Pourquoi une politique de mots de passe forts est si importante pour votre site WordPress

Publié: 2020-09-10

Si vous gérez un site WordPress depuis un certain temps, vous vous demandez peut-être pourquoi une politique de mots de passe forts est si importante. Les utilisateurs sont sûrement conscients qu'ils doivent utiliser des mots de passe forts ? Malheureusement, de nombreux utilisateurs utilisent sciemment des mots de passe faibles, mettant votre site WordPress en danger.

Il y a différentes raisons pour lesquelles cela continue de se produire. Certains ne veulent pas avoir à se souvenir d'un mot de passe complexe. Alors que d'autres aiment réutiliser le même mot de passe sur plusieurs sites. Dans tous les cas, l'application d'une politique de mot de passe fort vous protège contre les mauvais choix de mots de passe des utilisateurs, tels que password123 .

Dans cet article, nous expliquerons pourquoi la sécurité des mots de passe est si vitale et comment vous pouvez garantir que tous les utilisateurs choisissent un mot de passe fort en quelques clics. Mais d'abord, examinons comment vous pouvez garantir que tous les utilisateurs choisissent un mot de passe fort à l'aide d'un gestionnaire de mots de passe.

Pourquoi devriez-vous utiliser un gestionnaire de mots de passe

Un peu moins de 75 % des utilisateurs de sites Web ont du mal à se souvenir de leurs mots de passe. Cela entraîne des comportements à risque tels que la réutilisation de mots de passe sur plusieurs sites ou le stockage de mots de passe sensibles dans des fichiers en ligne qui pourraient être compromis. C'est pour cette raison précise que de nombreux administrateurs WordPress ne parviennent pas à appliquer des politiques de mots de passe solides. Ils craignent que leurs utilisateurs ne soient découragés s'ils sont obligés de se souvenir de mots de passe compliqués.

Cependant, qu'un utilisateur puisse ou non se souvenir de son mot de passe ne devrait pas entrer en ligne de compte. En utilisant un gestionnaire de mots de passe, vous pouvez utiliser des mots de passe très forts, difficiles à deviner et distincts sans avoir à vous en souvenir.

Qu'est-ce qu'un gestionnaire de mots de passe ?

Un gestionnaire de mots de passe est un logiciel ou un service en ligne qui stocke en toute sécurité vos informations d'identification pour différents comptes en ligne. Toutes les informations contenues dans le gestionnaire de mots de passe sont protégées par un mot de passe principal. Beaucoup facilitent également l'authentification à deux facteurs, ce qui la rend encore plus sûre.

En favorisant l'utilisation d'un gestionnaire de mots de passe, vos utilisateurs WordPress n'auront à retenir qu'un seul mot de passe maître. Ainsi, il devient beaucoup plus facile pour eux de se conformer à votre politique de mot de passe stricte. Nous recommandons 1Password ou KeePass, car nous les utilisons régulièrement.

Qu'est-ce qu'une politique de mot de passe fort (et la sécurité des mots de passe) ?

La mise en œuvre d'une politique de mot de passe fort nécessite plusieurs étapes. De nombreux administrateurs WordPress pensent qu'ils peuvent compter uniquement sur le compteur de sécurité de mot de passe de WordPress. Cela ne fonctionne pas car il recommande uniquement aux utilisateurs d'utiliser des mots de passe plus forts, mais cela ne les force pas, comme expliqué dans comment forcer des mots de passe forts sur WordPress. Et une simple politique de longueur de mot de passe minimale ne suffit pas pour empêcher une faille de sécurité.

Bien que la longueur du mot de passe soit un facteur important ; il doit être accompagné des stratégies de mot de passe supplémentaires suivantes :

  • Majuscules et minuscules
  • Nombres
  • Caractères spéciaux
  • Changer régulièrement
  • Bloquer la réutilisation des anciens mots de passe

L'approche de votre politique de mot de passe doit être à plusieurs volets. Sinon, les mots de passe ne seront pas assez forts pour éradiquer le potentiel de violation de votre site WordPress.

Pourquoi une politique de mots de passe forts est-elle si importante ?

La mise en œuvre d'une politique de mots de passe forts est si importante car elle protège contre une série d'attaques. Les robots automatisés de devinettes de mot de passe sont devenus sophistiqués. Si les pirates ont réussi à trouver l'e-mail associé à un compte WordPress, ils pourraient utiliser ce logiciel pour se frayer un chemin dans le compte.

