10 superbes conseils pour protéger la zone d'administration de WordPress
Publié: 2022-07-12Parmi les 8 000 sites Web infectés connus par Sucuri, 74 % d'entre eux sont basés sur WordPress, selon son rapport sur les sites Web piratés pour 2016. Cette statistique sérieuse vous aide en partie à réaliser la préoccupation constante et continue de la sécurité Web sur votre site.
Des tiers malveillants utilisent diverses méthodes pour attaquer votre site Web WordPress. Le tableau de bord d'administration serait la cible la plus vulnérable. C'est comme le hub de votre site contenant des données importantes. Une fois entrés par effraction dans votre tableau de bord d'administration, ils entreprennent des actions dangereuses qui endommageront considérablement votre site.
Pour prévenir efficacement les attaques suspectes, vous devez protéger l'administrateur WordPress. Notre article d'aujourd'hui se concentre sur 10 façons de resserrer votre zone de connexion. Avant d'entrer dans les détails, laissez-nous vous expliquer brièvement quelques raisons pour sécuriser votre connexion administrateur.
Pourquoi sécuriser l'administration de WordPress
Lorsque nous parlons d'exploits de sites Web, nous pensons certainement aux pirates qui s'introduisent dans votre serveur à l'aide de systèmes informatiques sophistiqués.
En fait, le processus est beaucoup plus facile que cela. Ils peuvent simplement accéder au backend de votre site Web et le contrôler. Ensuite, vous subissez les conséquences de la perte de données, de problèmes juridiques et de dépenses pour nettoyer le site Web.
Dans la plupart des cas, les pirates laissent des logiciels malveillants sur votre site pour voler les données d'identification des clients, telles que les numéros de téléphone ou les détails de la carte de crédit. Une fois ces informations privées volées, non seulement vos clients perdent de l'argent et sont dérangés, mais cela nuit également à la réputation de votre marque.
Les acheteurs ne reviendront jamais sur votre boutique en ligne pour acheter car ils ne savent pas si leurs informations sont entièrement sécurisées. Vous pouvez également être entraîné dans des litiges pour ne pas avoir soigneusement protégé les données des clients.
De plus, le nettoyage du site Web en raison d'une cyberattaque est coûteux. Vous devez engager des services de maintenance WordPress pour faire face à cela.
Il existe plusieurs techniques que vous pouvez appliquer pour protéger l'administrateur WordPress. Vous trouverez ci-dessous les 10 solutions les plus simples pour tout propriétaire de site, des non-techniciens aux connaisseurs en technologie.
#1 Modifier le nom d'utilisateur administrateur par défaut
WordPress attribue un administrateur aux noms d'utilisateur par défaut de tous les sites Web. Et les cybercriminels le savent, c'est sûr. Ils devinent facilement votre mot de passe pour se connecter à votre site. Ils peuvent soit l'acquérir quelque part, soit tenter une attaque par force brute.
Vous devez prendre un autre nom d'utilisateur plutôt que l' administrateur pour sécuriser la connexion de l'administrateur. Heureusement, changer les noms d'utilisateur dans WordPress est un jeu d'enfant.
- Visitez les utilisateurs dans le menu d'administration de votre site Web
- Choisissez Tous les utilisateurs et ouvrez le profil d'administrateur
- Mettre à jour le nom d'utilisateur et le mot de passe
- Enregistrez vos modifications
#2 Utilisez des mots de passe forts pour protéger l'administrateur WordPress
On estime que 8 % des sites WordPress piratés sont dérivés de mots de passe faibles. N'oubliez donc pas d'utiliser un mot de passe fort pour votre compte. Le mot de passe doit contenir au moins 8 caractères, combinant des lettres, des chiffres et des caractères spéciaux. Vous pouvez entrer le nouveau mot de passe directement sur la page Utilisateurs où vous modifiez le nom d'utilisateur.
Les générateurs de mots de passe vous aident grandement à créer des mots de passe aléatoires et forts. Choisissez simplement les éléments que vous souhaitez inclure dans le mot de passe et laissez l'outil gérer le travail.
Cependant, mémoriser tous vos mots de passe est pénible car vous possédez des tonnes de mots de passe et de comptes à gérer. Heureusement, vous disposez d'applications de gestion de mots de passe qui vous aident à stocker vos mots de passe en toute sécurité sans vous soucier d'être piraté.
