Sécurité de connexion WordPress : sécurisez facilement votre page de connexion - MalCare
Publié: 2023-04-19Saviez-vous qu'il y a plus de 90 000 attaques de piratage sur les sites Web WordPress par minute ? C'est une statistique extrêmement élevée et que nous ne pouvons tout simplement pas ignorer.
Pour pirater les sites WordPress, les pirates ciblent le plus la page de connexion. En effet, en accédant à votre site via cette page, un pirate peut prendre le contrôle total de votre site.
Les ravages qui en résultent auront un impact sévère sur votre site. Les pirates peuvent vendre des produits illégaux sous votre nom ou envoyer vos visiteurs vers des sites Web malveillants. Ils pourraient également inciter les visiteurs à acheter des produits en double ou à télécharger des logiciels malveillants. Cela peut causer de graves dommages à votre entreprise et à votre réputation.
Heureusement, vous pouvez empêcher les pirates d'abuser de votre site Web en protégeant la page la plus ciblée - la page de connexion. Chez MalCare, nous traitons quotidiennement ces hacks et souhaitons adresser le problème à tous les utilisateurs de WordPress. Ici, nous vous montrerons les meilleures mesures de sécurité que vous pouvez prendre pour sécuriser votre page de connexion contre les pirates. Vous pouvez également consulter notre guide sur la façon de protéger votre site Web contre les pirates.
TL; DR : Si vous avez besoin d'une solution de sécurité WordPress facile à mettre en œuvre et qui protégera automatiquement votre page de connexion, installez notre plugin de sécurité MalCare. Il permettra de limiter instantanément les tentatives de connexion et vous donnera également des options pour renforcer votre site Web WordPress.
[lwptoc skipHeadingLevel=”h3,h4,h5,h6″]
5 étapes pour sécuriser votre page de connexion WordPress
Il existe plusieurs mesures que vous pouvez prendre pour sécuriser votre page de connexion WordPress. Cependant, toutes les mesures que vous prenez ne sont pas efficaces. Parfois, vous ajoutez simplement du bruit alors que votre page de connexion reste vulnérable.
Dans cet article, nous nous concentrerons sur 5 mesures importantes que vous pouvez prendre et qui se sont avérées efficaces et qui assureront la sécurité de votre site.
Nous supposons que SSL est déjà installé sur votre site. Si vous n'avez pas de protection SSL, vous devez l'ajouter immédiatement auprès de votre hébergeur ou d'un fournisseur SSL. SSL doit être installé sur chaque site Web comme première mesure de sécurité de base du site. Il crypte les données transférées entre votre site Web et le serveur. Cela signifie que les pirates ne peuvent pas voler vos données lorsqu'elles transitent entre votre site et le serveur d'hébergement. Par conséquent, les pirates essayant de voler les informations d'identification de l'utilisateur à partir de la page de connexion seront empêchés de le faire.
1. Utiliser des noms d'utilisateur et des mots de passe forts pour sécuriser une page de connexion
Lors de la création de comptes d'utilisateurs sur des sites WordPress, les gens ont tendance à utiliser quelque chose de facile à retenir ou qu'ils ont utilisé pour tous les autres comptes. Le problème avec cela est que cela rend le travail d'un pirate tellement plus facile.
Premièrement, les pirates utilisent une technique appelée force brute dans laquelle ils tentent différents noms d'utilisateur et mots de passe pour essayer de deviner leur chemin vers votre compte. Ils le font en utilisant des robots automatisés et des algorithmes capables de faire des milliers de tentatives en quelques secondes. Si vous utilisez des mots de passe simples comme "password123", un bot pourra le deviner dès les premiers essais.
Deuxièmement, si vous utilisez les mêmes informations d'identification pour tous vos comptes, cela pose problème. Il y a eu tellement de violations de données des plus grandes entreprises et rien qu'en 2019, 4,1 milliards d'enregistrements ont été exposés. Si votre nom d'utilisateur et votre mot de passe ont été volés sur un site Web d'achat, par exemple, les pirates peuvent l'utiliser pour essayer de pirater d'autres comptes, tels que votre messagerie, vos services bancaires en ligne ou votre site WordPress.
