Comment sécuriser votre administrateur WordPress (Wp-Admin)

La sécurité de WordPress est assez vitale dans l'écosystème WordPress. L'une des approches de sécurité à adopter consiste à sécuriser votre Wp-admin. En effet, le Wp-admin est susceptible d'être le premier point que les attaquants utiliseront pour tenter d'accéder à votre site.

Par défaut, les fichiers d'administration de WordPress sont stockés dans le dossier Wp-admin. Bien que WordPress ait mis en place diverses mesures de sécurité pour protéger le dossier, le fait que l'administrateur WordPress par défaut soit largement connu en fait une cible facile pour les pirates. Il est donc important de réduire le risque d'attaques Web déclenchées par l'administrateur WordPress.

Dans cet article, nous examinerons certaines des approches que vous pouvez utiliser pour sécuriser votre administrateur WordPress.

Table des matières

Approches pour sécuriser votre Wp-admin

• Évitez d'utiliser le nom d'utilisateur "admin" par défaut
• Créer des mots de passe forts
• Protégez par mot de passe la zone Wp-admin
• Créer une URL de connexion personnalisée
• Incorporer une authentification/vérification à deux facteurs
• Activer les déconnexions automatiques
• Limiter le nombre de tentatives de connexion
• Implémenter la restriction IP
• Désactiver les erreurs sur la page de connexion
• Utiliser un plugin de sécurité
• Mettre à jour WordPress vers la dernière version

Conclusion

Approches pour sécuriser votre Wp-admin

Il existe différentes manières que vous pouvez utiliser pour sécuriser la zone d'administration de WordPress. Vous trouverez ci-dessous une liste rapide de ces pratiques de sécurité.

1. Évitez d'utiliser le nom d'utilisateur "admin" par défaut

Lors d'une nouvelle installation de WordPress, le premier compte créé est le compte administrateur. "admin" est défini comme nom d'utilisateur par défaut dans une telle installation. C'est en fait de notoriété publique.

Un pirate informatique peut facilement déterminer si "admin" est votre nom d'utilisateur en accédant simplement à l'URL de connexion de votre site et en essayant le nom d'utilisateur "admin". Si "admin" est en fait un nom d'utilisateur sur le site, ils auront un tel message d'erreur dans l'écran de connexion ; " Erreur : Le mot de passe que vous avez saisi pour le nom d'utilisateur admin est incorrect. Mot de passe perdu ?"

Un tel message d'erreur servirait de confirmation au pirate qu'il existe un nom d'utilisateur "admin" sur le site.

A ce stade, un pirate dispose déjà de deux informations concernant votre site. Il s'agit du nom d'utilisateur et de l'URL de connexion. Tout ce dont le pirate a besoin est le mot de passe du site.

Un pirate informatique va maintenant essayer de mener des attaques en exécutant simplement des mots de passe contre ce nom d'utilisateur afin d'accéder au site. Cela peut être effectué manuellement ou même via des bots.

Une autre approche qu'un pirate peut utiliser consiste simplement à ajouter la requête "?author=1/" à l'URL afin qu'elle se lise comme yourdomain/?author=1/. Si vous avez un nom d'utilisateur avec l'administrateur de l'utilisateur, l'URL renverra les messages de l'utilisateur ou aucun s'il n'y a pas de messages associés. Ci-dessous un exemple d'illustration :

Dans l'un ou l'autre des cas, tant qu'une erreur 404 n'est pas renvoyée, cela servirait de confirmation qu'il existe sûrement un nom d'utilisateur avec le nom d'utilisateur "admin".

Sur la base des scénarios ci-dessus, si vous avez le nom d'utilisateur par défaut "admin" en place, il est essentiel que vous créiez un nouveau compte administrateur à partir de la section Utilisateurs > Ajouter un nouveau dans votre tableau de bord WordPress.

Une fois cela fait, assurez-vous de supprimer le compte « admin » précédent.

2. Créer des mots de passe forts

Des mots de passe forts sont essentiels à tout site WordPress. Les mots de passe faibles, d'autre part, permettent aux pirates d'accéder facilement à votre site WordPress.

Certaines des mesures de sécurité des mots de passe que vous pouvez intégrer incluent :

• Assurez-vous que le mot de passe est suffisamment long (un minimum de 10 caractères)
• Le mot de passe doit contenir au moins des caractères alphanumériques, des espaces et des caractères spéciaux
• Assurez-vous que les mots de passe sont régulièrement changés ou mis à jour
• Assurez-vous de ne pas réutiliser les mots de passe
• Les mots de passe ne doivent pas être des mots du dictionnaire
• Stocker les mots de passe à l'aide d'un gestionnaire de mots de passe
• Assurez-vous que les utilisateurs qui s'inscrivent sur le site remplissent des mots de passe forts

Les mots de passe ne doivent pas non plus être devinables, car cela constituerait à nouveau une menace pour la sécurité.

