Accueil
/
Tutoriels WordPress
/
Tutoriel du plugin de sécurité de SiteGround
/
Comment utiliser les filtres personnalisés de SiteGround Security

Comment utiliser les filtres personnalisés de SiteGround Security

Table des matières

Dans le domaine de la gestion de site Web, la sécurité est primordiale. Chez SiteGround, nous le comprenons et nous proposons donc l’outil puissant Solution de sécurité tout compris. Ce plugin prend en charge les filtres personnalisés qui vous permettent d’améliorer la sécurité de votre site WordPress de multiples façons.

Que vous ayez besoin de ramener une URL de connexion personnalisée à sa valeur par défaut, d’effacer les adresses IP autorisées, d’étendre l’Authentification à deux facteurs à des utilisateurs supplémentaires ou de mettre des scripts spécifiques sur liste blanche, les filtres personnalisés de SiteGround sont là pour vous aider.

Dans cet article, nous allons vous montrer comment tirer parti de ces filtres personnalisés pour renforcer la sécurité de votre site Web et garantir une expérience sûre et sécurisée à vos utilisateurs.

Rétablir une URL de connexion personnalisée à sa valeur par défaut

Il existe plusieurs cas où vous devrez peut-être rétablir une URL de connexion WordPress personnalisée à sa valeur par défaut. Par exemple, si vous avez oublié l’URL personnalisée, revenir à l’URL de connexion WordPress standard peut vous aider à retrouver l’accès à votre tableau de bord d’administration. De plus, certains plug-ins peuvent entrer en conflit avec une URL de connexion personnalisée, entraînant des problèmes de fonctionnalité. Dans de tels cas, revenir à l’URL de connexion par défaut peut faciliter le dépannage.

Revenez au type de connexion par défaut en utilisant l’extrait suivant.

add_action( 'init', 'remove_custom_login_url' );

function remove_custom_login_url() {

update_option( 'sg_security_login_type', 'default' );

}

Effacer les adresses IP autorisées pour retrouver l’accès au panneau d’administration

Si vous vous verrouillez hors de votre panneau d’administration, ajoutez l’option suivante au fichier function.php de votre thème, rechargez le site et récupérez l’accès. Une fois l’accès restauré, vous pouvez rapidement supprimer l’option ajoutée. Cependant, notez que cette action supprimera également toutes les adresses IP précédemment autorisées à accéder à la page de connexion. Par conséquent, une reconfiguration sera nécessaire pour rétablir les contrôles d’accès IP souhaités :

add_action( 'init', 'remove_login_access_data' );

function remove_login_access_data() {

update_option( 'sg_login_access', array() );

}

Étendre l’authentification à deux facteurs à des utilisateurs supplémentaires

Vous pouvez également étendre la protection de l’authentification à deux facteurs à d’autres rôles d’utilisateur. Une fois activé, appliquez sans effort cette mesure de sécurité renforcée en utilisant le filtre suivant dans votre configuration :

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );

function add_user_roles_to_2fa( $roles ) {

$roles[] = 'your_role';

return $roles;

}

Modifier l’emplacement du fichier de clé de chiffrement 2FA

Vous pouvez modifier l’emplacement du fichier de clé de chiffrement 2FA à l’aide de la constante SGS_ENCRYPTION_KEY_FILE_PATH définie dans le fichier wp-config.php. Assurez-vous d’utiliser le chemin d’accès complet au fichier. Exemple:

// Custom path to SG Security Encryption key file.

define ( 'SGS_ENCRYPTION_KEY_FILE_PATH', '/home/fullpathtofile/sgs_encrypt_key.php');

Effacer les données des adresses IP bloquées

Dans le cas où vous verrouillez involontairement le panneau d’administration, vous pouvez ajouter l’option suivante au fichier function.php de votre thème et recharger le site. Ensuite, supprimez rapidement le code ajouté une fois que vous avez retrouvé l’accès. Notez que cette action supprimera également le blocage IP pour les tentatives de connexion infructueuses de toutes les adresses IP :

add_action( 'init', 'remove_unsuccessfull_attempts_block' );

function remove_unsuccessfull_attempts_block() {

update_option( 'sg_security_unsuccessful_login', array() );

}

Mettez en liste blanche un script spécifique de Verrouiller et protéger les dossiers système

Verrouiller et protéger les dossiers système vous permet d’empêcher l’exécution de tout script malveillant ou non autorisé dans les dossiers système de vos applications. Si l’option Verrouiller et protéger les dossiers système bloque un script spécifique utilisé par un autre plug-in sur le site Web, vous pouvez facilement mettre le script spécifique sur liste blanche en utilisant les extraits fournis ci-dessous.

