Sécurité de connexion WordPress : 5 étapes faciles pour sécuriser votre page de connexion
Publié: 2021-10-20Vous vous demandez si vous devriez vous inquiéter de la sécurité de connexion de WordPress ?
WordPress est le CMS le plus populaire au monde car il est très facile de créer un site Web avec. Bien qu'il s'agisse d'un CMS gratuit, il y a un prix à payer. WordPress est extrêmement prévisible, ce qui en fait parfois une cible facile.
Prenez, par exemple, la page de connexion.
Chaque site Web WordPress a la même page de connexion (/wp-admin.com ou /wp-login.php). Combinez la prévisibilité avec le penchant humain pour l'utilisation d'informations d'identification faibles, et la page devient une cible séduisante pour les pirates.
Les experts en sécurité disent que la page de connexion est la page la plus vulnérable d'un site Web. Chaque jour, les pirates déploient des robots pour effectuer des attaques par force brute sur cette page. En trouvant vos identifiants de connexion, ils peuvent facilement accéder à votre CMS. Ainsi, vous devez faire tout ce qui est en votre pouvoir pour le protéger contre ces invités non invités.
Dans cet article, nous allons vous montrer cinq méthodes avancées pour améliorer la sécurité de connexion de WordPress et éviter d'être piraté.
Comment sécuriser une page de connexion WordPress en 2022
Il y a beaucoup de mauvais conseils dans le domaine de la cybersécurité. La plupart visent à faire peur aux gens et à les faire céder à des choix compulsifs. Au lieu d'ajouter au bruit, dans cet article, nous vous montrerons des méthodes qui fonctionnent réellement. Ce sont:
- Modifier l'URL de la page de connexion
- Mettre en œuvre l'authentification à deux facteurs
- Limiter les tentatives de connexion infructueuses
- Empêcher la découverte du nom d'utilisateur
- Utiliser la déconnexion automatique
Vous avez dû remarquer que nous n'avons pas inclus l'application de mots de passe forts et l'installation de certificats SSL. C'est parce que c'est une donnée. Nous espérons que vous les utilisez déjà. Consultez nos autres guides pour savoir comment y parvenir.
Remarque : Pour mettre en œuvre les mesures que nous avons mentionnées ci-dessous, vous devrez installer un plugin ou deux. Et nous savons que même les meilleurs plugins peuvent provoquer une panne. Faites donc une sauvegarde de votre site Web avant de continuer.
Maintenant, commençons :
1. Modifier l'URL de la page de connexion
Comme nous l'avons dit au début de l'article, la page de connexion WordPress par défaut ressemble à ceci :
-
www.website.com/wp-admin/ -
www.website.com/wp-login.php/
Tout le monde le sait, y compris les pirates qui conçoivent des bots qui ciblent les pages de connexion WordPress. Et comme 59 % des Américains [1] utilisent des mots de passe faibles, il est bien trop facile de pirater un site Web en forçant brutalement la page de connexion .
Une façon de protéger votre page de connexion consiste à modifier l'URL.
Créer une nouvelle URL de page de connexion personnalisée est facile. Il existe un certain nombre de plugins disponibles qui vous permettent de le faire en quelques clics.
Nous utiliserons le plugin WPS Hide Login pour démontrer le processus, mais si vous préférez l'un des autres plugins, allez-y. Les démarches seront tout aussi faciles et rapides.
Comment changer votre URL de connexion WordPress
Installez et activez WPS Hide Login. Accédez à Paramètres → Masquer la connexion WPS .
Faites défiler vers le bas de la page, insérez la nouvelle URL dans la section URL de connexion et cliquez sur Enregistrer les modifications .
Essayez de vous connecter avec la nouvelle URL. N'oubliez pas de le partager avec vos coéquipiers.
Si vous avez besoin d'aide, voici notre guide dédié : comment changer l'URL de votre page de connexion WordPress.
2. Mettre en œuvre l'authentification à deux facteurs
Vous devez avoir rencontré une authentification à deux facteurs lors de l'utilisation de Facebook et de Gmail. Les services envoient généralement un code unique à votre numéro de mobile enregistré chaque fois que vous essayez de vous connecter à votre compte. Cette mesure de sécurité est mise en place pour s'assurer que seul le propriétaire du compte peut y accéder. Même si les pirates pouvaient mettre la main sur vos informations d'identification, il n'y a aucun moyen qu'ils puissent voler le code unique envoyé à votre numéro de téléphone mobile enregistré.
L'authentification à deux facteurs peut également être appliquée à votre site Web WordPress. Cela ajoutera une couche de sécurité à la page de connexion. Tout ce que vous avez à faire est d'installer l'un des plugins suivants :
- Google Authenticator de miniOrange
- Google Authenticator - Authentification à deux facteurs (2FA)
- WP 2FA par WP White Security
La configuration d'un plugin d'authentification à deux facteurs est très simple. Nous utiliserons Google Authenticator de miniOrange pour vous montrer le processus de configuration.