3. Protégez par mot de passe la zone Wp-admin

WordPress offre un niveau de sécurité à l'administrateur Wp en permettant aux utilisateurs de saisir leur nom d'utilisateur et leur mot de passe pour se connecter. Cependant, cela peut ne pas suffire car les pirates peuvent en fait mener des attaques Web en accédant à Wp-admin. Il est donc recommandé d'ajouter une couche de sécurité supplémentaire au Wp-admin. Cela peut se faire soit via :

i) cPanel

ii) .htaccess

Via cPanel

Afin de protéger par mot de passe le Wp-admin via cPanel, vous devrez effectuer les opérations suivantes :

Accédez d'abord à votre tableau de bord cPanel et cliquez sur "Directory Privacy".

Ensuite, accédez au dossier public_html.

Dans celui-ci, cliquez sur le bouton "Modifier" dans le répertoire wp-admin.

Sur l'écran suivant, activez l'option "Mot de passe pour protéger ce répertoire" et dans le champ "Entrez un nom pour le répertoire protégé", saisissez un nom de votre choix et enregistrez vos modifications.

Une fois cela fait, prenez du recul et créez un nouvel utilisateur avec les détails souhaités (nom d'utilisateur et mot de passe).

Avec ce qui précède effectué, si un utilisateur essaie d'accéder au dossier wp-admin, il devra remplir le nom d'utilisateur et le mot de passe nouvellement créés avant d'être redirigé vers l'écran où il devra remplir son WordPress admin identifiants.

Par .htaccess

Le .htaccess est un fichier de configuration utilisé par Apache pour effectuer des modifications sur les répertoires. Vous pouvez en savoir plus sur le fichier dans cet article.

Dans cette section, nous verrons comment utiliser le fichier .htaccess pour restreindre le dossier wp-admin. Pour cela, nous allons devoir créer deux fichiers (.htaccess et .htpasswd) en procédant comme suit :

i) Créer un fichier .htaccess

À l'aide d'un éditeur de texte de votre choix, créez un nouveau fichier nommé .htaccess .

Ajoutez le contenu suivant au fichier :

 AuthType basic AuthName "Protected directory" AuthUserFile /home/user/public_html/mydomain.com/wp-admin/.htpasswd AuthGroupFile /dev/null require user usernamedetail

Dans le code ci-dessus, vous devrez modifier le chemin "AuthUserFile" spécifié (/home/user/public_html/mydomain.com/wp-admin/) avec votre chemin de répertoire wp-admin où vous téléchargerez le fichier .htpasswd . De plus, vous devrez également modifier le "détail du nom d'utilisateur" dans la ligne "utilisateur requis", avec le nom d'utilisateur souhaité.

ii) Créer un fichier .htpasswd

Toujours en utilisant un éditeur de texte de votre choix, créez un nouveau fichier nommé .htpasswd.

Accédez au générateur wtools.io.

Remplissez votre nom d'utilisateur et votre mot de passe dans les champs dédiés du formulaire Htpasswd et cliquez sur le bouton "Générer".

Une fois cela fait, copiez le résultat dans votre fichier .htpasswd et enregistrez vos modifications.

iii) Télécharger les fichiers via FTP

Pour télécharger les fichiers via FTP, vous devrez utiliser un outil tel que Filezilla.

Pour commencer, vous devrez télécharger votre fichier .htaccess dans le répertoire wp-admin de votre site suivi du fichier .htpasswd.

Une fois qu'un utilisateur essaie maintenant d'accéder à /wp-admin, un écran de connexion similaire à celui présenté ci-dessous lui sera présenté :

4. Créez une URL de connexion personnalisée

Les URL de connexion WordPress sont accessibles en ajoutant wp-admin ou wp-login.php ? à votre domaine. Le fait qu'il s'agisse des points de terminaison de connexion WordPress par défaut signifie que tant qu'un pirate informatique a accès au domaine, il peut facilement accéder à votre URL de connexion.

Si vous utilisez également le nom d'utilisateur "admin" par défaut, cela signifierait à nouveau qu'un pirate informatique n'aurait besoin de comprendre qu'une seule information, qui est le "mot de passe".

Il est donc important d'avoir en place une URL de connexion personnalisée pour votre site. Une façon d'y parvenir est que vous devrez installer le plug-in WPS Hide Login.

