Pleins feux sur la fonctionnalité iThemes Security Pro – Exigences de mot de passe

Publié: 2021-06-23

Dans les publications Feature Spotlight, nous allons mettre en évidence une fonctionnalité d'iThemes Security Pro et expliquer pourquoi nous avons développé cette fonctionnalité, à qui elle est destinée et comment l'utiliser.

Aujourd'hui, nous braquons les projecteurs sur la fonctionnalité Exigences de mot de passe dans iThemes Security Pro, qui est un excellent outil pour sécuriser votre connexion WordPress.

Pourquoi nous avons développé des exigences de mot de passe

Nous savons à quel point il peut être difficile d'amener les gens à suivre les meilleures pratiques de sécurité. Un mot de passe fort est un élément essentiel de la sécurité de votre connexion WordPress. Parlons de certains des pièges courants liés aux mots de passe qui peuvent mettre votre site Web en danger.

1. Les mots de passe faibles sont encore trop courants.

Dans une liste compilée par Splash Data, le mot de passe le plus courant inclus dans tous les vidages de données était 123456. Un vidage de données est une base de données piratée remplie de mots de passe utilisateur vidés quelque part sur Internet. Pouvez-vous imaginer combien de personnes sur votre site Web utilisent un mot de passe faible si 123456 est le mot de passe le plus courant dans les vidages de données ?

2. Le login WordPress est la partie la plus attaquée de votre site web.

La connexion WordPress est la partie la plus attaquée d'un site Web WordPress, et utiliser un mot de passe faible revient à essayer de verrouiller votre porte d'entrée avec un morceau de ruban adhésif. Par défaut, l'URL de connexion WordPress est la même pour chaque site WordPress et ne nécessite aucune autorisation spéciale pour y accéder. C'est pourquoi la page de connexion WordPress est la partie la plus attaquée – et potentiellement vulnérable – de tout site WordPress.

3. Un mot de passe de 8 caractères peut être craqué INSTANTANÉMENT.

Il n'a jamais fallu longtemps à un pirate informatique pour forcer brutalement un mot de passe faible dans un site Web. Maintenant que les pirates informatiques utilisent des cartes graphiques dans leurs attaques, le temps nécessaire pour déchiffrer un mot de passe n'a jamais été aussi faible.

Par exemple, jetons un coup d'œil à un graphique créé par Terahash, une entreprise de craquage de mots de passe haute performance. Leur graphique montre le temps qu'il faut pour déchiffrer un mot de passe à l'aide d'un cluster de hachage de 448x RTX 2080.

Par défaut, WordPress utilise MD5 pour hacher les mots de passe des utilisateurs stockés dans la base de données WP. Ainsi, selon ce graphique, Terahash pourrait déchiffrer un mot de passe à 8 caractères… presque instantanément. Ce n'est pas seulement super impressionnant, mais c'est aussi vraiment effrayant.

Remarque : découvrez comment l'authentification à deux facteurs peut aider à sécuriser votre connexion WordPress contre ce type d'attaque.

4. Trop de personnes réutilisent des mots de passe compromis.

Une autre chose à garder à l'esprit en ce qui concerne la sécurité des mots de passe est que vous avez besoin d'un mot de passe fort différent pour chacun de vos comptes en ligne. Si vous utilisez le même mot de passe pour chaque site et que l'un de ces sites est compromis, vous utilisez désormais un mot de passe compromis sur chaque site Web. Les pirates peuvent utiliser des vidages de données de mots de passe compromis associés à votre adresse e-mail ou à votre nom d'utilisateur pour accéder à vos comptes. Il vaut mieux ne même pas prendre le risque.

Même si 91% des personnes savent que la réutilisation des mots de passe est une mauvaise pratique, 59% des personnes réutilisent toujours leurs mots de passe partout ! Beaucoup de ces personnes utilisent encore des mots de passe dont ils savent qu'ils sont apparus dans un dump de base de données.

Les pirates informatiques utilisent une forme d'attaque par force brute appelée attaque par dictionnaire. Une attaque par dictionnaire est une méthode pour pénétrer dans un site Web WordPress avec des mots de passe couramment utilisés qui sont apparus dans les vidages de la base de données. La violation de données de la « collection n° 1 » hébergée sur MEGA comprenait 1 160 253 228 combinaisons uniques d'adresses e-mail et de mots de passe. C'est un milliard avec un b. Ce type de score aidera vraiment une attaque par dictionnaire à affiner les mots de passe WordPress les plus couramment utilisés.

