Un guide sur la façon de sécuriser l'administration WordPress - MalCare
Publié: 2023-04-13Administrateur WordPress sécurisé : Saviez-vous que plus de 90 000 tentatives de piratage sont effectuées sur les sites Web WordPress à chaque minute de la journée ? Cela implique que les tentatives de piratage sur vos sites Web sont imminentes, que le site soit grand ou petit. La sécurité est l'une des principales préoccupations d'un site Web.
Les pirates ont recours à diverses techniques pour pirater un site Web WordPress et l'attaque par force brute est l'une de ces techniques. Cela implique d'essayer une combinaison de nom d'utilisateur et de mots de passe couramment utilisés sur la page de connexion du site Web.
Une attaque par force brute réussie vous donne accès à l'administrateur WordPress. La zone d'administration de WordPress est le centre administratif d'un site Web alimenté par WordPress. Toute personne ayant un accès complet à l'administrateur aura un contrôle total sur le site. Par conséquent, il est important de protéger votre administrateur WordPress des attaques par force brute.
Comment sécuriser l'administration de WordPress ?
Nous avons mis au point un certain nombre de techniques qui vous aideront à sécuriser l'administrateur WordPress de votre site contre les tentatives de piratage.
1. Utilisez des mots de passe forts
L'une des erreurs les plus courantes commises par les propriétaires de sites Web consiste à utiliser des mots de passe faibles. Au fil des années, les techniques de craquage de mots de passe ont mûri. Les mots de passe faciles à deviner sont déchiffrés en quelques minutes. Des mots de passe forts aident à défendre votre site contre les techniques de piratage de mots de passe avisées. Voici un excellent article sur la façon de créer des mots de passe vraiment forts pour votre site WordPress.
Cependant, se souvenir de mots de passe forts peut être un problème. Cet article explique comment gérer les mots de passe WordPress forts .
Une autre erreur très courante commise par de nombreuses personnes consiste à utiliser le même mot de passe sur plusieurs sites. Lorsqu'un mot de passe est compromis, tous les comptes associés au mot de passe sont compromis. Par conséquent, l'utilisation de mots de passe différents pour les comptes peut aider à éviter cette situation.
2. Évitez d'utiliser un nom d'utilisateur commun
La sécurisation du mot de passe WordPress est une étape importante vers la sécurisation des identifiants de connexion WordPress. Le deuxième composant d'un identifiant de connexion est le nom d'utilisateur. Si votre nom d'utilisateur est facile à deviner, le pirate n'a qu'à se concentrer sur le mot de passe.
L'un des noms d'utilisateur WordPress les plus courants est "admin". Jusqu'à il y a quelques années, WordPress suggérait automatiquement « admin » comme nom d'utilisateur. Bien que WordPress ait cessé de recommander "admin", de nombreux propriétaires de sites l'utilisent toujours. Plusieurs nouveaux comptes d'utilisateurs sont en cours de création en utilisant "admin" comme nom d'utilisateur. Tous ces sites Web se font une cible facile.
Étant donné que WordPress n'impose pas l'utilisation de noms d'utilisateur uniques, vous devez vous assurer qu'aucun de vos utilisateurs n'utilise de noms d'utilisateur communs et qu'aucun nouveau compte n'est créé avec "admin". Jetez un œil à cette liste exhaustive des noms d'utilisateur couramment utilisés afin de savoir quels noms d'utilisateur éviter.
3. Cachez votre page de connexion WordPress
Les sites Web WordPress fonctionnent de manière prédéterminée. Par exemple, tous les sites Web WordPress sont livrés avec une page de connexion par défaut qui ressemble à ceci« www.anysite.com/wp-admin ».Cela facilite le travail d'un pirate car il peut lancer une attaque automatisée sur plusieurs sites WordPress ciblés simultanément. Mais si vous masquez la page de connexion en la modifiant, vous pouvez empêcher ce type d'attaques sur votre site.
Il existe de nombreux plugins que vous pouvez utiliser pour modifier votre page de connexion et utiliser une URL que le plugin vous suggère. Il est probable que d'autres sites Web utilisant le même plugin utilisent la même URL. Et si les pirates connaissent le format de l'URL, cacher votre page de connexion ne servira à rien. Par conséquent, utilisez un outil qui vous permet de créer votre propre URL de page de connexion personnalisée.
4. Implémenter l'authentification HTTP
Pour sécuriser l'administration de WordPress, vous pouvez protéger par mot de passe l'intégralité de votre dossier wp-admin. Le dossier wp-admin contient des fichiers administratifs qui alimentent le tableau de bord WordPress. Toute personne ayant accès à ce dossier peut contrôler l'ensemble du site. Si votre mot de passe protège l'intégralité du dossier, chaque fois que quelqu'un demande la section admin, le kick du serveur lance un processus d'authentification. Le navigateur demandera à l'utilisateur un mot de passe d'authentification HTTP. Il existe de nombreux outils que vous pouvez utiliser pour implémenter l'authentification HTTP sur votre administrateur WordPress comme HTTP Auth , AskApache Password Protect , etc.
