7 conseils pour sécuriser les utilisateurs de WordPress en 2021

Publié: 2021-03-16

Le meilleur moyen de sécuriser vos utilisateurs WordPress en 2021 est d'utiliser un mot de passe fort et une authentification à deux facteurs. Cela semble assez simple, non? La réalité est que la sécurité des utilisateurs de WordPress est un peu plus nuancée.

Chaque fois que nous parlons de sécurité des utilisateurs, nous entendons souvent des questions telles que : chaque utilisateur de WordPress devrait-il avoir les mêmes exigences de sécurité et dans quelle mesure la sécurité est-elle trop de sécurité ?

Ne t'inquiète pas. Nous répondons à toutes ces questions. Mais d'abord, parlons des différents types d'utilisateurs de WordPress.

Quels sont les différents types d'utilisateurs de WordPress ?

Il y a 5 utilisateurs WordPress par défaut différents.

Administrateur
Éditeur
Auteur
Donateur
Abonné

Remarque : les multi-sites WordPress ont un sixième utilisateur. Le super administrateur a tous accès aux fonctionnalités d'administration du réseau du site et à toutes les autres fonctionnalités. Ils peuvent créer de nouveaux sites et supprimer des sites sur le réseau, ainsi que gérer les utilisateurs, les plug-ins et les thèmes du réseau.

Chaque utilisateur a des capacités différentes. Les capacités dictent ce qu'ils peuvent faire une fois qu'ils accèdent au tableau de bord. En savoir plus sur les rôles et les autorisations des utilisateurs WordPress.

Les dommages potentiels de différents utilisateurs de WP piratés

Avant de pouvoir comprendre comment sécuriser nos utilisateurs WordPress, nous devons d'abord comprendre le niveau de menace de chaque type d'utilisateur compromis. Le type et le niveau de dommages qu'un attaquant peut infliger varient considérablement en fonction des rôles et des capacités de l'utilisateur qu'il pirate.

Administrateur – Niveau de menace élevé

Les utilisateurs administrateurs ont les capacités de tout ce qu'ils veulent.

Créer, supprimer et modifier des utilisateurs.
Installez, supprimez et modifiez des plugins et des thèmes.
Créez, supprimez et modifiez tous les articles et pages.
Publier et dépublier des articles et des pages.
Ajouter et supprimer des médias.

Si un pirate informatique peut mettre la main sur l'un des administrateurs de votre site, il pourrait retenir votre site Web contre une rançon. Le ransomware fait référence au moment où un pirate informatique prend le contrôle de votre site Web et ne vous le rendra pas à moins que vous ne lui payiez des frais élevés.

Si un pirate informatique peut mettre la main sur l'un des administrateurs de votre site, il pourrait retenir votre site Web contre rançon. Le ransomware fait référence au moment où un pirate informatique prend le contrôle de votre site Web et ne vous le rendra pas à moins que vous ne lui payiez des frais élevés.

Le temps d'arrêt moyen d'une attaque de ransomware est de 9,5 jours. Combien de revenus 10 jours sans vente vous coûteraient-ils ?

Éditeur – Niveau de menace élevé

L' Editeur gère l'ensemble du contenu du site. Ces utilisateurs ont encore un peu de pouvoir.

Créez, supprimez et modifiez tous les articles et pages.
Publiez et dépubliez tous les articles et pages.
Téléchargez des fichiers multimédias.
Gérer tous les liens.
Gérer les commentaires.
Gérer les catégories.

Si un attaquant prenait le contrôle du compte d'un éditeur, il pourrait modifier l'une de vos pages pour l'utiliser dans une attaque de phishing. Le phishing est un type d'attaque utilisé pour voler les données des utilisateurs, y compris les identifiants de connexion et les numéros de carte de crédit.

L'hameçonnage est l'un des moyens les plus sûrs de mettre votre site Web sur la liste noire de Google. Chaque jour, 10 000 sites figurent sur la liste de blocage de Google pour diverses raisons.

Remarque : iThemes Security Site Scan effectue des vérifications quotidiennes de l'état de la liste de blocage Google de votre site Web.

Auteur – Niveau de menace Moyen

L' auteur a été conçu pour créer et gérer son propre contenu.

Créez, supprimez et modifiez leurs propres publications et pages.
Publier et dépublier leurs propres messages.
Télécharger des fichiers multimédias

Si un attaquant prenait le contrôle du compte d'un auteur, il pourrait créer des pages et des publications qui renverraient les visiteurs de votre site vers des sites Web malveillants.

Contributeur et abonné – Niveau de menace faible

Le contributeur est la version allégée du rôle d'utilisateur Auteur. Ils n'ont aucun pouvoir d'édition.

