintenant confiant que votre site WordPress existant est totalement sécurisé. Vous êtes heureux de dire, « Hey, les pirates viennent après moi. Parce que vous croyez que WordPress lui-même est sécurisé et que vous avez pris les bonnes mesures pour le faire. Mais je veux juste que tu gardes à l'esprit, la sécurité repose sur une vigilance éternelle. Je sais que ce serait mieux si je te disais : « Vous pouvez juste vous détendre et vous allez bien maintenant, n'
avez pas besoin de vous soucier de quoi que ce soit. » Mais l'un de vos plugins sera, dans les cinq prochaines années presque certainement été découvert pour être non sécurisé, même si vous avez choisi judicieusement. C' est presque inévitable parce que ce sont des efforts humains. Tant que vous êtes conscient de cela et que vous le savez, vous ferez bien. Vous serez mis à jour à temps, mais vous n'avez qu'à rappeler qu'aucun processus de sécurité n'est jamais terminé - c'est une mission en cours. Avec ça, acclamations et bonne fortune.