5 règles simples pour la sécurité de connexion WordPress

Publié: 2020-09-25

Une stratégie de sécurité WordPress réussie doit inclure des étapes pour renforcer la connexion WordPress. Dans cet article, nous couvrons les cinq règles simples pour une meilleure sécurité de connexion WordPress.

Ce qui est bien avec WordPress, c'est qu'il rend la création d'un site Web accessible à presque tout le monde. Mais avec cette accessibilité vient la prévisibilité. Toute personne ayant une expérience de travail avec WordPress sait où les modifications sont apportées au site : via la zone wp-admin . Ils savent même où ils doivent aller pour accéder à wp-admin , la page wp-login.php .

Par défaut, l'URL de connexion WordPress est la même pour chaque site WordPress et ne nécessite aucune autorisation spéciale pour y accéder. C'est pourquoi la page de connexion WordPress est la partie la plus attaquée – et potentiellement vulnérable – de tout site WordPress.

Malheureusement, créer un bot qui parcourra Internet en commettant des attaques par force brute ne nécessite pas beaucoup de compétences, et tout pirate informatique de niveau débutant peut en créer un. Parce que les attaques sur la page de connexion WordPress ont une faible barrière d'entrée, la sécurité de connexion WordPress est cruciale pour sécuriser n'importe quel site WordPress.

En suivant ces règles et en utilisant les meilleures pratiques de sécurité WordPress, vous pouvez éviter d'être vulnérable aux erreurs courantes de connexion des utilisateurs.

Sécurité de connexion WordPress

1. Utilisez des mots de passe forts

Il y a beaucoup d'informations confuses et contradictoires sur les meilleures pratiques de sécurité des mots de passe sur Internet. Dans un effort pour dissiper cette confusion, décomposons les bases de la façon dont l'utilisation d'un mot de passe fort améliore la sécurité de votre WordPress.

Chaque fois que vous créez un mot de passe, le premier élément que vous voudrez prendre en compte est la longueur du mot de passe. La liste ci-dessous montre le temps estimé nécessaire pour déchiffrer un mot de passe à l'aide d'un processeur i5 à quatre cœurs.

  • 7 caractères prendront 0,29 milliseconde à cracker.
  • 8 personnages mettront 5 heures à craquer.
  • 9 personnages mettront 4 mois à craquer.
  • 10 personnages mettront 1 décennie à craquer
  • 12 personnages mettront 2 siècles à déchiffrer.

Comme vous pouvez le constater, ajouter un seul caractère à votre mot de passe peut augmenter considérablement la sécurité de votre connexion. Un mot de passe d'au moins 12 caractères, aléatoire et comprenant un grand nombre de caractères comme « ISt8XXa!28X3 » le rendra très difficile à déchiffrer.

Malheureusement, certains pirates utilisent des GPU et des processeurs plus puissants pour réduire le temps nécessaire pour déchiffrer les mots de passe. Alors pour renforcer vos logins, faites également attention à l'entropie de votre mot de passe. Plus l'entropie du mot de passe est élevée, plus le mot de passe sera difficile à déchiffrer.

Par exemple, en se basant uniquement sur la longueur requise, un mot de passe tel que « abcdefghijkl » comporte 12 caractères, ce qui est excellent et devrait prendre 200 ans à déchiffrer. Cependant, étant donné que le mot de passe utilise des chaînes de lettres séquentielles, il rend le mot de passe beaucoup plus prévisible par rapport à un mot de passe comme « rfybolaawtpm » qui comporte des caractères aléatoires.

La randomisation des caractères diminue la prévisibilité et augmente la force du mot de passe. Mais ces deux mots de passe ont une chose en commun qui réduit finalement l'entropie du mot de passe. Les deux n'utilisent que des lettres minuscules, ce qui limite le nombre de caractères possibles à 26. C'est pourquoi il est essentiel d'inclure des lettres alphanumériques, majuscules et des caractères ASCII courants pour augmenter le nombre de caractères nécessaires pour déchiffrer le mot de passe à 92.