Créer et éditer leurs propres messages.
Supprimer leurs propres messages non publiés.

L' Abonné peut lire les choses que les autres utilisateurs publient.

Bien que les pirates avec un rôle de contributeur ou d'abonné ne puissent effectuer aucune modification malveillante, ils peuvent voler toute information sensible stockée dans le compte ou la page de profil de l'utilisateur.

7 astuces pour sécuriser vos utilisateurs WordPress

D'accord, ce sont donc des trucs assez désagréables que les pirates peuvent faire sur nos sites Web. La bonne nouvelle est que la plupart des attaques sur vos comptes d'utilisateurs WordPress peuvent être évitées avec juste un petit effort de votre part.

Jetons un coup d'œil aux choses que vous pouvez faire pour sécuriser vos utilisateurs WordPress. La vérité est que ces méthodes de sécurité aideront à sécuriser chaque type d'utilisateur WordPress. Mais, au fur et à mesure que nous passerons en revue chacune des méthodes, nous vous indiquerons les utilisateurs dont vous devriez avoir besoin pour utiliser la méthode.

1. Ne donnez aux gens que les capacités dont ils ont besoin

Le moyen le plus simple de protéger votre site Web est de ne donner à vos utilisateurs que les capacités dont ils ont besoin et rien de plus. Si la seule chose que quelqu'un va faire sur votre site Web est de créer et de modifier ses propres articles de blog, il n'a pas besoin de pouvoir modifier les articles d'autres personnes.

2. Limiter les tentatives de connexion

Les attaques par force brute font référence à une méthode d'essai et d'erreur utilisée pour découvrir des combinaisons de nom d'utilisateur et de mot de passe pour pirater un site Web. Par défaut, rien n'est intégré à WordPress pour limiter le nombre de tentatives de connexion infructueuses qu'une personne peut effectuer.

Sans limite sur le nombre de tentatives de connexion infructueuses qu'un attaquant peut effectuer, il peut continuer à essayer un nombre infini de noms d'utilisateur et de mots de passe jusqu'à ce qu'il réussisse.

La fonction de protection contre la force brute locale d'iThemes Security Pro garde une trace des tentatives de connexion non valides effectuées par les adresses IP et les noms d'utilisateur. Une fois qu'une adresse IP ou un nom d'utilisateur a fait trop de tentatives de connexion invalides consécutives, ils seront verrouillés et ne pourront plus tenter de connexion.

3. Sécurisez les utilisateurs WordPress avec des mots de passe forts

Plus le mot de passe de votre compte utilisateur WordPress est fort, plus il est difficile à deviner. Il faut 0,29 milliseconde pour déchiffrer un mot de passe à sept caractères. Mais, un pirate a besoin de deux siècles pour déchiffrer un mot de passe à douze caractères !

Idéalement, un mot de passe fort est une chaîne alphanumérique de douze caractères. Le mot de passe doit contenir des lettres majuscules et minuscules ainsi que d'autres caractères ASCII.

Bien que tout le monde puisse bénéficier de l'utilisation d'un mot de passe fort, vous souhaiterez peut-être forcer uniquement les personnes disposant de capacités de niveau Auteur et supérieures à avoir des mots de passe forts.

La fonction d' exigence de mots de passe iThemes Security Pro vous permet de forcer des utilisateurs spécifiques à utiliser un mot de passe fort.

4. Refuser les mots de passe compromis

Même si 91% des personnes savent que la réutilisation des mots de passe est une mauvaise pratique, 59% des personnes réutilisent toujours leurs mots de passe partout ! Beaucoup de ces personnes utilisent encore des mots de passe dont ils savent qu'ils sont apparus dans un dump de base de données.

Les pirates informatiques utilisent une forme d'attaque par force brute appelée attaque par dictionnaire. Une attaque par dictionnaire est une méthode pour pénétrer dans un site Web WordPress avec des mots de passe couramment utilisés qui sont apparus dans les vidages de la base de données. La « Collection 1 ? La violation de données hébergée sur MEGA incluait 1 160 253 228 combinaisons uniques d'adresses e-mail et de mots de passe. C'est un milliard avec un b. Ce type de score aidera vraiment une attaque par dictionnaire à affiner les mots de passe WordPress les plus couramment utilisés.

Il est indispensable d'empêcher les utilisateurs ayant des capacités de niveau Auteur et supérieur d'utiliser des mots de passe compromis. Vous pouvez également penser à ne pas laisser vos utilisateurs de niveau inférieur utiliser des mots de passe compromis.