Comme vous pouvez le voir, avoir une politique de mot de passe est un élément essentiel de notre stratégie de sécurité WordPress. Quelle que soit la qualité de votre politique de mot de passe, elle ne vaut rien si votre administrateur et vos éditeurs ne suivent pas les directives.

Quelles sont les exigences de mot de passe dans iThemes Security Pro ?

La fonctionnalité d'exigence de mot de passe dans iThemes Security Pro n'est pas seulement votre politique de mot de passe, mais c'est aussi votre outil d'application. Vous pouvez forcer les membres d'un groupe d'utilisateurs à utiliser un mot de passe fort , choisir une heure d' expiration du mot de passe , refuser les mots de passe compromis et forcer une modification des mots de passe à l' échelle du site pour que tout le monde se conforme à votre nouvelle politique de mots de passe forts.

  • Forcer des mots de passe forts – Forcer un ensemble d'utilisateurs à utiliser un mot de passe fort.
  • Expiration du mot de passe – Définissez le nombre maximum de jours pendant lesquels un mot de passe peut être utilisé avant qu'il n'expire.
  • Refuser les mots de passe compromis – Forcez les utilisateurs à utiliser des mots de passe qui n'apparaissent dans aucune violation de mot de passe suivie par Have I Been Pwned.

Selon le rapport Verizon Data Breach Investigations, plus de 70 % des employés réutilisent les mots de passe au travail. Mais la statistique la plus importante du rapport est que 81% des violations liées au piratage ont utilisé des mots de passe volés ou faibles. Les exigences de mot de passe iThemes Security Pro vous aideront à sécuriser votre connexion WordPress contre tous les pièges de mot de passe mentionnés dans cet article.

De plus, vous obtenez l'avantage supplémentaire d'appliquer votre politique de mot de passe d'un simple clic. En tant qu'humains, nous sommes câblés pour prendre le chemin de la moindre résistance. En supprimant la possibilité d'utiliser des mots de passe faibles ou compromis, vous aidez tout le monde à protéger ses comptes.

Comment utiliser les exigences de mots de passe dans iThemes Security Pro

Pour commencer avec votre nouvelle politique de mot de passe, accédez aux paramètres du groupe d'utilisateurs et cochez la case Sélectionner plusieurs groupes d'utilisateurs à modifier ensemble .

Sélectionnez maintenant les groupes d'utilisateurs pour lesquels vous souhaitez appliquer une stratégie de mot de passe, cochez toutes les cases de la section Exigences de mot de passe , puis cliquez sur le bouton Enregistrer.

Une note rapide sur l'expiration du mot de passe, certaines personnes dans la communauté de la sécurité pensent que nous devrions abandonner la politique d'expiration du mot de passe. Ils disent que si vous utilisez un mot de passe unique et fort, aucun temps ne rendra votre mot de passe plus faible.

Je recommanderais de l'activer pour tous les utilisateurs de votre site Web. Il est tout à fait compréhensible et encouragé de rendre la création d'un nouveau compte client aussi simple que possible. Cependant, votre client peut ne pas savoir que le mot de passe qu'il utilise a été trouvé dans un vidage de données. Vous rendriez un grand service à vos clients en les alertant du fait que le mot de passe qu'ils utilisent a été compromis. S'ils utilisent ce mot de passe partout, vous pourriez leur éviter de gros maux de tête plus tard.

Et enfin, accédez au tableau de bord de sécurité et cliquez sur le bouton Forcer le changement de mot de passe sur la carte Profils de sécurité utilisateur. Désormais, tous vos utilisateurs seront obligés de créer un nouveau mot de passe la prochaine fois qu'ils se connecteront, conformément à votre nouvelle politique de mot de passe.

Emballer

Votre connexion WordPress est la partie la plus attaquée de votre site Web, et un mot de passe fort est votre première ligne de défense. La fonctionnalité Exigences de mot de passe dans iThemes Security Pro vous permet de créer et d'appliquer facilement une politique de mot de passe pour sécuriser et protéger votre connexion WordPress.

Pleins feux sur les fonctionnalités