  • Utilisez celui-ci pour mettre en liste blanche un fichier dans le dossier wp_includes :
add_filter( 'sgs_whitelist_wp_includes' , 'whitelist_file_in_wp_includes' );

function whitelist_file_in_wp_includes( $whitelist ) {

$whitelist[] = 'file_name.php';

$whitelist[] = 'another_file_name.php';

return $whitelist;

}
  • Utilisez celui-ci pour ajouter un fichier à la liste blanche du dossier wp_uploads :
add_filter( 'sgs_whitelist_wp_uploads' , 'whitelist_file_in_wp_uploads' );

function whitelist_file_in_wp_uploads( $whitelist ) {

$whitelist[] = 'file_name.php';

$whitelist[] = 'another_file_name.php';

return $whitelist;

}
  • Utilisez l’extrait ci-dessous pour ajouter un fichier à la liste blanche du dossier wp_content :
add_filter( 'sgs_whitelist_wp_content' , 'whitelist_file_in_wp_content' );

function whitelist_file_in_wp_content( $whitelist ) {

$whitelist[] = 'file_name.php';

$whitelist[] = 'another_file_name.php';

return $whitelist;

}

Définir une durée de vie du journal personnalisé

Pour votre commodité, nous avons fourni un filtre qui vous permet de définir une durée de vie de journal personnalisée (en jours). Cela vous donne la flexibilité d’adapter la période de conservation des journaux en fonction de vos besoins spécifiques :

add_filter( 'sgs_set_activity_log_lifetime', 'set_custom_log_lifetime' );

function set_custom_log_lifetime() {

return 'your-custom-log-lifetime-in-days';

}
  • Désactiver le journal d’activité

Si vous devez désactiver le journal d’activité, vous pouvez utiliser le filtre suivant. Gardez à l’esprit que cela désactivera également les e-mails du journal d’activité hebdomadaire.

add_action( 'init', 'deactivate_activity_log' );

function deactivate_activity_log() {

update_option( 'sg_security_disable_activity_log', 1 );

}
  • Résoudre le problème avec les journaux qui n’étaient pas effacés à temps

Au cas où vous auriez désactivé la tâche native WordPress Cron, et en utilisant la configuration cron UNIX à la place, vous pouvez ajouter la règle suivante au fichier wp-config.php de votre site Web afin que les journaux soient effacés à temps :

define( 'SG_UNIX_CRON', true );

Résumé

Ce guide détaillé se penche sur les différents filtres personnalisés proposés par SiteGround Security pour améliorer la sécurité de votre site WordPress. Nous vous avons montré comment rétablir une URL de connexion personnalisée à son adresse IP par défaut et effacer les adresses IP autorisées pour la récupération d’accès.

De plus, le guide explique comment étendre l’authentification à 2 facteurs aux rôles d’utilisateur, mettre en liste blanche des scripts spécifiques ou définir une durée de vie de journal personnalisée. Chaque section comprend des extraits de code pour une mise en œuvre facile. En tirant parti de ces filtres personnalisés, vous pouvez renforcer efficacement la sécurité de votre site Web, en fournissant une plate-forme sûre et fiable à vos utilisateurs.

FAQ sur le SiteGround Security

D’autres rôles d’utilisateur peuvent-ils être inclus dans l’authentification à deux facteurs ?

Oui, il est également possible d’appliquer l’authentification à deux facteurs pour d’autres rôles d’utilisateur. Une fois la fonctionnalité activée, vous pouvez ajouter un filtre à l’aide de l’extrait de code suivant :

add_filter( 'sg_security_2fa_roles', 'add_user_roles_to_2fa' );

function add_user_roles_to_2fa( $roles ) {

$roles[] = 'your_role';

return $roles;

}

Vous pouvez ajouter des champs supplémentaires si vous souhaitez que davantage de rôles soient protégés. Il vous suffit de remplacer “votre_rôle” par le rôle d’utilisateur exact que vous souhaitez utiliser.

J’ai activé l’URL de connexion personnalisée et une page de connexion pour les clients redirigés vers 404

Cela se produit généralement si la page de connexion du client redirige toujours vers wp-login.php. Lorsqu’une URL de connexion personnalisée est définie, elle remplace les URL de connexion WordPress par défaut (/wp-admin, /wp-login.php) par l’URL personnalisée de votre choix. Ensuite, toutes les demandes aux adresses de connexion par défaut seront redirigées vers 404 Not Found. Pour résoudre le problème, vous devez modifier le lien vers la page de connexion du client pour qu’il corresponde à l’URL de connexion personnalisée.

Menu du didacticiel

Partager cet article