Il est tout à fait compréhensible et encouragé de rendre la création d'un nouveau compte client aussi simple que possible. Cependant, votre client peut ne pas savoir que le mot de passe qu'il utilise a été trouvé dans un vidage de données. Vous rendriez un grand service à vos clients en les alertant du fait que le mot de passe qu'ils utilisent a été compromis. S'ils utilisent ce mot de passe partout, vous pourriez leur éviter de gros maux de tête plus tard.

La fonction Refuser les mots de passe compromis d'iThemes Security Pro oblige les utilisateurs à utiliser des mots de passe qui n'apparaissent dans aucune violation de mot de passe suivie par Have I Been Pwned.

5. Sécurisez les utilisateurs WordPress avec une authentification à deux facteurs

L'authentification à deux facteurs est un processus de vérification de l'identité d'une personne en exigeant deux méthodes de vérification distinctes. Google a partagé sur son blog que l'utilisation de l'authentification à deux facteurs peut arrêter 100% des attaques de bots automatisées. J'aime vraiment ces cotes.

À tout le moins, vous devriez exiger de vos administrateurs et éditeurs qu'ils utilisent l'authentification à deux facteurs.

La fonction d' authentification à deux facteurs d'iThemes Security Pro offre une grande flexibilité lors de la mise en œuvre de 2fa sur votre site Web. Vous pouvez activer le double facteur pour tout ou partie de vos utilisateurs, et vous pouvez forcer vos utilisateurs de haut niveau à utiliser 2fa à chaque connexion.

6. Limiter l'accès de l'appareil au tableau de bord WP

Limiter l'accès au tableau de bord WordPress à un ensemble d'appareils peut ajouter une forte couche de sécurité à votre site Web. Si un pirate informatique n'est pas sur le bon appareil pour un utilisateur, il ne pourra pas utiliser l'utilisateur compromis pour infliger des dommages à votre site Web.

Vous ne devez limiter l'accès aux appareils qu'à vos administrateurs et éditeurs.

La fonctionnalité Appareils de confiance iThemes Security Pro identifie les appareils que vous et les autres utilisateurs utilisez pour vous connecter à votre site WordPress. Lorsqu'un utilisateur s'est connecté sur un appareil non reconnu, les appareils de confiance peuvent restreindre leurs capacités de niveau administrateur. Cela signifie que si un attaquant était capable de pénétrer dans le backend de votre site WordPress, il n'aurait pas la possibilité d'apporter des modifications malveillantes à votre site Web.

7. Sécurisez les utilisateurs de WordPress contre le piratage de session

WordPress génère un cookie de session chaque fois que vous vous connectez à votre site Web. Et disons que vous avez une extension de navigateur qui a été abandonnée par le développeur et ne publie plus de mises à jour de sécurité. Malheureusement pour vous, l'extension de navigateur négligée présente une vulnérabilité. La vulnérabilité permet à de mauvais acteurs de détourner les cookies de votre navigateur, y compris le cookie de session WordPress mentionné précédemment. Ce type de piratage est connu sous le nom de piratage de session . Ainsi, un attaquant peut exploiter la vulnérabilité de l'extension pour se greffer à votre connexion et commencer à apporter des modifications malveillantes à votre utilisateur WordPress.

Vous devriez avoir mis en place une protection contre le piratage de session pour vos administrateurs et éditeurs.

La fonction Appareils de confiance iThemes Security Pro fait du piratage de session une chose du passé. Si l'appareil d'un utilisateur change au cours d'une session, iThemes Security déconnectera automatiquement l'utilisateur pour empêcher toute activité non autorisée sur le compte de l'utilisateur, telle que la modification de l'adresse e-mail de l'utilisateur ou le téléchargement de plug-ins malveillants.

Emballer

La popularité de WordPress en fait une cible pour les pirates du monde entier. Comme nous en avons discuté, un attaquant peut causer des dommages en piratant même le plus bas niveau d'utilisateur de WordPress. La bonne nouvelle est que bien qu'il n'y ait aucun moyen d'empêcher les attaques contre vos utilisateurs WordPress, avec un petit effort de notre part, nous pouvons empêcher les attaques de réussir.

Michael Moore

Chaque semaine, Michael rédige le rapport de vulnérabilité WordPress pour vous aider à protéger vos sites. En tant que chef de produit chez iThemes, il nous aide à continuer à améliorer la gamme de produits iThemes. C'est un nerd géant et il adore apprendre tout ce qui touche à la technologie, ancienne et nouvelle. Vous pouvez trouver Michael traîner avec sa femme et sa fille, lire ou écouter de la musique lorsqu'il ne travaille pas.