Vos identifiants de connexion administrateur sont comme les clés de votre domicile ou de votre bureau. C'est pourquoi la première étape de la sécurité de connexion consiste à utiliser des noms d'utilisateur et des mots de passe solides.
- Nous vous recommandons de ne jamais utiliser le nom d'utilisateur par défaut « admin ». Si le nom de votre site Web est thefirstexample.com , ne faites pas de votre nom d'utilisateur administrateur "thefirstexample". Ce sont les premiers noms d'utilisateur que les pirates tenteront sur l'écran de connexion. Au lieu de cela, utilisez des éléments inhabituels et uniques qui sont difficiles à deviner.
- En ce qui concerne les mots de passe, vous devez en utiliser un qui est difficile à deviner pour quiconque. Nous vous recommandons d'utiliser une phrase secrète en combinaison avec des symboles et des chiffres. Cela rend votre mot de passe vraiment fort.
Lors de la création de votre mot de passe, WordPress indiquera à quel point votre mot de passe est faible ou fort. Pour vous donner un exemple, nous avons créé ce qui suit dans notre compte administrateur WordPress :
WordPress a indiqué que le mot de passe est très faible. Nous avons donc amélioré notre jeu avec ceci :
Enfin, puisque votre site WordPress est un atout précieux, nous pensons qu'il mérite un mot de passe unique. Trouvez-en un que vous n'utilisez sur aucun autre site.
Vous savez maintenant que vos identifiants de connexion sont sécurisés. Si vous avez plusieurs utilisateurs sur votre site WordPress, il est important que tous suivent ces recommandations car il s'agit d'une étape très importante dans la protection de votre page de connexion WordPress.
2. Limitez le nombre de tentatives de connexion pour une meilleure sécurité
Par défaut, WordPress autorise un nombre illimité de tentatives de connexion. Les pirates profitent de cette fonctionnalité par le biais d'attaques par force brute. Vous pouvez obtenir une protection contre la force brute en limitant simplement le nombre de tentatives de connexion infructueuses accordées à un utilisateur.
Vous avez peut-être vu cette invite lorsque vous avez saisi un mauvais mot de passe sur un site Web, en particulier un site bancaire en ligne :
En effet, le site Web a mis en place des tentatives de connexion limitées. Un utilisateur a trois chances d'entrer les informations d'identification correctes pour accéder à son compte. Après trois tentatives infructueuses, ils verraient leur compte bloqué et devraient utiliser l'option "Mot de passe oublié".
Vous pouvez implémenter cette fonctionnalité de deux manières :
- Utilisation d'un plugin – Nous recommandons le plugin de sécurité MalCare. Une fois installée, la protection de connexion WordPress limitée est automatiquement mise en œuvre. Le plugin vous offre également une protection basée sur Captcha qui empêchera les mauvais bots d'accéder à votre site.
- Manuellement – Pour limiter manuellement le nombre de tentatives de connexion, vous devez accéder à votre fichier functions.php. Vous devez ajouter une action WordPress et un filtre de crochet avec une fonction de rappel correspondante. Cette méthode est technique et risquée. Si vous n'êtes pas doué pour le codage, il vaut mieux ne pas essayer.
Avec ces deux mesures en place, votre site Web WordPress prend en charge les mesures de sécurité de base pour votre page de connexion. Maintenant, nous pouvons passer à des mesures plus avancées.
[ss_click_to_tweet tweet=”WordPress autorise un nombre illimité de tentatives de connexion par défaut. Utilisez MalCare pour implémenter automatiquement des tentatives de connexion limitées. content="WordPress autorise un nombre illimité de tentatives de connexion par défaut. Utilisez MalCare pour implémenter automatiquement des tentatives de connexion limitées. style="par défaut"]
3. Utilisation de l'authentification à 2 facteurs pour une sécurité de connexion renforcée
Vous devez avoir remarqué que lorsque vous essayez de vous connecter à votre compte Gmail, vous devez suivre deux étapes.