Comment implémenter l'authentification à deux facteurs
Installez le Google Authenticator de miniOrange sur votre page de connexion WordPress. Dès que vous activez le plugin, un widget de configuration apparaît. Choisissez la première option, c'est-à-dire Google Authenticator .
Ensuite, téléchargez l'application Google Authenticator sur votre smartphone. Ouvrez l'application et scannez le code QR .
L'application génère un code . Entrez-le dans le widget de configuration et appuyez sur Enregistrer .
La sécurité de connexion WordPress 2FA est désormais active sur votre page de connexion.
3. Limitez les tentatives de connexion infructueuses
WordPress permet à ses utilisateurs des tentatives de connexion illimitées. Cela peut sembler inoffensif, mais pour être honnête, c'est une faille de sécurité flagrante.
Les tentatives de connexion illimitées permettent aux pirates de mener des attaques par force brute. Dans ce type d'attaque, les pirates déploient des robots pour trouver la bonne combinaison de nom d'utilisateur et de mot de passe. Les bots échouent plusieurs fois avant de tomber sur les bonnes informations d'identification. L'un des moyens les plus efficaces de contrer les attaques de bots est de limiter les tentatives de connexion.
Les plugins ci-dessous vous aideront à faire exactement cela :
- Limiter les tentatives de connexion rechargées
- Connexion à la limite WPS
- WP Limit Tentatives de connexion par Arshid
Comment limiter les tentatives de connexion infructueuses
Installez le plug-in, puis accédez à Limiter les tentatives de connexion → Paramètres → Application locale . Ici, vous pouvez définir combien de fois les tentatives de connexion doivent être autorisées sur votre site Web. Et pendant combien de temps quelqu'un restera verrouillé après ledit nombre de tentatives de connexion.
4. Empêcher la découverte du nom d'utilisateur
Généralement, le nom d'utilisateur est considéré comme moins important que le mot de passe. C'est un dossier accessible au public, et c'est pourquoi nous supposons qu'il doit être de faible valeur. Pas vrai.
Le nom d'utilisateur fait la moitié de vos informations d'identification. Il doit être protégé, tout comme le mot de passe.
Sur un site Web WordPress, vous trouverez des noms d'utilisateur affichés sur les articles et les archives des auteurs. Heureusement, il existe un moyen de les désactiver tous les deux.
Comment désactiver les archives d'auteur
Cela peut être fait à l'aide de n'importe quel plugin SEO. Dans le tutoriel ci-dessous, nous utilisons Yoast SEO pour le montrer.
Accédez à SEO → Apparence de la recherche → Archives , puis désactivez les archives de l'auteur. Appuyez sur Enregistrer les modifications .
Comment changer le nom d'affichage
Le nom d'affichage apparaît sur les articles publiés et les commentaires. Par défaut, le nom d'affichage et le nom d'utilisateur (celui que vous utilisez pour vous connecter) sont identiques. Pour empêcher la découverte du nom d'utilisateur, vous pouvez changer le nom d'affichage en autre chose.
Allez dans Utilisateurs → Profil → Surnom . Vous ne pouvez pas modifier directement le nom d'affichage. Au lieu de cela, changez le surnom. Sélectionnez ensuite le nouveau surnom dans le menu déroulant ci-dessous.
5. Déconnexion automatique
Les déconnexions automatiques protègent les sites Web des espions. Lorsque les utilisateurs quittent les sessions sans surveillance, les déconnexions automatiques mettent fin à la session, protégeant ainsi le site Web.
Le comportement par défaut de WordPress consiste à déconnecter l'utilisateur 48 heures après l'expiration du cookie de session de connexion. Et si l'utilisateur a coché la case "Se souvenir de moi", vous resterez connecté pendant 14 jours. Pour mettre fin aux sessions en raison d'un peu de temps d'inactivité, vous devez installer un plugin séparé.
Les plugins ci-dessous vous aident à vous déconnecter automatiquement pour mettre fin aux sessions utilisateur inactives :
- Déconnexion inactive
- Sécurité iThèmes
Comment activer la déconnexion automatique
Activez le plugin puis allez dans Paramètres → Déconnexion inactive → Gestion de base . Réglez l'horloge pour un délai d'inactivité. Il existe également des options pour les délais d'attente basés sur les rôles. Vérifiez-le si vous le souhaitez.
Conclusion sur la sécurité de connexion de WordPress
Tout est prêt ? Génial! Avant de quitter cette page, un dernier conseil : Améliorer la sécurité de connexion de WordPress vous rapproche un peu plus de la sécurisation de l'ensemble de votre site Web, ce qui est l'objectif final !
Même si vous avez mis en place des mesures pour empêcher les pirates de forcer brutalement votre site Web, les intrus peuvent toujours y accéder via des thèmes et des plugins vulnérables. Par conséquent, gardez votre site à jour 24 heures sur 24.
Pour sécuriser davantage votre site Web, nous vous recommandons vivement de prendre toutes les mesures de sécurité décrites dans ce guide : 10 conseils de sécurité WordPress clés.
Si vous avez des questions sur la façon de gérer la sécurité de votre connexion WordPress, faites-le nous savoir dans les commentaires ci-dessous.