La sécurité Web devrait être une préoccupation constante et continue pour tous les sites Web. Peu importe les précautions que vous avez prises, il y a toujours place à l'amélioration. C'est parce qu'il n'y a pas de sécurité infaillible. Ajoutez à cela, les pirates sont à l'affût 24 heures sur 24, 7 jours sur 7, et vous devez donc être constamment sur vos gardes. L'hébergement, les mots de passe faibles, les anciennes versions de WordPress ou les thèmes/plugins douteux sont les points d'entrée possibles pour que les bots pénètrent dans votre site.

Une façon de rendre la tâche plus difficile pour les pirates consiste à renforcer la protection de votre administrateur WordPress ou de votre page de connexion. C'est la porte d'entrée de votre site Web et vous pouvez arrêter la plupart des méfaits à votre porte en renforçant la sécurité sur cette page.

Quelques façons de protéger votre page d'administration,

Changer le nom d'utilisateur

Le nom d'utilisateur par défaut dans WordPress est “Admin” et les bots le savent. Maintenant, s'ils peuvent deviner votre mot de passe, vous leur avez littéralement remis une invitation à entrer. Alors changez votre nom d'utilisateur pour quelque chose d'unique et d'un-devinable. Par exemple, pour le New York Soccer Club, “NY Soccer” n'est pas un nom d'utilisateur approprié.

add-user

Vous pouvez changer le nom d'utilisateur en suivant ces étapes simples,

  • Connectez-vous à WordPress en utilisant votre compte d'utilisateur Admin existant.
  • Ajoutez un nouvel utilisateur en cliquant sur Utilisateurs > Ajouter nouveau.
  • Choisissez « Administrateur » comme rôle pour ce nouvel utilisateur. Optez pour un nom d'utilisateur unique ici, car cet utilisateur nouvellement ajouté deviendra le nouvel utilisateur administrateur.
  • Déconnectez-vous de l'ancien compte utilisateur “Admin”.
  • Connectez-vous à nouveau en utilisant le nouveau nom d'utilisateur unique que vous avez créé.
  • Supprimez l'utilisateur “Admin” d'origine. Vous devrez réaffecter tous vos anciens messages de l'ancien utilisateur “Admin” au nouvel utilisateur.

Vous pouvez également modifier le nom d'utilisateur en accédant au phpMyAdmin. Lisez à ce sujet sur SiteGround.

Mot de passe fort

Changer le nom d'utilisateur n'est qu'à mi-chemin. Renforcez votre mot de passe pour que les bots ne puissent pas le deviner. Les anniversaires, le nom de l'animal, le sportif préféré peuvent tous être devinés correctement. Les attaques par force brute ne sont que des tentatives fréquentes et répétées de deviner le mot de passe par essais et erreurs. Et ils sont tenus de réussir si le mot de passe est faible. Par conséquent, des mots de passe forts sont importants.

Un mot de passe fort devrait idéalement utiliser une combinaison de chiffres et de lettres, majuscules et minuscules. Ajoutez un symbole ou deux comme ‘!' ou ‘@'. WordPress offre la possibilité de générer un mot de passe fort, et vous pouvez également l'utiliser. Ou prenez l'aide d'un Générateur de mot de passe. Vérifiez si votre mot de passe est fort à Quel est le degré de sécurité de mon mot de passe. Et changez régulièrement le mot de passe.

mot de passe fort

Vous avez du mal à vous souvenir du mot de passe ? Découvrez les gestionnaires de mots de passe comme Dernier passage, DashLane, KeePass, 1Mot de passe et RoboForm. Un gestionnaire de mots de passe stocke tous vos mots de passe sous une forme cryptée et vous pouvez y accéder depuis n'importe quel appareil.

Si je n'ai pas plaidé pour un mot de passe fort, ce rapport de SplashData énumérer les pires mots de passe de 2015 peut peut-être vous convaincre.