La première étape consiste à entrer vos informations d'identification. À la deuxième étape, Gmail vous envoie un code de vérification à votre numéro de téléphone ou à votre adresse e-mail enregistré. Après cela, vous devrez entrer ce numéro sur votre compte Gmail pour accéder à vos e-mails. Il s'agit de la vérification en deux étapes ou de l'authentification à deux facteurs.
Pour s'assurer que l'utilisateur accédant au compte est authentique, le processus utilise des informations d'identification régulières plus un mot de passe à usage unique (OTP) généré en temps réel.
Ainsi, même si un pirate informatique devine vos informations d'identification, il devra toujours saisir le code à usage unique qui vous a été envoyé et vous pourrez facilement sécuriser votre page de connexion WordPress.
Vous pouvez implémenter l'authentification à 2 facteurs à l'aide d'un plugin. Deux plugins que nous recommandons sont Google Authenticator 2FA et Two Factor Authentication.
Remarque : Si vous utilisez le plugin MalCare, l'authentification à 2 facteurs sera bientôt disponible.
4. Blocage géographique - Empêcher un pirate d'accéder à votre site Web WordPress
Lorsque vous configurez un site WordPress, vous accueillez automatiquement le trafic du monde entier, sauf si vous le configurez pour une région particulière.
Pour voir d'où provient votre trafic, vous devez vous inscrire à Google Analytics. Sur le tableau de bord, vous verrez l'option "Où sont vos utilisateurs ?" En cliquant sur 'Aperçu de l'emplacement', vous pouvez voir exactement d'où viennent vos visiteurs.
Alternativement, un plugin comme MalCare vous montre également d'où provient votre trafic.
Plusieurs fois, nous avons rencontré des propriétaires de sites Web qui ont découvert qu'ils recevaient du trafic indésirable de certains pays.
Pour vous montrer ce que nous voulons dire, prenons un exemple. Supposons que vous ayez un site Web qui ne s'adresse qu'au Royaume-Uni - example.co.uk. Mais lorsque vous consultez Analytics, vous constatez qu'une grande partie du trafic de votre site Web provient d'autres pays comme la Russie, Singapour et les États-Unis. Vous devriez le considérer comme un drapeau rouge.
Ceci n'est qu'indicatif des pirates, vous pouvez utiliser le plugin MalCare pour voir si le trafic est réellement malveillant ou non.
Après avoir installé le plugin MalCare, accédez au tableau de bord. Sous "Sécurité", vous verrez le nombre de tentatives de connexion effectuées sur votre site Web et le nombre de plugins bloqués.
En cliquant sur "Afficher plus", les journaux d'audit vous montreront exactement d'où provient le trafic et quel nom d'utilisateur a été tenté.
Si vous pensez qu'un tel trafic est un risque indésirable, vous pouvez simplement bloquer des pays entiers. Pour ce faire, MalCare dispose d'une option appelée "blocage géographique" qui ajoutera une couche de sécurité en bloquant toute adresse IP du pays que vous sélectionnez. Voici comment:
- Sur le tableau de bord, sélectionnez votre site puis cliquez sur 'Geoblocking'.
- Ensuite, dans le menu déroulant, sélectionnez les pays que vous souhaitez bloquer. Une fois que vous avez cliqué sur "Bloquer le pays", il affichera une invite "Les adresses IP des pays sélectionnés ont été bloquées avec succès.
Le géoblocage ou le blocage de pays aide à atténuer le risque de piratage. Il n'est pas conseillé de bloquer des pays entiers car une partie du trafic pourrait être légitime. Cependant, si vous êtes sûr à 100 % que vous n'avez pas besoin de trafic provenant de ce pays, il est préférable de le bloquer afin de pouvoir sécuriser votre page de connexion WordPress en empêchant un pirate d'y accéder.
