Dans cet article, vous apprendrez :
- Comment WEDOS Protection sécurise WordPress
- Comment mettre en place une protection via un plugin WordPress
- Dépannage des problèmes courants
- Questions fréquemment posées
Sécurité de WordPress
Le système de gestion de contenu WordPress est très populaire, tout comme les différents types d'attaques contre les sites web qui l'utilisent. Même si ces attaques ne parviennent pas à pénétrer dans l'interface web ou l'interface d'administration, elles augmentent considérablement la charge du serveur et ralentissent votre site web. C'est pourquoi WEDOS Protection vise à arrêter ce trafic indésirable avant même qu'il n'atteigne le serveur web.
WEDOS Global Protection utilise les méthodes suivantes pour protéger les sites web WordPress :
- Blocage des demandes d'accès aux fichiers suivants :
xmlrpc.phpà moins que la demande ne provienne de WordPresswp-config.php.htaccesswpad.dat- PHP dans le
wp-content/uploadsdossier - PHP dans le
wp-includesdossier wp-admin/admin-ajax.php,sauf si la demande émane de WordPress ou de Google
- Utilisation de captcha :
- pour
wp-login.php(admin, wp-admin) - pour les demandes provenant d'IP ayant une mauvaise réputation (selon UDGER &boxbox ;)
- pour
Le système surveille également le trafic provenant de différentes adresses IP. Si une adresse émet trop de requêtes au cours d'une période donnée, le système lui refuse temporairement l'accès.
Tous les contenus statiques (codes de retour 200, 301, 302) restent également mis en cache pendant 10 minutes par défaut.
Plugin WordPress
Vous pouvez désormais télécharger et installer directement le plugin WordPress &boxbox ; deprotection WEDOS. Cela présente les avantages suivants :
- Plan de démarrage gratuit et essai avancé étendu (voir la liste des prix de WEDOS Protection &box ;)
- Gestion via le panneau d'administration de WordPress au lieu du panneau d'administration global de WEDOS &boxbox ; (ce dernier est toujours disponible).
Guide d'installation
Vous pouvez installer le plugin WEDOS Protection comme n'importe quel autre plugin WordPress. La méthode la plus simple consiste à utiliser le panneau d'administration de WordPress :
- Connectez-vous à votre panneau d'administration WordPress.
- Dans le menu de gauche, sélectionnez Plugins Add New Plugin.
- Recherchez les mots-clés WEDOS Global.
- Sur la carte WEDOS Global (CDN Cache & Security), cliquez sur le bouton Installer, puis sur le bouton Activer.
Une fois que le plugin est actif, vous pouvez immédiatement activer le cache local de WordPress. Ce cache fonctionne sur le même serveur que l'hébergement web, et n'utilise pas encore les fonctionnalités de protection et de CDN.
Activation du plugin
Pour déverrouiller les fonctions de protection de WEDOS, vous aurez besoin d'un compte client WEDOS (gratuit), que vous pouvez créer lors de l'installation.
Activez le plugin en suivant les étapes suivantes :
- Connectez-vous à votre panneau d'administration WordPress.
- Dans le menu de gauche, sélectionnez WEDOS Global.
- Cliquez sur l'un des boutons d'activation .
- Sur la page suivante, cliquez sur le bouton S'inscrire ou Se connecter .
La dernière étape ouvrira une nouvelle fenêtre sur login.wedos.com. Créez un nouveau compte client (si vous n'en avez pas encore) ou connectez-vous. Une fois l'inscription/la connexion terminée, la page d'autorisation de l'application à distance s'affiche. Sur cette page :
- Confirmez l'emplacement du domaine et cliquez sur le bouton Autoriser.
- Saisissez le code de vérification envoyé à votre adresse e-mail d'administration de WordPress.
Une fois que vous avez autorisé WordPress à accéder à votre compte WEDOS, procédez à l'ajout du domaine ou du sous-domaine au système. Ce processus comprend :
- Vérification du domaine: Dans certaines circonstances, le plugin vous indiquera comment vérifier la propriété à l'aide du DNS.
- Générer un certificat TLS pour le transfert de données cryptées: Ce processus est entièrement automatique et devrait prendre moins de 30 minutes.
- Configuration DNS: Si vous utilisez WEDOS DNS, vous pouvez automatiser le processus. Sinon, mettez à jour les DNS avec votre fournisseur comme indiqué par le plugin. Pour plus d'informations sur la configuration DNS, lisez l'article Protection - Fournisseur DNS tiers.
- Définition des cibles IP dans le service de protection: Ce processus est entièrement automatique, mais une vérification est fortement conseillée. Pour en savoir plus, consultez l'article Protection - DNS et IP cibles.