Limiter l'accès des utilisateurs

Si vous êtes le seul à accéder à l'Admin, celui-ci n'est pas pour vous. Mais si vous autorisez plusieurs utilisateurs à accéder au backend, vous devez garder un contrôle strict sur leurs privilèges. Autoriser l'accès et les privilèges uniquement aux zones et dans la mesure où cela leur est nécessaire pour accomplir leurs tâches.

limiter-l'accès-utilisateur

De plus, les utilisateurs de votre site devraient également être tenus d'utiliser des mots de passe forts. Pour vous en assurer, vous pouvez installer le Forcer des mots de passe forts brancher. Ce plugin permet aux utilisateurs d'accéder au site uniquement s'ils ont configuré un mot de passe fort pour eux-mêmes. Ou vous pouvez consulter la solution de sécurité de connexion, qui examine et applique également la force du mot de passe, sans ennuyer les utilisateurs authentiques.

Limiter les tentatives de connexion

Les robots accèdent à votre site en essayant diverses combinaisons de nom d'utilisateur et de mot de passe. Il peut leur falloir de nombreuses tentatives avant qu'ils ne puissent s'introduire. Si nous limitons le nombre de tentatives pouvant être effectuées à partir d'une seule adresse IP, nous pouvons réduire considérablement les chances que les bots obtiennent l'accès.

limiter les tentatives de connexion

Il existe des plugins spécialisés qui peuvent effectuer cette tâche –

Il convient également de noter que certains hébergeurs proposent cette fonctionnalité intégrée. WP Engine, par exemple, l'a ajouté à sa plate-forme d'hébergement au début de 2015 pour rendre les sites Web qu'il héberge plus sécurisés (en plus de son SSL gratuit, de l'authentification à deux facteurs, des sauvegardes automatisées, de plusieurs pare-feu, de l'analyse des logiciels malveillants, etc.).

Modifier votre URL de connexion

L'URL de connexion à tous les sites WordPress est, par défaut, l'URL principale de votre site suivie de wp-login.php ou wp-admin par exemple, monsiteweb.com/wp-login.php. Les pirates le savent, et si vous pouvez modifier cette URL, vous leur compliquerez l'accès à votre site Web.

Vous pouvez installer Protéger WP-Admin pour changer l'URL de votre panneau d'administration et bloquer les liens par défaut. Vous pouvez le changer en tout ce que vous voulez, comme monsiteweb.com/allow_admin_access. Lorsqu'une requête pour monsiteweb.com/wp-login.php ou monsiteweb.com/wp-admin, atteint le site, il sera redirigé vers la page d'accueil. Et seule l'URL personnalisée sera autorisée dans le panneau d'administration.

proteyour-admin-url

Un moyen totalement fiable de protéger votre page d'administration est de bloquer entièrement l'accès à votre wp-admin et wp-login.php page. Mais cela ne peut être utilisé que si vous utilisez une adresse IP qui ne change pas. Sinon, vous courez le risque d'être exclu de votre site Web. Si vous pouvez suivre plusieurs adresses IP, vous pouvez toujours continuer et adopter cette option.

Vous pouvez également restreindre l'accès à votre wp-login.php fichier à l'aide de l'authentification de base HTTP. Il s'agit d'une couche de sécurité externe qu'un utilisateur doit franchir pour accéder à la page de connexion. Vous devrez générer un fichier .htpasswd, pour répertorier tous les noms d'utilisateur autorisés et leurs mots de passe cryptés respectifs. Une attaque par force brute peut également être lancée contre l'authentification de base HTTP, mais les pirates devront redoubler d'efforts pour casser les deux couches.

Ajouter SSL à votre site Web

SSL est une technologie de sécurité standard. HTTP est le protocole de transfert hypertexte pour le transfert de données entre un serveur et un navigateur. La version sécurisée de HTTP est HTTPS, le « S » signifiant Secure. Ensemble, ils vérifient l'identité du site Web auprès de l'utilisateur et garantissent à l'utilisateur la confidentialité entre le site Web et le navigateur de l'utilisateur.