5. Utilisez Google Authenticator
Les techniques de piratage de sites Web devenant de plus en plus sophistiquées de nos jours, il est courant d'ajouter une autre couche de protection de connexion en plus des informations d'identification solides de l'utilisateur. Cette technique est appelée authentification à deux facteurs (2FA). La méthode consiste à envoyer un code que vous seul pouvez recevoir sur votre smartphone. Avant de pouvoir accéder à votre tableau de bord WordPress, vous devez entrer le code unique sur votre site. Les avantages de cette approche sont que même si les pirates parviennent à déchiffrer vos informations d'identification, ils ont toujours besoin du code envoyé exclusivement à votre appareil.
Il existe de nombreux plugins WordPress que vous pouvez utiliser pour l'authentification à 2 facteurs. Nous avons activé 2FA sur notre site en utilisant Mini Orange pour sécuriser l'administration WordPress et avons rédigé un guide à ce sujet.
6. Limiter le nombre de tentatives de connexion infructueuses
Les sites Web soumis à des attaques par force brute subissent des centaines de tentatives de connexion infructueuses. Pour éviter cet assaut incessant sur votre administrateur WordPress, vous pouvez limiter le nombre de tentatives de connexion infructueuses effectuées sur votre site. Le plugin de sécurité MalCare empêche les utilisateurs d'essayer de se connecter après 3 tentatives de connexion infructueuses. Ils doivent résoudre un CAPTCHA avant d'être autorisés à accéder à nouveau à la page de connexion WordPress. Cela permet de déterminer si l'utilisateur est un humain ou un bot automatisé essayant d'exécuter une attaque par force brute sur le site.
7. Installer le certificat SSL
Regardez l'URL de notre site Web! Pouvez-vous voir un cadenas vert avec le mot "Sécurisé" à côté ? Notre site a un certificat SSL installé, ce qui signifie que personne ne peut fouiner et lire les identifiants de connexion de nos utilisateurs. Un site Web sans certificat SSL risque d'exposer involontairement les informations sensibles du site.
Autrefois, les certificats SSL étaient destinés soit aux pages de paiement, soit aux zones d'administration de WordPress. Mais maintenant, le certificat SSL peut aider à sécuriser l'ensemble de votre site. Dans sa volonté de rendre le Web plus sûr, Google a clairement indiqué que les certificats SSL sont un facteur de classement . Vous pouvez obtenir un certificat SSL auprès de fournisseurs tels que Comodo , Let's Encrypt et votre hébergeur vous aidera à configurer le certificat sur votre site.
8. Liste noire des adresses IP malveillantes
Toute personne utilisant Internet a une adresse IP. Même le pirate qui lance des attaques sur les sites Web WordPress a une adresse IP. Si vous conservez un enregistrement de ces adresses IP, vous pouvez les empêcher d'accéder à votre site. MalCare - l'un des meilleurs plugins de sécurité WordPress disponibles offre des détails (adresses IP) sur les tentatives de connexion infructueuses effectuées sur le site. Si vous observez que de nombreuses tentatives infructueuses sont effectuées presque régulièrement à partir des mêmes adresses IP, vous pouvez empêcher ces adresses IP suspectes d'accéder à vos sites Web en plaçant simplement les codes suivants dans notre fichier .htaccess :
commande autoriser, refuser refuser de 192.168.20.10 permettre de tous
"192.168.20.10" est l'adresse IP que nous voulions bloquer sur l'un de nos sites. Vous pouvez le remplacer par l'IP que vous souhaitez bloquer.
9. Changer les clés de sécurité
Vous n'avez pas besoin de saisir vos identifiants de connexion à chaque fois que vous devez vous connecter à votre site. Vous êtes-vous déjà demandé comment votre navigateur stocke ces informations d'identification ? Après vous être connecté à votre compte, vos informations de connexion sont stockées de manière cryptée dans le cookie du navigateur. Les clés de sécurité ne sont que des variables aléatoires qui aident à améliorer ce cryptage. Si votre site est piraté, la modification des clés secrètes invalidera le cookie et forcera chaque utilisateur actif à se déconnecter automatiquement. Une fois rejetés, les pirates accèdent à votre administrateur WordPress.
À vous
Il n'y a pas qu'un seul moyen de sécuriser un administrateur WordPress, assurez-vous donc d'utiliser plusieurs méthodes. Nous avons partagé avec vous quelques-unes des méthodes les plus recommandées pour sécuriser l'administration de WordPress. Mais avant de mettre en œuvre l'une de ces méthodes, vous devez sauvegarder votre site . En cas de problème, vous pouvez simplement restaurer une sauvegarde et rendre notre site opérationnel en un rien de temps.
En plus de cela, vous pouvez prendre quelques mesures de sécurité supplémentaires comme le blocage IP, la protection de la page de connexion, la sécurisation du site avec wp-config.php, en suivant ce guide complet sur la sécurité WordPress et en installant un plugin de sécurité WordPress comme MalCare.
MalCare vous aidera à mettre en œuvre certaines des mesures que nous avons mentionnées ci-dessus. Par exemple, MalCare Security Plugin vous aidera à modifier les clés de sécurité, à limiter le nombre de tentatives de connexion infructueuses, à maintenir la mise à jour de votre site Web, entre autres.
Essayez le plugin de sécurité MalCare dès maintenant !