La sécurité Web doit être une préoccupation constante et continue pour tous les sites Web. Quelles que soient les précautions que vous avez prises, il y a toujours place à amélioration. C’est parce qu’il n’y a pas de sécurité infaillible. Ajoutez à cela que les pirates sont à l’affût 24h/24 et 7j/7, il faut donc être constamment sur ses gardes. L’hébergement, les mots de passe faibles, les anciennes versions de WordPress ou les thèmes / plugins douteux sont les points d’entrée possibles pour que les bots pénètrent dans votre site.
Une façon de compliquer la tâche des pirates informatiques consiste à renforcer la protection de votre page d’administration ou de connexion WordPress. C’est la passerelle vers votre site Web, et vous pouvez arrêter la plupart des méfaits sur le pas de la porte, en renforçant la sécurité sur cette page.
Quelques façons de protéger votre page d’administration,
Changer de nom d’utilisateur
Le nom d’utilisateur par défaut dans WordPress est « Admin » et les robots le savent. Maintenant, s’ils peuvent deviner votre mot de passe, vous leur avez littéralement remis une invitation à entrer. Alors changez votre nom d’utilisateur en quelque chose d’unique et non devinable. Par exemple, pour le New York Soccer Club, « NY Soccer » n’est pas un nom d’utilisateur approprié.
Vous pouvez changer le nom d’utilisateur en suivant ces étapes simples,
- Connectez-vous à WordPress en utilisant votre compte utilisateur Admin existant.
- Ajoutez un nouvel utilisateur en cliquant sur Utilisateurs > Ajouter un nouveau.
- Choisissez « Administrateur » comme rôle pour ce nouvel utilisateur. Choisissez un nom d’utilisateur unique ici, car cet utilisateur nouvellement ajouté deviendra le nouvel utilisateur administrateur.
- Déconnectez-vous de l’ancien compte utilisateur « Admin ».
- Connectez-vous à nouveau en utilisant le nouveau nom d’utilisateur unique que vous avez créé.
- Supprimez l’utilisateur « Admin » d’origine. Vous devrez réaffecter tous vos anciens messages de l’ancien utilisateur « Admin » au nouvel utilisateur.
Vous pouvez également modifier le nom d’utilisateur en accédant à phpMyAdmin. Lisez à ce sujet à SiteGround.
Mot de passe fort
Changer le nom d’utilisateur n’est qu’à mi-chemin. Renforcez votre mot de passe pour que les robots ne puissent pas le deviner. Les anniversaires, le nom de l’animal, le sportif préféré peuvent tous être devinés correctement. Les attaques par force brute ne sont que des tentatives fréquentes et répétées de deviner le mot de passe par essais et erreurs. Et ils sont voués à réussir si le mot de passe est faible. Par conséquent, les mots de passe forts sont importants.
Un mot de passe fort devrait idéalement utiliser une combinaison de chiffres et de lettres, majuscules et minuscules. Ajoutez un symbole ou deux comme ‘!’ ou ‘@’. WordPress offre la possibilité de générer un mot de passe fort, et vous pouvez également l’utiliser. Ou prenez l’aide d’un Générateur de mot de passe. Vérifiez si votre mot de passe est fort à Dans quelle mesure mon mot de passe est-il sécurisé. Et changez le mot de passe régulièrement.
Vous avez du mal à vous souvenir du mot de passe ? Découvrez les gestionnaires de mots de passe comme Dernier passage, DashLane, KeePass, 1Mot de passe et RoboForm. Un gestionnaire de mots de passe stocke tous vos mots de passe sous une forme cryptée et vous pouvez y accéder depuis n’importe quel appareil.
Si je n’ai pas plaidé pour un mot de passe fort, ce rapport de SplashData lister les pires mots de passe de 2015 peut peut-être vous convaincre.
Limiter l’accès des utilisateurs
Si vous êtes le seul à accéder à l’Admin, celui-ci n’est pas pour vous. Mais si vous autorisez plusieurs utilisateurs à accéder au backend, vous devez garder un contrôle strict sur leurs privilèges. Autoriser l’accès et les privilèges uniquement aux zones et dans la mesure nécessaire à l’accomplissement de leurs tâches.