Une fois que vous avez configuré SSL / HTTPS, le serveur crypte les données et seul le navigateur de l'utilisateur peut les déchiffrer. Pour tout tiers indésirable, les données n'auront aucun sens et apparaîtront simplement sous la forme d'une chaîne de caractères. En prime, vous trouverez que Google privilégie le HTTPS tout en classant les sites Web.

L'obtention d'un certificat SSL n'est peut-être plus facultative, en particulier si vous utilisez le navigateur Chrome. C'est parce que Google est sur la bonne voie pour marquer tous les sites non HTTPS comme “non sécurisés”.

ssl-2

Aujourd'hui, tous les sites non HTTPS sont simplement neutres quant à l'indication du statut SSL, mais cela changera en janvier 2017. Tous les sites Web nécessitant des mots de passe ou collectant des informations de carte de crédit doivent devenir sécurisés ou risque d'être étiqueté comme non sécurisé par Google.

Il existe de nombreuses entreprises comme Comodo, Digicertet SSL.com offrant des services de certification. Les certificats peuvent être acquis sans trop de frais auprès de SSLMate et gratuitement de Permet de chiffrer. Certains fournisseurs de services d'hébergement offrent SSL gratuit avec leurs plans d'hébergement. Vous pouvez en savoir plus sur l'installation de SSL dans notre guide HTTPS et SSL gratuit.

Authentification à deux facteurs

L'authentification à deux facteurs est l'un des moyens les plus sûrs de protéger votre site Web contre les pirates. Cela fonctionne en plus du nom d'utilisateur / mot de passe standard que vous avez déjà. Une fois que vous avez saisi ces informations d'identification, un code est généré sur un appareil que vous possédez, souvent votre smartphone. Ce n'est qu'une fois ce code saisi que vous accédez au site.

5sec-google-authenticator-for-wordpress-protection-de-la-connexion-en-deux-étapes

De nombreux plugins gratuits et premium sont disponibles pour une installation sur votre site Web. Cette méthode de sécurité existe depuis un certain temps, mais est maintenant de plus en plus appliquée à l'accès aux sites Web. Vous pouvez en savoir plus sur l'authentification à deux facteurs dans notre article précédent.

Plugins de sécurité

De nombreux sites Web installent des plugins qui prennent en charge la sécurité de WordPress de manière complète. Ils intègrent une protection par pare-feu, une analyse des logiciels malveillants, une liste noire et une liste blanche des adresses IP, la surveillance de l'activité des utilisateurs, la journalisation des audits et renforcent généralement la sécurité globale. Des options gratuites et premium sont disponibles.

Certains plugins qui incluent la protection de connexion,

barrière de mots

  • Clôture des mots – Applique des mots de passe forts et empêche les attaques par force brute.
  • iThemes – Combat les attaques automatisées et limite le nombre de tentatives de connexion. Il implémente également des informations d'identification utilisateur plus strictes.
  • Sécurité et pare-feu tout-en-un – Empêche les attaques par force brute et permet le blocage au niveau IP, verrouillant un utilisateur après une période de temps spécifiée. Les autres fonctionnalités de protection de la connexion incluent le verrouillage de la connexion et les adresses IP de la liste blanche et de la liste noire.
  • Sécurité à l'épreuve des balles – Connexion et protection contre la force brute.
  • McAfee Secure – Offre plusieurs couches de protection, notamment une marque de site de confiance, une analyse des logiciels malveillants et une couverture de protection de l'identité pour les magasins de commerce électronique (un atout considérable).

Dernières pensées

Les méthodes répertoriées dans cet article sont pour la plupart simples, mais très efficaces, pour empêcher les robots, les logiciels malveillants et les malfaiteurs de pénétrer dans votre site Web. Vous pouvez également ajouter des captchas ou d'autres petits tests pour vérifier si la tentative de connexion est effectuée par un humain et empêcher les bots. Si vous avez besoin de plus de conseils sur la sécurité de WordPress, lisez ce que Freddy a à dire dans cet article.