#3 Créer une URL de connexion personnalisée
Outre le nom d'utilisateur, WordPress vous fournit également un lien de connexion par défaut en ajoutant /wp-login.php au domaine du site Web. Par exemple, www.example.com/wp-login.php . Si vous conservez à la fois l'URL de connexion et le nom d'utilisateur par défaut, les pirates accèdent à mi-chemin à l'administrateur de votre site.
Bien que vous puissiez créer une URL de connexion administrateur personnalisée en modifiant le fichier wp-login.php, nous vous recommandons fortement d'utiliser un plugin. Vous n'avez pas besoin de toucher au serveur ou d'apporter des modifications aux fichiers et dossiers susceptibles de détruire le site Web.
Tenez compte de WPS Hide Login lors du choix d'un plugin pour personnaliser le lien de connexion WordPress. Le plugin gagne la confiance de plus d'un million d'utilisateurs dans le monde et s'avère jusqu'à présent la solution la plus populaire dans ce créneau.
Suivez les 4 étapes ci-dessous pour démarrer avec le plugin.
- Installez et activez WPS Hide Login sur votre site
- Dirigez-vous vers Paramètres dans le menu d'administration
- Sélectionnez WPS Masquer la connexion
- Entrez le nouveau lien de connexion dans la zone URL de connexion
N'oubliez pas de sauvegarder vos modifications. Une fois cela fait, seuls les utilisateurs disposant du nouveau lien de connexion et des informations de compte correctes peuvent accéder à votre page d'administration.
#4 Protection par mot de passe du dossier wp-admin
Le dossier wp-admin se compose de fichiers administratifs vitaux, situés dans le répertoire racine. Vous pouvez créer une couche de sécurité supplémentaire pour votre administrateur en protégeant par mot de passe ce dossier wp-admin.
- Connectez-vous à votre hébergement cPannel ou connectez-vous avec un client FTP
- Cliquez sur Mot de passe pour protéger les répertoires ou la confidentialité des répertoires
- Trouvez le dossier wp-admin sous le répertoire /public_html/
- Activez l'option Protéger par mot de passe ce répertoire
- Fournir un nom d'utilisateur et un mot de passe
- Cliquez sur Enregistrer
C'est ce que les utilisateurs voient à tout moment en essayant d'obtenir votre page d'administration WordPress. Ils doivent entrer le bon nom d'utilisateur et le bon mot de passe pour passer la première couche d'authentification avant de soumettre les données d'identification de l'administrateur.
#5 Réinitialiser les mots de passe pour tous les utilisateurs
Une autre façon de protéger l'administrateur WordPress consiste à obliger chaque utilisateur à réinitialiser son mot de passe, en particulier sur les sites Web multi-utilisateurs. Pour y parvenir rapidement, vous avez besoin de l'aide du plugin Emergency Password Reset.
Lors de l'activation, il permettra aux administrateurs de réinitialiser les mots de passe et de leur envoyer automatiquement le lien de réinitialisation par e-mail en un seul clic. Suivez les étapes ci-dessous :
- Installez le plug-in de réinitialisation d'urgence du mot de passe
- Accédez à Utilisateurs → Réinitialisation d'urgence du mot de passe
- Appuyez sur le bouton Réinitialiser tous les mots de passe
C'est ça!
#6 Limiter les tentatives de connexion
WordPress permet aux utilisateurs de saisir les informations de connexion autant de fois qu'ils le souhaitent jusqu'à ce qu'ils réussissent à accéder à votre zone d'administration. Pourtant, cette option donne aux pirates une chance d'attaquer votre site par force brute.
Ces utilisateurs mal intentionnés disposent souvent d'une bibliothèque de mots de passe parmi les plus courants. Les pirates utiliseront un script automatisé et parcourront des milliers de mots de passe potentiels.
Pour réduire le risque, vous pouvez limiter les tentatives de connexion avec le plugin Wordfence Security. C'est plus qu'un simple plugin pour empêcher les attaques par force brute, qui est en charge de la sécurité du site et du pare-feu WordPress. Nous discuterons de l'utilité de ce plugin dans les sections à venir.
