Assurer la sécurité de votre site d'affiliation WordPress

Les sites affiliés WordPress sont des cibles de choix pour les pirates qui cherchent à diffuser des logiciels malveillants, à créer un réseau de zombies ou à générer de manière malveillante des revenus passifs au fil du temps.

Mais il y a certaines choses que vous pouvez faire pour réduire considérablement vos chances de devenir une cible d'une telle attaque malveillante.

Nous allons donc nous pencher sur ces contre-mesures de piratage faciles à mettre en œuvre, afin d'améliorer ensemble la sécurité de votre site d'affiliation WordPress !

Ne laissez pas passer les mots de passe forts

La première couche de protection de votre site d'affiliation WordPress est votre mot de passe. Ne vous contentez pas du strict minimum en matière de sécurité. Choisissez un mot de passe fort.

Vous voulez connaître un secret ? Un mot de passe en majuscules et minuscules, avec des chiffres et des caractères spéciaux, c'est bien... mais ce n'est pas l'option la plus forte. La longueur du mot de passe est encore plus efficace. Une phrase facile à retenir comme "Janet a trouvé l'ours en peluche dans la boîte à jouets" permettrait au pirate informatique moyen d'avoir une vue d'ensemble de la situation. 4 cent octodécillions d'années à craquer par force brute. Le même pirate informatique parviendrait à forcer "ymJl99%a !" en 3 semaines environ. La longueur est importante.

Bien sûr, vous pouvez avoir le meilleur des deux mondes sous la forme d'un long et des mots de passe complexes si vous utilisez un gestionnaire central de mots de passe. Il vous suffit alors de vous souvenir d'un seul mot de passe long pour avoir accès à des mots de passe infiniment sûrs pour chaque site et chaque compte que vous utilisez.

Enfin, activer l'authentification à deux facteurs (2FA) ! Dans ce cas, quelqu'un aura besoin à la fois de votre mot de passe et de votre dispositif d'authentification pour progresser. Vous trouverez de nombreux plugins gratuits pour le 2FA sur le site Répertoire des plugins WordPress.

Qu'est-ce que le WAF ?

A Pare-feu pour applications webou WAF, vous permet d'avoir une mesure de protection pour votre site affilié WordPress dès sa sortie de la boîte. En fait, il s'agit d'un demandes de filtres qui entrent sur votre site, à la recherche des vecteurs d'attaque les plus courants utilisés par les pirates.

Cloudflare a annoncé qu'elle souhaitait que tout le monde dispose d'un accès à l'Internet. protection WAF gratuiteAlors autant en profiter ! Et pendant que vous y êtes, votre compte Cloudflare gratuit peut également vous offrir une protection DDOS de base. Sympathique, n'est-ce pas ?

SSL devrait être automatique

Couche de sockets sécurisés (Secure Sockets Layer) (SSL) est essentiel pour sécuriser votre site WordPress, en particulier s'il s'agit d'une plateforme de commerce électronique ou d'affiliation.

SSL crypte les données entre le serveur et le navigateur, protégeant ainsi les informations sensibles et renforçant la confiance des visiteurs.

Pour activer le SSL sur votre site WordPress, contactez d'abord votre hébergeur pour vérifier si le SSL est inclus ou si des instructions spéciales sont nécessaires. Ensuite, choisissez et installez un certificat tel que Let's Encryptconfigurez WordPress pour qu'il utilise "https", et enfin, confirmez la connexion sécurisée en recherchant l'icône du cadenas dans la barre d'adresse du navigateur.

Si vous rencontrez des problèmes, l'équipe d'assistance de votre hébergeur peut vous aider.

Arrêter la fraude à l'affiliation

Parfois, votre pire ennemi se fait passer pour un ami. C'est pourquoi vous devez utiliser un outil de gestion des affiliés qui empêche tout, de la fraude au clic aux attaques par bourrage de cookies.

Le Plugin Coupon Affiliates a intégré des outils de sécurité pour les sites d'affiliation WordPress, y compris des mesures anti-fraude. Vous pouvez Pour en savoir plus, cliquez ici.

Une fois que vous avez installé Coupon Affiliates, la grande majorité des attaques de fraude à l'affiliation devraient être étouffées dans l'œuf... si vous maintenez votre logiciel à jour ! Mais quelle est la meilleure façon de le faire ?

Rattrapez-le !

Il est essentiel de maintenir à jour les plugins, les thèmes et le noyau de WordPress pour assurer la sécurité du site web.

Ces mises à jour comprennent souvent des correctifs pour des vulnérabilités connues qui pourraient être exploitées par des pirates informatiques. Lorsque vous utilisez des versions obsolètes, votre site est exposé aux logiciels malveillants, aux violations de données et à d'autres attaques malveillantes qui peuvent avoir de graves répercussions sur les fonctionnalités de votre site web et sur les informations de vos utilisateurs. Des mises à jour régulières renforcent non seulement la sécurité, mais apportent également de nouvelles fonctionnalités et améliorations qui peuvent optimiser les performances de votre site web et l'expérience de l'utilisateur.