Une attaque par dictionnaire est l'une des techniques les plus couramment utilisées pour entrer par force brute dans le compte d'un utilisateur. Cela fonctionne en essayant des milliers, voire des millions de possibilités probables, telles que des mots dans un dictionnaire ou des mots de passe précédemment utilisés obtenus à partir de failles de sécurité passées. C'est pourquoi les mots de passe alphanumériques sont essentiels. Une chaîne de mots du dictionnaire peut être déchiffrée en quelques millisecondes. Même avoir un mot de passe de plus de dix caractères ne suffira pas.

Des politiques de mots de passe solides protègent également les sites Web contre les tentatives de piratage manuel. Il s'agit d'un scénario dans lequel un cybercriminel a obtenu des informations personnelles (telles que la date de naissance ou l'adresse d'un utilisateur), qui font souvent partie de mots de passe faibles définis par des utilisateurs négligents.

Quelles sont les qualités d'un mot de passe fort ?

Que vous utilisiez un générateur de mots de passe automatisé ou que vous créiez le vôtre, il est utile de savoir précisément sur quoi vous devez vous concentrer pour rendre vos mots de passe WordPress aussi sécurisés que possible.

Les mots de passe plus longs sont plus forts

Le premier élément sur lequel vous devez vous concentrer est la longueur. Les mots de passe plus longs sont presque toujours plus forts. La technologie moderne peut deviner un mot de passe à sept caractères avec seulement des lettres en seulement 0,29 millisecondes. Un mot de passe à dix caractères prendrait quatre mois. Augmentez cela jusqu'à 12 caractères, et tout à coup, votre mot de passe mettrait deux siècles à se fissurer. Pas un mauvais retour pour quelques personnages supplémentaires.

Tous les mots de passe doivent être alphanumériques

Ensuite, assurez-vous d'inclure à la fois des caractères alphabétiques et numériques pour ajouter une autre couche de complexité. Un mot de passe « 123456789 » pourrait être piraté des centaines de fois par seconde. Mais en ajoutant la lettre A à l'avant pour faire " A23456789" , vous pouvez profiter de décennies de protection contre les techniques de force brute.

Toujours inclure des caractères spéciaux

Ensuite, assurez-vous d'inclure un caractère spécial ainsi que des lettres majuscules et minuscules, pour augmenter encore la complexité. Le « mot de passe » peut être déchiffré en quelques millisecondes. Mais « P@ssw0rD » prendrait 14 ans.

Tous les quelques mois, vous devriez changer vos mots de passe

La technologie impliquée dans le cracking des mots de passe progresse à un rythme de plus en plus rapide. Ainsi, plus longtemps vous laissez un mot de passe en place, plus il devient vulnérable. Il est donc impératif de le changer régulièrement. Il protège également vos comptes contre les piratages malveillants lorsque les anciennes informations de mot de passe sont collectées à partir de failles de sécurité sur d'autres sites.

Quels sont les dangers d'avoir un mot de passe faible ?

Selon le type de site WordPress que vous exploitez, il peut y avoir beaucoup de risques lorsqu'il s'agit d'avoir un mot de passe faible. Par exemple, si vous exploitez une boutique de commerce électronique, un utilisateur pourrait risquer de perdre ses informations de paiement s'il dispose d'un mot de passe non sécurisé.

Non seulement cela, mais un pirate pourrait accéder au compte d'un acheteur et commencer à placer du code sur votre site Web pour collecter les informations de divers détails de carte. Les cybercriminels vendent ensuite ces informations sur le dark web. S'il s'avère que vous avez présidé à une violation de données de cette nature, vos clients perdront confiance dans la sécurité de votre site. Pire encore, vous pourriez vous retrouver du mauvais côté d'une amende importante de la part d'un organisme de réglementation national.

Ceux qui ont d'autres intentions en tête (comme les hacktivistes) peuvent choisir de défigurer votre site avec des slogans politiques ou des injures racistes. Encore une fois, ébranler la confiance de vos visiteurs et salir la réputation de votre entreprise.

Les mots de passe faibles sont l'une des principales causes de violation de données

N'oubliez pas que les logiciels de piratage de pointe peuvent deviner 10 milliards de combinaisons de mots de passe en quelques secondes. Les mots de passe faibles sont souvent responsables des scénarios mentionnés ci-dessus. Une étude réalisée en 2016 par Verizon a révélé que 63 % des violations de données confirmées impliquent l'utilisation de mots de passe faibles, par défaut ou volés. Les recherches menées par Bitglass ont révélé que 25 % de toutes les violations du secteur des services financiers depuis 2006 pouvaient être attribuées à des appareils perdus ou volés (et aux mots de passe qui leur ont été volés).