Lire aussi : Comment résoudre les problèmes de connexion WordPress non sécurisée
5. Déconnexion automatique
Il n'est pas rare d'avoir l'habitude de se connecter à un compte et de le laisser ouvert. Vous pourriez vous retrouver à fermer le navigateur sans vous déconnecter des comptes. Si vous laissez votre système sans surveillance, un pirate pourrait rouvrir votre navigateur et sera automatiquement connecté à vos comptes.
De telles habitudes amplifient le risque d'attaques. Pour atténuer ces risques, de nombreux sites Web mettent en œuvre la "déconnexion automatique". C'est une pratique courante avec les services bancaires en ligne. Si vous êtes inactif pendant un certain temps, le site Web vous déconnecte automatiquement. Une invite comme celle ci-dessous peut s'afficher :
Il s'agit d'une mesure essentielle que vous pouvez mettre en œuvre sur votre site Web WordPress. Il garantit qu'il n'y a aucune chance que quelqu'un puisse exploiter un compte connecté pendant que l'utilisateur est absent de son système.
Cette mesure est particulièrement recommandée pour les personnes qui travaillent à distance ou sur leurs propres appareils personnels. En tant que propriétaire de site Web, vous ne pouvez jamais garantir qu'ils se souviendront de se déconnecter lorsqu'ils seront inactifs. S'ils utilisent un ordinateur public ou un réseau Wi-Fi public non sécurisé, cela expose votre site Web à un plus grand risque.
Contrairement aux services bancaires en ligne, WordPress ne déconnecte pas automatiquement les utilisateurs lorsqu'ils sont inactifs. Mais vous pouvez implémenter cette mesure de sécurité en utilisant des plugins comme Bulletproof Security.
Le plugin a une fonction de sécurité appelée "Idle Session Logout" que vous pouvez activer. Vous pouvez sélectionner la période d'inactivité après laquelle un utilisateur sera automatiquement déconnecté.
Cette mesure empêchera votre site de tomber entre de mauvaises mains.
[ss_click_to_tweet tweet=”J'ai sécurisé ma page de connexion WordPress facilement avec ce guide de sécurité de MalCare.” content="J'ai sécurisé ma page de connexion WordPress facilement avec ce guide de sécurité de MalCare." style="par défaut"]
En conclusion : ce n'est pas seulement votre page de connexion
Protéger la sécurité de votre page de connexion WordPress vous rapproche d'un site Web WordPress sécurisé. Les pirates aiment s'attaquer aux sites Web faciles à pirater. Ainsi, en protégeant votre site Web avec des mesures de base, les pirates feront probablement quelques essais, puis passeront à une cible plus facile.
Mais cela ne garantit pas que les pirates ne peuvent pas pirater votre site. Les pirates identifient et exploitent toute vulnérabilité qu'ils trouvent sur votre site Web. Il peut s'agir d'un nouveau plugin que vous avez installé et qui présente une faille de sécurité. Peut-être qu'un thème que vous avez installé il y a longtemps et que vous avez oublié de mettre à jour a développé une vulnérabilité au fil du temps. Il existe de nombreuses opportunités de ce type dont les pirates profitent.
Ce dont vous avez vraiment besoin, c'est d'un plan de protection complet. Nous vous recommandons fortement de prendre quelques mesures de sécurité supplémentaires comme le blocage IP, la sécurisation du site avec wp-config.php, en suivant ce guide complet sur la sécurité WordPress et en utilisant l'un des meilleurs plugins de sécurité WordPress - MalCare qui protégera votre site 24 heures sur 24. Il vous donne accès à des rapports d'analyse réguliers et vous pouvez également mettre en œuvre les mesures de renforcement WordPress recommandées. De cette façon, votre site WordPress sera extrêmement difficile à pénétrer !
Protégez votre site avec notre plugin MalCare Security !