Si vous utilisez WEDOS DNS, le plugin peut vous demander votre consentement pour définir les enregistrements DNS. Cliquez sur le lien Utilisez ce lien pour donner votre consentement à la configuration DNS automatique de votre domaine domain.tld, ou configurez les enregistrements DNS correspondants manuellement en suivant les instructions DNS - Domain Records &boxbox ;.
Une fois que le système a détecté les paramètres corrects, il achèvera le processus d'ajout de domaine.
Dépannage
Les problèmes les plus courants avec le plugin WordPress WEDOS Protection sont les suivants :
- Impossible de définir automatiquement le DNS
- Ne sait pas quel DNS placer à quel endroit
- Le processus d'activation est bloqué
- L'autorisation d'une application à distance se solde par une erreur
Lien DNS automatique manquant
Problème : L'écran de configuration DNS n'a pas le lien Utilisez ce lien pour donner votre accord à la configuration DNS automatique de votre domaine domain.tld.
Cause : Le consentement a été accordé précédemment, mais les paramètres DNS ou de domaine dans WEDOS Global ont changé (y compris la suppression du domaine du système).
Solution : Configurez manuellement les enregistrements DNS nécessaires ou dirigez-les vers le service WEDOS Global en suivant ce guide &boxbox ;.
Paramètres DNS
Problème: Il y a trop d'informations sur la page des paramètres DNS, je ne sais pas du tout quoi en faire.
Cause: Le système WEDOS Global ajoute un nœud supplémentaire au schéma DNS normal - un serveur proxy. Vous dirigez le domaine vers lui au lieu d'un serveur web, et seul ce serveur sait où (sur quelle adresse IP cible) trouver le véritable serveur web.
Vous trouverez des informations plus détaillées sur le fonctionnement du DNS dans le système WEDOS Global dans l'article Protection - DNS et IP cibles.
Solution : Dans l'étape de paramétrage du DNS, activez le paramétrage automatique par le service global, ou dirigez-le automatiquement selon ce guide &boxbox ;.
Si vous configurez les DNS manuellement, assurez-vous que vous avez des enregistrements DNS &boxbox ; définis pour le domaine dans le tableau pour diriger le domaine vers nos serveurs proxy :
L'autre tableau contenant les enregistrements DNS du domaine avant la mise en place du service WEDOS Global représente les données détectées par le scan DNS du domaine. Le système définit les adresses IP trouvées dans les enregistrements du domaine principal et des sous-domaines non spécifiés (*.domain.tld) comme adresses IP cibles.
Dans ce tableau, vérifiez si les données sont correctes. Si vous trouvez une erreur, corrigez-la dès que possible après avoir terminé l'activation du domaine conformément à l'article Protection - DNS et IP cibles.
Processus d'activation bloqué
Problème: La partie configuration automatique (génération de certificats, vérification du domaine, etc.) prend un temps anormalement long (plus de quelques minutes).
Cause: Il s'agit le plus souvent d'une erreur non spécifique du système ou d'une partie de celui-ci.
Solution : Contactez le support ⧉ . Incluez le nom de domaine et une description de l’erreur, ou joignez une capture d’écran.
Erreur d'autorisation de l'application distante
Problème : Un message d'erreur s'affiche après la connexion à WEDOS : Failed to start verification of your WordPress site. Retournez au panneau d'administration de WordPress et autorisez à nouveau.
Cause : L'erreur peut être causée par un code problématique dans le fichier WordPress .htaccess, ou par l'indisponibilité de l'API REST de WordPress.
Solution : Si l'erreur persiste même après une nouvelle tentative d'enregistrement du plugin, se connecter à FTP &boxbox ; (via WebFTP &boxbox ; par exemple), allez dans le dossier contenant les fichiers de WordPress (index.php, wp-config.php et autres) et ouvrez (éditez) le fichier .htaccess. Recherchez toutes les occurrences du code : RewriteRule .* – [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
et ajouter le # au début de la ligne. Cela désactivera le code problématique sans le supprimer.
Si la désactivation du code ne résout pas le problème, supprimez à nouveau les caractères # (certaines configurations requièrent ces paramètres) et contactez le service d'assistance &boxbox ;.
FAQ
Comment puis-je me débarrasser du captcha qui m'empêche d'accéder à l'administration de WP ?
Captcha protège contre le trafic indésirable qui accède à l'interface d'administration wordpress non mise en cache. Il peut y avoir des centaines de demandes de ce type en une seconde, et cette charge affecte considérablement les performances de votre site web. Vous ne devez relever le défi captcha qu'une fois par 24 heures. C'est pourquoi nous n'autorisons pas la suppression de la vérification captcha pour l'administration de WP.
Puis-je utiliser le plugin pour un compte avec une adresse e-mail différente de celle que j'utilise pour me connecter à l'administration client de WEDOS ?
Oui, utilisez votre email de connexion à l'administration de WEDOS pour vous connecter. Le code de vérification sera cependant toujours envoyé à l'e-mail de l'administrateur de WordPress.