Lors de l'installation du plugin, accédez à la section Paramètres> WPS Masquer la connexion et spécifiez l'URL de connexion souhaitée et une URL de redirection qui seront accessibles lorsqu'un utilisateur non connecté essaie d'accéder à Wp-login.php ou Wp-admin .

Une fois cela fait, enregistrez vos modifications.

Cela compliquera la tâche de toute personne essayant d'accéder à la connexion à votre site Web, réduisant ainsi les tâches potentielles.

5. Incorporer une authentification/vérification à deux facteurs

L'authentification à deux facteurs est un mécanisme de sécurité par lequel une couche de sécurité supplémentaire est fournie en ajoutant une exigence d'authentification supplémentaire.

Afin d'implémenter l'authentification à deux facteurs dans votre site WordPress, vous pouvez utiliser un plugin tiers de votre choix. Dans ce guide, nous suggérons d'utiliser le plugin WP 2FA - Authentification à deux facteurs pour WordPress en raison de sa facilité d'utilisation.

Pour utiliser le plugin, accédez à la section Plugins > Ajouter un nouveau dans le tableau de bord WordPress et recherchez WP 2FA.

Installez et activez le plugin.

Une fois cela fait, accédez à la section Utilisateurs > Profil et cliquez sur le bouton « Configurer 2FA ».

Sur l'écran suivant, sélectionnez la méthode 2FA souhaitée. Dans notre cas ici, nous sélectionnerons l'option "Code à usage unique généré avec l'application de votre choix".

Après la sélection, passez à l'étape suivante. Ici, sélectionnez l'application souhaitée pour l'authentification à partir de la liste d'icônes fournie. Cliquer sur une icône redirigera vers le guide sur la façon de configurer l'application.

Dans notre cas ici, nous utiliserons l'application "Google Authenticator". Vous pouvez donc commencer par installer d'abord l'application Google Authenticator sur l'appareil de votre choix, par exemple sur un mobile.

Une fois cela fait, ouvrez l'application et appuyez sur l'icône flottante "+" dans la région en bas à droite de l'application.

Ensuite, vous devrez scanner le code QR dans la capture d'écran illustrée ci-dessus.

Ce faisant, vous serez redirigé vers un écran avec le compte nouvellement ajouté, à côté du code 2FA.

Ensuite, retournez sur votre site et remplissez votre code 2FA, validez et enregistrez la configuration. Ci-dessous un exemple d'illustration :

Une fois cette opération effectuée, vous aurez désormais un message de réussite et vous pourrez alors effectuer une sauvegarde de vos codes.

Pour des illustrations détaillées sur la façon de procéder, vous pouvez consulter le guide ici.

Une fois qu'un utilisateur essaie maintenant de se connecter au site, même en contournant la première connexion, il se verra présenter une couche d'authentification supplémentaire où il lui sera demandé de saisir le code d'authentification.

6. Activer les déconnexions automatiques

Après s'être connecté à un site Web et que les utilisateurs ne ferment pas la fenêtre de leur navigateur, les sessions ne sont pas terminées pendant un certain temps. Cela rend un tel site Web vulnérable aux pirates via le détournement de cookies. Il s'agit d'une technique par laquelle un pirate informatique est en mesure de compromettre une session en volant ou en accédant à des cookies dans le navigateur d'un utilisateur.

En tant que mécanisme de sécurité, il est donc important de déconnecter automatiquement les utilisateurs inactifs du site Web. Pour ce faire, vous pouvez utiliser un plugin tel que le plugin Inactive Logout.

Le plugin peut être installé à partir de la section Plugins> Ajouter un nouveau en le recherchant d'abord, en l'installant et en l'activant.

Lors de l'activation du plugin, accédez à la section Paramètres> Déconnexion inactive, définissez le «Délai d'inactivité» et enregistrez vos modifications.

Vous pouvez définir la valeur selon vos préférences, mais 5 minutes seraient idéales.

7. Limitez le nombre de tentatives de connexion

Par défaut, WordPress n'offre pas de limite au nombre de tentatives de connexion au sein d'un site Web. Cela permet aux pirates d'exécuter des scripts contenant des informations de connexion utilisateur communes pour tenter de pénétrer le site Web. Si le nombre de tentatives est trop élevé, cela peut entraîner une surcharge sur votre serveur et éventuellement un temps d'arrêt sur le site Web. Dans le cas où vous utilisez des données de connexion communes, un pirate informatique est également susceptible d'accéder avec succès au site.