Non seulement cela, les utilisateurs de votre site devraient également être tenus d’utiliser des mots de passe forts. Pour vous en assurer, vous pouvez installer le Forcer des mots de passe forts brancher. Ce plugin permet aux utilisateurs d’accéder au site uniquement s’ils ont configuré un mot de passe fort pour eux-mêmes. Ou vous pouvez regarder la solution de sécurité de connexion, qui examine et applique également la force du mot de passe, sans ennuyer les utilisateurs authentiques.
Limiter les tentatives de connexion
Les bots accèdent à votre site en essayant différentes combinaisons de nom d’utilisateur et de mot de passe. Cela peut leur prendre de nombreuses tentatives avant de pouvoir s’introduire. Si nous limitons le nombre de tentatives pouvant être effectuées à partir d’une seule adresse IP, nous pouvons réduire considérablement les chances d’accès des robots.
Il existe des plugins spécialisés qui peuvent effectuer cette tâche –
- Limiter les tentatives de connexion – Limite le taux de tentatives de connexion pour chaque IP. C’est un plugin couramment utilisé, même s’il n’a pas été mis à jour depuis longtemps.
- Protection de connexion par force brute – Protège votre site Web contre les attaques par force brute à l’aide de .htaccess.
- Jetpack Protéger – Pour protéger les sites Web WordPress contre les attaques de réseaux de robots.
Il convient également de noter que certains hébergeurs proposent cette fonctionnalité intégrée. WP Engine, par exemple, a ajouté cela à sa plate-forme d’hébergement début 2015 pour rendre les sites Web qu’ils hébergent plus sécurisés (en plus de leur SSL gratuit, de l’authentification à deux facteurs, des sauvegardes automatisées, de plusieurs pare-feu, de l’analyse des logiciels malveillants, etc.).
Changez votre URL de connexion
L’URL de connexion à tous les sites WordPress est, par défaut, l’URL principale de votre site suivie de wp-login.php ou wp-admin – par exemple, monsite.com/wp-login.php. Les pirates le savent, et si vous pouvez modifier cette URL, vous aurez plus de mal à accéder à votre site Web.
Vous pouvez installer Protéger WP-Admin pour changer l’URL de votre panneau d’administration et bloquer les liens par défaut. Vous pouvez le changer en tout ce que vous voulez, comme monsite.com/allow_admin_access. Lorsqu’une requête pour monsite.com/wp-login.php ou monsite.com/wp-admin, atteint le site, il sera redirigé vers la page d’accueil. Et seule l’URL personnalisée sera autorisée dans le panneau d’administration.
Un moyen totalement fiable de protéger votre page d’administration est de bloquer entièrement l’accès à votre wp-admin et wp-login.php page. Mais cela ne peut être utilisé que si vous utilisez une adresse IP qui ne change pas. Sinon, vous courez le risque d’être bloqué hors de votre site Web. Si vous pouvez garder une trace de plusieurs adresses IP, vous pouvez toujours aller de l’avant et adopter cette option.
Vous pouvez également restreindre l’accès à votre wp-login.php fichier à l’aide de l’authentification de base HTTP. Il s’agit d’une couche de sécurité externe qu’un utilisateur doit franchir pour accéder à la page de connexion. Vous devrez générer un fichier .htpasswd pour répertorier tous les noms d’utilisateur autorisés et leurs mots de passe cryptés respectifs. Une attaque par force brute peut également être lancée contre l’authentification de base HTTP, mais il faudra deux fois plus d’efforts aux pirates pour cracker les deux couches.
Ajoutez SSL à votre site Web
SSL est une technologie de sécurité standard. HTTP est le Hyper Text Transfer Protocol pour le transfert de données entre un serveur et un navigateur. La version sécurisée de HTTP est HTTPS, le « S » signifiant Secure. Ensemble, ils vérifient l’identité du site Web auprès de l’utilisateur et assurent l’utilisateur de la confidentialité entre le site Web et le navigateur de l’utilisateur.