Ces deux cas illustrent parfaitement les dangers associés à la fois aux mots de passe faibles et aux politiques de mot de passe qui n'imposent pas un changement de mot de passe régulier. C'est pourquoi il est si crucial que vous administriez une politique de mots de passe forts.

Mais vous vous demandez peut-être exactement comment vous pouvez obtenir ce résultat pour votre site WordPress. Heureusement, il existe un plugin facile à utiliser qui peut protéger votre site Web contre les mots de passe faibles en quelques minutes seulement.

Comment configurer votre propre politique de mot de passe fort à l'aide de WPassword

Bien que WordPress avertisse les utilisateurs de l'utilisation d'un mot de passe faible, il permet toujours aux utilisateurs de le faire. Tout ce qu'ils ont à faire est de reconnaître qu'ils sont sur le point de définir un mot de passe non sécurisé. Par conséquent, votre seule option pour appliquer une politique de mot de passe fort consiste à utiliser un plugin de sécurité par mot de passe.

Le plugin WPassword vous permet d'appliquer une politique de mot de passe fort comprenant :

  • Longueurs minimales des mots de passe
  • Utilisation obligatoire des lettres majuscules et minuscules
  • L'obligation d'utiliser des chiffres
  • L'utilisation obligatoire de caractères spéciaux
  • Et bien plus encore (lisez la liste complète des fonctionnalités du plugin pour plus d'informations)

Pour commencer, téléchargez et installez simplement WPassword. Ensuite, dirigez-vous vers le nœud "Politiques de mot de passe" dans le menu des paramètres trouvé dans votre tableau de bord WordPress.

Comment utiliser WPassword

Ici, vous pouvez configurer les politiques de mot de passe de votre site Web et forcer vos utilisateurs à utiliser des mots de passe WordPress forts. Vous pouvez stipuler les règles régissant les mots de passe comme indiqué ci-dessus ainsi que la mise en œuvre d'une politique d'expiration de mot de passe. Cette politique garantira que les utilisateurs changent fréquemment leurs mots de passe et s'abstiennent de réutiliser les anciens.

WPassword permet également aux administrateurs WordPress de :

  • Exempter des utilisateurs ou des rôles spécifiques des politiques de mot de passe
  • Spécifier quand les sessions utilisateur sont terminées à l'expiration du mot de passe
  • Réinitialisez tous les mots de passe en un seul clic de souris

En cas de piratage de WordPress, cette dernière fonctionnalité peut vous aider à reprendre le contrôle de vos comptes d'utilisateurs en supprimant tous les utilisateurs et en leur demandant de réinitialiser leurs mots de passe.

Enfin, dans les paramètres de ce plugin, vous pouvez également choisir de désactiver les comptes inactifs en utilisant la politique des utilisateurs WordPress inactifs. Les comptes inactifs sont particulièrement vulnérables car ils ont probablement été créés il y a des années, avant que vous n'appliquiez une politique de mot de passe fort. Les pirates les ciblent précisément pour cette raison. Assurez-vous donc de verrouiller les utilisateurs inactifs pour empêcher ces intrus malveillants de détourner ces comptes.

Commencez à configurer votre politique de mot de passe fort

J'espère que vous devriez maintenant pleinement comprendre pourquoi une politique de mot de passe forte est si importante pour la sécurité de votre site Web WordPress. Les logiciels de piratage automatisés peuvent facilement casser des mots de passe faibles, et les conséquences d'une violation de compte utilisateur pourraient être catastrophiques.

Par conséquent, il est logique d'utiliser le plugin WPassword afin que vous puissiez :

  • Appliquez des mots de passe forts à vos utilisateurs
  • Attacher des dates d'expiration aux mots de passe
  • Verrouiller les utilisateurs inactifs
  • Exempter des rôles d'utilisateur spécifiques
  • Réinitialisez tous les mots de passe en un seul clic

Téléchargez WPassword pour commencer.

Astuce bonus : ajoutez 2FA pour une authentification WordPress encore plus forte

Installez une authentification à deux facteurs pour rendre votre site Web presque impénétrable avec le plugin WP 2FA pour WordPress.

En implémentant l'authentification à deux facteurs, vous demandez aux utilisateurs de s'identifier avec un autre mot de passe, un autre appareil ou une information biométrique. Par conséquent, cette couche de sécurité supplémentaire peut protéger les comptes d'utilisateurs même si un pirate possède la bonne combinaison de nom d'utilisateur et de mot de passe.