Si vous ne souhaitez pas rechercher manuellement et périodiquement les nouveaux correctifs logiciels, vous pouvez utiliser un logiciel d'aide à la recherche de correctifs. système de gestion des correctifs. Par exemple, Patchstack propose une version gratuite qui vous aidera à garder tout à jour pour votre petit ou moyen site WordPress. Si vous avez le vent en poupe, des modules payants sont disponibles pour automatiser des installations plus complexes.

Il convient de noter que Coupon Affiliates fait partie de l'organisation Patchstack Programme de divulgation des vulnérabilités. Cela signifie que le signalement et l'intégration des bogues et des mises à jour de sécurité de Coupon Affiliate sont automatiquement signalés à Patchstack et gérés par ce dernier.

Retournement de situation

Un autre élément à prendre en compte est protection contre les robots. Il n'y a rien de pire que les attaques automatisées qui créent de faux utilisateurs, de fausses requêtes et de fausses interactions avec les chatbots. C'est une énorme perte de temps.

Le Turnstile de Cloudflare est un service de Alternative gratuite au CAPTCHA qui vous permettra d'éliminer facilement la plupart des robots malveillants courants. Si vous grandissez (et devenez donc une cible plus importante), vous pouvez opter pour l'une des formules payantes afin de bloquer les robots les plus sophistiqués grâce à des niveaux de protection supplémentaires.

Nous avons un Guide du tourniquet d'affiliation WordPress ici. Il vous montrera l'ensemble du processus de mise en œuvre, afin que vous soyez correctement protégé contre les attaques automatisées courantes sur vos formulaires.

Les rouleaux de l'essuie-glace

Pour réduire les maux de tête potentiels des utilisateurs qui pourraient négligemment se laisser connecter aux terminaux des visiteurs, ainsi que les attaques potentielles par déni de ressources, vous voudrez installer quelque chose qui automatiquement force une déconnexion si quelqu'un est inactif pendant trop longtemps.

Le Plugin de déconnexion inactif est idéal pour cela. Vous pouvez définir des délais personnalisés pour des rôles plus élevés, si vous souhaitez que les administrateurs aient des périodes d'inactivité plus longues. Il fonctionne également avec WooCommerce, ce qui offre une protection supplémentaire.

Ne pas autoriser les attaques par force brute

Il est judicieux d'avoir plus de politique stricte en matière d'échec de connexion que la configuration par défaut de WordPress. Vous ne voulez pas que quelqu'un puisse deviner le mot de passe d'un utilisateur. Il est donc judicieux de fixer des limites plus strictes aux tentatives de connexion et de prévoir des délais d'attente plus longs en cas d'échecs multiples.

Un plugin tel que Verrouillage de la connexion est votre meilleur ami dans ce cas. Il vous permettra de personnaliser pratiquement tout ce qui concerne les échecs de connexion.

Une autre option intéressante pour protéger vos formulaires de connexion contre les attaques par force brute et le spam est l'option Tourniquet Cloudflare simple plugin.

Obtenez une aide professionnelle si vous en avez besoin

Enfin, si vous souhaitez simplement que quelqu'un autre pour gérer votre sécurité, vous pouvez obtenir un Plan de soins WordPress.

En voici un exemple RelyWP. Leur offre comprend la gestion de l'installation et de la maintenance de WordPress, des tests automatisés et des analyses de logiciels malveillants.

Vous obtenez également sauvegardes sécurisées dans le nuagequi est utile parce qu'il sert de plan de reprise après sinistre. Si le pire se produit (ce qui peut aller de la faillite de votre hébergeur à un piratage massif de type "zero-day" qui touche des millions de sites WordPress dans le monde), vous disposerez d'une copie de sauvegarde de votre site sur un service Cloud indépendant, et elle pourra être restaurée dès qu'un hébergeur sûr sera disponible.

Découvrez les plans de service de RelyWP ici.

Un dernier mot

N'oubliez pas que les escrocs tentent souvent des attaques d'ingénierie sociale, en espérant que vous vous contenterez de dire ils votre mot de passe ou vos données d'authentification à deux facteurs. Ne jamais partager ces informations avec qui que ce soit. Les techniciens de l'assistance technique qui gèrent votre site web peuvent simplement réinitialiser votre mot de passe pour vous, ils n'ont jamais besoin de vous le demander. Soyez prudent !

Bill Ricardi

Bill Ricardi est un ancien administrateur système de la Silicon Valley, et le testeur de performance de l'année 2010 de uTest. Il a été responsable des tests chez Deloitte avant de devenir auteur à plein temps en 2017, et contribue également régulièrement au blog Coupon Affiliates.