Une fois que vous avez configuré SSL / HTTPS, le serveur crypte les données et seul le navigateur de l’utilisateur peut les déchiffrer. Pour tout tiers indésirable, les données n’auront aucun sens et apparaîtront simplement sous la forme d’une chaîne de caractères. En bonus, vous trouverez que Google privilégie le HTTPS tout en classant les sites Web.
Obtenir un certificat SSL n’est peut-être plus facultatif, en particulier si vous utilisez le navigateur Chrome. C’est parce que Google est sur le point de marquer tous les sites non HTTPS comme « non sécurisés ».
Aujourd’hui, tous les sites non HTTPS sont simplement neutres quant à l’indication du statut SSL, mais cela changera en janvier 2017. Tous les sites Web nécessitant des mots de passe ou collectant des informations de carte de crédit doivent devenir sécurisés ou risque d’être étiqueté comme non sécurisé par Google.
Il existe de nombreuses entreprises comme Comodo, DigiCert, et SSL.com offrant des services de certification. Les certificats peuvent être acquis sans trop de frais auprès de SSLMate et gratuitement de Permet de crypter. Certains fournisseurs de services d’hébergement offrent SSL gratuit avec leurs plans d’hébergement. Vous pouvez en savoir plus sur l’installation de SSL dans notre guide HTTPS et SSL gratuit.
Authentification à deux facteurs
L’authentification à deux facteurs est l’un des moyens les plus sûrs de protéger votre site Web contre les pirates. Cela fonctionne en plus du nom d’utilisateur / mot de passe standard que vous avez déjà. Une fois que vous avez saisi ces informations d’identification, un code est généré sur un appareil que vous possédez, souvent votre smartphone. Ce n’est qu’à la saisie de ce code que vous accédez au site.
De nombreux plugins gratuits et premium sont disponibles pour l’installation sur votre site Web. Cette méthode de sécurité existe depuis un certain temps, mais elle est maintenant de plus en plus appliquée à l’accès aux sites Web. Vous pouvez en savoir plus sur l’authentification à deux facteurs dans notre article précédent.
Plugins de sécurité
De nombreux sites Web installent des plugins qui prennent en charge la sécurité de WordPress de manière globale. Ils intègrent une protection par pare-feu, une analyse des logiciels malveillants, une liste noire et une liste blanche d’adresses IP, la surveillance de l’activité des utilisateurs, la journalisation des audits et renforcent généralement la sécurité globale. Des options gratuites et premium sont disponibles.
Certains plugins qui incluent une protection de connexion,
- Wordfence – Applique des mots de passe forts et empêche les attaques par force brute.
- iThemes – Combat les attaques automatisées et limite le nombre de tentatives de connexion. Il implémente également des informations d’identification utilisateur plus strictes.
- Sécurité et pare-feu tout-en-un – Empêche les attaques par force brute et permet le blocage au niveau IP, verrouillant un utilisateur après une période de temps spécifiée. Les autres fonctionnalités de protection de la connexion incluent le verrouillage de la connexion et la liste blanche et la liste noire des adresses IP.
- Sécurité pare-balles – Connexion et protection contre la force brute.
- McAfee Secure – Offre plusieurs couches de protection, notamment une marque de site de confiance, une analyse des logiciels malveillants et une couverture de protection de l’identité pour les magasins de commerce électronique (un atout considérable).
Dernières pensées
Les méthodes énumérées dans cet article sont pour la plupart des moyens simples mais très efficaces pour empêcher les robots, les logiciels malveillants et les auteurs de méfaits de pénétrer dans votre site Web. Vous pouvez également ajouter des captchas ou d’autres petits tests pour vérifier si la tentative de connexion est effectuée par un humain et empêcher les robots. Si vous avez besoin de plus de conseils sur la sécurité de WordPress, lisez ce que Freddy a à dire dans cet article.