Astuce : utilisez un gestionnaire de mots de passe comme LastPass pour générer et stocker facilement des mots de passe en toute sécurité.
Astuce : à tout le moins, vous devriez exiger que les utilisateurs qui peuvent apporter des modifications à WordPress utilisent des mots de passe forts. L'utilisation d'un plugin de sécurité WordPress comme iThemes Security Pro pour forcer les utilisateurs privilégiés à utiliser des mots de passe forts contribuera à augmenter la sécurité de connexion WordPress.

2. Utilisez un mot de passe unique pour chaque compte

Une autre bonne pratique pour la sécurité en ligne consiste à utiliser des mots de passe uniques pour chaque compte et connexion au site Web que vous avez. C'est tellement important, nous le répétons : vous devriez utiliser un mot de passe différent pour chaque site.

Pourquoi la réutilisation des mots de passe est-elle si importante ? Si vous utilisez le même mot de passe pour chaque site et que l'un de ces sites est compromis, vous utilisez désormais un mot de passe compromis pour chaque compte, sur chaque site. Les pirates peuvent utiliser des vidages de données de mots de passe compromis associés à votre adresse e-mail ou à votre nom d'utilisateur pour accéder à vos comptes. Il vaut mieux ne même pas prendre le risque.

Plus vous avez d'utilisateurs qui réutilisent des mots de passe, plus la sécurité de votre connexion WordPress sera faible. Dans une liste compilée par Splash Data, le mot de passe le plus courant inclus dans tous les vidages de données était 123456. La sécurité de connexion WordPress de votre site n'est aussi forte que le lien le plus faible, alors soyez proactif avec des exigences de mot de passe strictes.

Astuce : Protégez WordPress des mots de passe compromis

Vous pouvez protéger WordPress contre les mots de passe compromis avec un plugin comme iThemes Security Pro. iThemes Security Pro tire parti de l'API HaveIBeenPwned pour détecter si un mot de passe est apparu ou non dans une violation de données.

Astuce : Encouragez les utilisateurs à changer fréquemment de mot de passe

Les fonctionnalités d'exigences de mot de passe d'iThemes Security vous permettent de forcer tous vos utilisateurs à changer leur mot de passe la prochaine fois qu'ils se connectent. Forcer les utilisateurs à créer un nouveau mot de passe permet à chacun de repartir à zéro avec un mot de passe fort et sans compromis, ce qui augmentera votre connexion WordPress Sécurité.

Astuce : utilisez un gestionnaire de mots de passe

En fin de compte, l'utilisation d'un gestionnaire de mots de passe peut vous aider à garder une trace de vos connexions et mots de passe uniques. Avec l'aide d'un gestionnaire de mots de passe, vous n'avez pas à vous souvenir de vos mots de passe.

3. Limiter les tentatives de connexion

Par défaut, rien n'est intégré à WordPress pour limiter le nombre de tentatives de connexion infructueuses qu'une personne peut effectuer. Sans limite au nombre de tentatives de connexion infructueuses qu'un attaquant peut effectuer, il peut continuer à essayer un nombre infini de noms d'utilisateur et de mots de passe jusqu'à ce qu'ils réussissent.

Augmentez la sécurité de votre connexion WordPress en installant un plugin de sécurité WordPress comme iThemes Security Pro pour limiter le nombre de tentatives de connexion infructueuses. La fonction de protection contre la force brute de WordPress Security Pro d'iThemes vous donne le pouvoir de définir le nombre de tentatives de connexion infructueuses autorisées avant qu'un nom d'utilisateur ou une adresse IP ne soit verrouillé. Un verrouillage désactivera temporairement la capacité de l'attaquant à effectuer des tentatives de connexion. Une fois que les attaquants auront été bloqués trois fois, ils seront même interdits de consulter le site.

Remarque : lorsque vous décidez du degré de rigueur que vous souhaitez appliquer à vos règles en cas d'échec des tentatives de connexion, gardez à l'esprit les utilisateurs réels de votre site. Si vous rendez les règles de verrouillage trop impitoyables, vous courez le risque de verrouiller par inadvertance de vrais utilisateurs.