Il est donc important de limiter le nombre de tentatives de connexion au sein d'un site Web. Pour cette implémentation, vous pouvez utiliser un plugin tel que Login Lockdown.

Semblable à d'autres installations de plugins dans wordpress.org, vous pouvez installer le plugin Login Lockdown à partir de la section Plugins > Ajouter un nouveau. Dans la section, recherchez le plugin, installez-le et activez-le.

Lors de l'activation, accédez à Paramètres> Verrouillage de la connexion et spécifiez les paramètres de verrouillage souhaités, tels que le nombre maximal de tentatives de connexion, la restriction de la période de tentative, la durée du verrouillage et bien d'autres en fonction de vos préférences.

8. Implémenter la restriction IP

La restriction IP est une approche que vous pouvez également mettre en œuvre afin de refuser l'accès à Wp-admin. Cette méthode est cependant recommandée si vous utilisez une adresse IP statique.

Afin d'implémenter la restriction IP, vous devrez créer un fichier .htaccess dans le répertoire wp-admin si vous n'en avez pas déjà un, et ajouter le code suivant au fichier :

 AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all # Allow First IP allow from xx.xx.xx.xxx # Allow Second IP allow from xx.xx.xx.xxx # Allow Third IP allow from xx.xx.xx.xxx </LIMIT>

Une fois cela fait, vous devrez remplacer le xx.xx.xx.xxx dans le code par les adresses IP auxquelles vous souhaitez accorder l'accès.

Si vous changez également de réseau, vous devrez accéder aux fichiers de votre site et ajouter la nouvelle adresse IP afin d'être en mesure de vous connecter au site.

Si maintenant un utilisateur dont l'adresse IP n'est pas autorisée à accéder à wp-admin tente d'y accéder, il rencontrera un message d'erreur Forbidden similaire à l'illustration ci-dessous.

9. Désactiver les erreurs sur la page de connexion

Par défaut, WordPress affichera des erreurs sur la page de connexion si un utilisateur tente de se connecter au site en utilisant des informations d'identification incorrectes. Voici quelques exemples de ces messages d'erreur :

• " ERREUR : Nom d'utilisateur non valide. Mot de passe perdu? "
• “ ERREUR : Mot de passe incorrect. Mot de passe perdu? "

Avec de tels messages rendus, ils fournissent en fait des indices sur les informations de connexion incorrectes et cela signifierait qu'un pirate informatique n'aurait qu'un seul détail à comprendre. Par exemple, le deuxième message est un indice que le mot de passe est ce qui est incorrect. Le pirate n'aurait donc qu'à trouver le mot de passe pour accéder au site.

Afin de désactiver ces messages d'erreur, vous devrez ajouter le code suivant dans le fichier functions.php du thème :

 function disable_error_hints(){ return ' '; } add_filter( 'login_errors', 'disable_error_hints' );

Si un utilisateur essaie maintenant de se connecter au site avec des informations d'identification incorrectes, aucun message d'erreur ne s'affichera. Vous trouverez ci-dessous un exemple d'illustration à ce sujet :

10. Utiliser un plugin de sécurité

Les plugins de sécurité WordPress aident à réduire les menaces de sécurité sur votre site Web. Certains de ces plugins de sécurité offrent des fonctionnalités telles que l'ajout de reCaptcha, la restriction IP et bien d'autres.

Il est donc important que vous envisagiez d'utiliser un plugin de sécurité pour réduire la probabilité d'attaques au sein de Wp-admin. Voici quelques exemples de plugins de sécurité que vous pouvez envisager d'utiliser : WordFence et Malcare.

11. Mettez à jour WordPress vers la dernière version

WordPress est un logiciel régulièrement mis à jour. Certaines des mises à jour intègrent des correctifs de sécurité. Si, par exemple, il y avait une version de sécurité ciblant le Wp-admin, et dans votre cas, vous ne parvenez pas à mettre à jour votre version de WordPress, cela signifierait que votre Wp-admin est sujet aux attaques.

Il est donc important de mettre régulièrement à jour votre version de WordPress pour réduire les risques d'exploits sur votre site web.

Conclusion

L'administrateur WordPress est une cible majeure pour les pirates afin qu'ils puissent prendre le contrôle total de votre site Web. Il est donc important pour vous de protéger la section d'administration WordPress de votre site Web.

Dans cet article, nous avons examiné un certain nombre de façons que vous pouvez utiliser pour sécuriser votre administrateur WordPress. Nous espérons que l'article est informatif et utile. Si vous avez des questions ou des suggestions, n'hésitez pas à utiliser la section des commentaires ci-dessous.