- Installez et activez le plugin Wordfence Security pour votre site
- Ouvrez Wordfence et sélectionnez Toutes les options
- Activez Activer la protection contre la force brute sous Options de pare -feu
- Entrez l'heure à laquelle les utilisateurs sont autorisés à soumettre des informations de connexion ayant échoué
S'ils peuvent se connecter même s'ils ont atteint le nombre maximum de tentatives, le plugin bloquera immédiatement leur adresse IP.
#7 Restreindre l'accès à la connexion par adresses IP
Cette méthode est avantageuse si vous avez quelques utilisateurs qui ont besoin d'accéder à votre zone d'administration. Il vous oblige à modifier le fichier .htaccess via le protocole de transfert de fichiers (FTP) ou le gestionnaire de fichiers de votre hébergeur.
Ajoutez le code ci-dessous au fichier :
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Contrôle d'accès administrateur WordPress" Type d'authentification de base <LIMITER L'OBTENTION> refuser la commande, autoriser refuser de tous # adresse IP de la liste blanche autoriser à partir de xx.xx.xx.xxx </LIMIT>
Remplacez xx.xx.xx.xxx par la véritable adresse IP.
Modifier le fichier .htaccess est très dangereux. N'oubliez pas de créer une sauvegarde de votre site avant de modifier le fichier .htaccess. De cette façon, vous pouvez inverser la version précédente en cas de problème sur le site.
#8 Configurer l'authentification à deux facteurs
L'authentification à deux facteurs (2FA) vous permet d'ajouter une couche de sécurité supplémentaire à votre administrateur WordPress. Par exemple, saisissez le code de sécurité envoyé à votre appareil mobile ou utilisez votre Face ID.
Si vous avez installé le plugin Wordfence que nous avons présenté ci-dessus, vous pouvez utiliser cette fonction sans l'aide d'une solution supplémentaire.
- Visitez Wordfence et ouvrez la section Sécurité de connexion
- Scannez les codes QR avec votre application d'authentification
#9 Désactiver les astuces de connexion
Lorsque les utilisateurs ne parviennent pas à se connecter au tableau de bord d'administration, WordPress affichera un message d'erreur les informant si leur nom d'utilisateur ou leur mot de passe était incorrect. Cela donne aux utilisateurs des indications sur les informations d'identification de connexion.
Prenons un exemple de pirates utilisant un nom d'utilisateur et un mot de passe aléatoires pour accéder à la page d'administration. S'ils connaissent l'un des détails, ils n'ont qu'à chercher le bon autre.
Vous pouvez arrêter cela en éditant le fichier functions.php de votre thème. Rendez-vous sur Apparence → Éditeur de thème → functions.php dans le backend WordPress. Ensuite, entrez le code suivant dans votre fichier functions.php.
fonction no_wordpress_errors(){ return 'Quelque chose ne va pas !'; } add_filter( 'login_errors', 'no_wordpress_errors' );
#10 Utilisez un pare-feu d'application de site Web
Un pare-feu n'est jamais une ancienne solution pour sécuriser votre administrateur WordPress. Il surveille le trafic du site et empêche les demandes malveillantes d'accéder à votre site. Certains plugins populaires que vous pouvez essayer incluent Wordfence, iThemes Security et Sucuri.
Non seulement ils éloignent les utilisateurs suspects, mais ces plugins analysent également les logiciels malveillants. Il existe de nombreuses options de protection de connexion à sélectionner, de la prévention des attaques par force brute, de l'authentification à deux facteurs, du CAPTCHA, etc.
Il est temps de protéger l'administrateur WordPress
Les conséquences des exploits WordPress sont dévastatrices. Vous perdrez des clients, la réputation de votre marque et de l'argent à cause des cybercrimes de connexion administrateur.
Prévenir vaut mieux que guérir. Vous avez parcouru les 10 meilleurs conseils pour sécuriser votre espace d'administration WordPress avec et sans plugins.
Il vous faut quelques clics pour changer le nom d'utilisateur et le mot de passe de l'administrateur. Vous pouvez installer des plugins pour générer une URL de connexion personnalisée, limiter les tentatives de connexion, configurer 2FA et appliquer un pare-feu. Vous devez utiliser un code pour protéger par mot de passe le dossier wp-admin, restreindre la connexion par adresses IP et désactiver les indices de connexion.
Combien de ces méthodes avez-vous appliquées ? Partagez avec nous dans la section des commentaires ci-dessous.