4. Limitez les tentatives d'authentification externes par demande

Il existe d'autres moyens de se connecter à WordPress en plus d'utiliser un formulaire de connexion. En utilisant XML-RPC, un attaquant peut effectuer des centaines de tentatives de nom d'utilisateur et de mot de passe dans une seule requête HTTP. La méthode d'amplification par force brute permet aux attaquants de faire des milliers de tentatives de nom d'utilisateur et de mot de passe en utilisant XML-RPC en quelques requêtes HTTP. Lorsque vous savez qu'un attaquant peut utiliser des vidages de base de données comme point de départ et faire des milliers de suppositions par requête, cela rend l'importance de la sécurité de connexion WordPress beaucoup plus claire.

En utilisant les paramètres WordPress Tweaks d'iThemes Security Pro, vous pouvez bloquer plusieurs tentatives d'authentification par requête XML-RPC. Limiter le nombre de tentatives de nom d'utilisateur et de mot de passe à une pour chaque demande contribuera grandement à sécuriser votre connexion WordPress.

De plus, lorsque vous développez votre plan de sécurité de connexion WordPress, il est important de savoir que l'API WordPress Rest ajoute des moyens supplémentaires pour authentifier un utilisateur WordPress. L'authentification par cookie est une méthode d'authentification lorsque vous vous connectez. WordPress stocke automatiquement un cookie afin que les plugins et les thèmes puissent exécuter une fonction en votre nom. L'authentification par cookie bénéficiera des protections que vous avez ajoutées au fichier wp-login.php.

5. Utiliser l'authentification à deux facteurs

J'ai gardé la meilleure méthode pour augmenter la sécurité de connexion WordPress pour la fin : l'authentification à deux facteurs WordPress. L'authentification à deux facteurs nécessite un code supplémentaire ainsi que votre nom d'utilisateur et votre mot de passe WordPress pour vous connecter.

Il existe de nombreuses méthodes d'authentification à deux facteurs, mais toutes les méthodes ne sont pas égales. Si vous le pouvez, évitez d'utiliser du texte pour l'authentification à deux facteurs. Le National Institute of Standards and Technology recommande de ne plus utiliser les SMS pour envoyer et recevoir des codes d'authentification.

À l'aide d'un plugin de sécurité WordPress, comme iThemes Security Pro, vous devez activer la méthode de messagerie électronique ou d'application mobile à deux facteurs.

Notez simplement que de nombreux sites vous obligent à utiliser une adresse e-mail comme nom d'utilisateur. Si un attaquant pirate l'un de ces sites, la prochaine étape consistera à essayer de se connecter à des comptes de messagerie en utilisant les nouvelles adresses e-mail et les nouveaux mots de passe qu'ils ont volés. Si l'un de vos utilisateurs ou clients réutilise des mots de passe compromis sur chaque site, son compte de messagerie, ainsi que ses codes de messagerie à deux facteurs, seront compromis.

La méthode d'application mobile à deux facteurs fera le plus pour augmenter la sécurité de connexion WordPress. Le code d'authentification supplémentaire requis pour se connecter sera envoyé sur le téléphone de l'utilisateur. Ainsi, même si un attaquant a accès aux identifiants WordPress et e-mail, il n'aura toujours aucun moyen de se connecter.

Récapitulatif : Une simple liste de contrôle de sécurité de connexion WordPress

La sécurité de connexion WordPress devrait être une priorité absolue sur chaque site. Maintenant que vous savez comment augmenter la sécurité de connexion sur votre site, vous pouvez profiter de cette stratégie efficace de prévention du piratage.

  • 1. Utilisez des mots de passe forts
  • 2. Utilisez des mots de passe uniques pour chaque compte
  • 3. Limiter les tentatives de connexion
  • 4. Limiter les tentatives d'authentification
  • 5. Utiliser l'authentification à deux facteurs

plugin de sécurité wordpress

Un plugin de sécurité WordPress peut aider à sécuriser votre site Web WordPress

iThemes Security Pro, notre plugin de sécurité WordPress, offre plus de 30 façons de sécuriser et de protéger votre site Web contre les vulnérabilités de sécurité WordPress courantes. Avec l'authentification à deux facteurs WordPress, la protection contre la force brute, l'application de mots de passe forts et plus encore, vous pouvez ajouter une couche de sécurité supplémentaire à votre site Web.

Obtenez iThemes Security maintenant