Protection par mot de passe WordPress – Un guide complet

Il s'agit d'un guide « ultime » ou complet de la protection par mot de passe WordPress pour les administrateurs et les propriétaires de sites Web d'entreprise. Il est écrit pour ceux qui gèrent ou sont les administrateurs de sites Web WordPress.

Mis à part les rôles, la prochaine sécurité de site Web WordPress la plus vulnérable et la plus facilement renforcée est votre utilisation de mots de passe, selon WordPress et les éditeurs de logiciels de sécurité. Armé d'identifiants de connexion, quelqu'un pourrait potentiellement accéder à votre site Web et à toutes les configurations et données disponibles à partir du tableau de bord WordPress. Un utilisateur connecté pourrait se faire passer pour vous, ajouter, modifier ou supprimer des éléments, dégrader votre site Web et ruiner votre entreprise.

Cet article de blog fournit une série de directives sur les meilleures pratiques pour vous aider à établir une protection par mot de passe WordPress sécurisée dans votre organisation et à éduquer vos utilisateurs sur leur utilisation.

Table des matières

• Établir une politique de sécurité des mots de passe forte
  • • • À quoi ressemble un mot de passe fort ?
      • Rôles des utilisateurs WordPress et leurs implications en matière de sécurité
      • Installez les bons outils et plugins de sécurité de mot de passe WordPress
      • Donnez le bon exemple pour la protection par mot de passe WordPress
• Employez un gestionnaire de mots de passe
  • • Les avantages d'utiliser un gestionnaire de mots de passe
• Activer l'authentification à deux ou plusieurs facteurs
• Éduquez vos utilisateurs à la protection par mot de passe WordPress
  • • • Parlez des violations de données dignes d'intérêt
      • Appliquez votre politique de mot de passe fort
        • • Activités d'administrateur pour la sécurité du mot de passe WordPress
      • Mettre l'accent sur les avantages de l'utilisation d'un gestionnaire de mots de passe pour réduire le stress et gagner du temps
      • Mettre l'accent sur l'investissement rentable dans une sécurité renforcée des mots de passe WordPress
• Établir d'autres garanties pertinentes

Établir une politique de sécurité des mots de passe forte

En tant qu'administrateur de site Web WordPress, vous avez la possibilité et la responsabilité d'appliquer une politique de mot de passe solide à vos utilisateurs. Ce faisant, vous protégerez votre organisation, ses sites Web, ses données, son personnel et les autres utilisateurs contre une série d'attaques.

• Dans le cas d'une entreprise et de ses employés internes, les employés du marketing auront besoin d'accéder au site Web WordPress pour créer et modifier des pages de site Web et des articles de blog, tandis que d'autres n'auront besoin que d'un accès pour modérer et répondre aux commentaires. D'autre part, les employés chargés de la gestion des comptes clients ou du service client auront besoin de différents niveaux d'accès aux comptes clients pour répondre aux tickets d'assistance. Dans ce cas, la plupart des utilisateurs du personnel interne n'auront pas besoin d'accéder aux comptes clients, bien que certains en aient besoin. Les personnes travaillant dans le support informatique peuvent avoir besoin d'accéder à certains aspects des comptes clients, mais pas à tous.
• Pensons à l'autre point de vue, celui des utilisateurs externes sur un site ecommerce WordPress. Ils peuvent avoir besoin de se connecter pour gérer leur compte, effectuer un achat, suivre l'état d'une livraison ou d'un retour, ou contacter le service client. Ces mêmes utilisateurs ne doivent pas avoir accès pour créer ou supprimer des pages Web par exemple, ou être en mesure de consulter le compte et les détails financiers d'autres clients. Dans certains cas, les sites Web de commerce électronique n'exigent pas que les utilisateurs qui sont des clients créent un compte et se connectent, car cela peut parfois constituer un obstacle à l'obtention d'une vente.

Pourquoi toute cette réflexion est-elle nécessaire ? Les utilisateurs ne savent-ils pas déjà comment créer et utiliser des mots de passe sécurisés ?

L'utilisateur moyen d'un ordinateur n'est pas bien informé sur la protection par mot de passe WordPress ou sur la sécurité des mots de passe WordPress en général. Il est probable qu'ils auront une attitude laxiste envers leurs propres données en ligne et trouveront la gestion des identifiants de connexion stressante (dont nous parlerons tous plus tard), et ils les écriront sur des notes autocollantes et les colleront sur leurs écrans !

En outre:

• Les bots de devinettes de mot de passe sont de plus en plus sophistiqués
• Les pirates malveillants utilisent toujours des attaques par force brute et par dictionnaire

Les activités néfastes deviennent beaucoup plus faciles pour les pirates malveillants s'ils disposent déjà des informations personnelles telles que les vrais noms, qui sont susceptibles de faire partie d'un mot de passe faible.

À quoi ressemble un mot de passe fort ?

• Mots de passe plus longs – En règle générale, plus le mot de passe est court, plus il est susceptible d'être attaqué par force brute ou par dictionnaire. Le meilleur conseil actuel est de définir une longueur minimale de 16 caractères pour votre mot de passe et d'autoriser les espaces. Certains générateurs de mots de passe permettent aux utilisateurs de personnaliser la longueur du mot de passe sécurisé et aléatoire qu'ils créent.
• Mots de passe mixtes – Utilisez une combinaison aléatoire de caractères (majuscules et minuscules), de chiffres et de caractères spéciaux. Cela protégera votre mot de passe contre les attaques par dictionnaire. Évitez les mots du dictionnaire et les modèles de lettres ou de chiffres, en remplaçant les lettres par des chiffres ("@" au lieu de "a", "0" au lieu de "O", y compris les séquences de clavier (qwerty).
• Mots de passe aléatoires – Gardez vos mots de passe sans rapport avec vous. N'utilisez aucune partie de votre nom ou celui d'un animal de compagnie, d'un enfant ou d'un autre parent. N'utilisez pas votre date de naissance, votre adresse postale ou toute autre information publique qu'un pirate malveillant pourrait facilement vous connecter. Évitez également d'utiliser des informations qu'un collègue ou une connaissance pourrait deviner, comme des surnoms.
• Changer les mots de passe - Réinitialisez vos mots de passe régulièrement (tous les trois mois est recommandé.) Cela redémarre l'horloge sur toutes les tentatives de force brute et vous permet de rester en avance sur les progrès de la technologie de piratage contraire à l'éthique.
• Différents mots de passe – Ayez un mot de passe différent pour chaque site Web. De cette façon, si l'un est violé, les autres sont toujours sécurisés. Utilisez quotidiennement un gestionnaire de mots de passe pour les stocker, les mettre à jour et les utiliser.
• Mots de passe enregistrés - N'utilisez pas la configuration du navigateur, les ordinateurs portables ou les dossiers partagés pour enregistrer vos mots de passe au cas où votre ordinateur serait piraté ou volé. C'est à cela que sert un gestionnaire de mots de passe !

Rôles des utilisateurs WordPress et leurs implications en matière de sécurité

La configuration des rôles a d'énormes implications dans la sécurité du site Web WordPress. En règle générale, la sécurité de WordPress devrait augmenter en proportion directe avec le niveau d'informations sensibles contenues ou échangées sur le site Web.

Examinons d'abord les rôles d'administrateur :

• Super administrateurs - attribués aux propriétaires multisites utilisant WordPress Multisite Network, il vous donne exactement les mêmes autorisations que le rôle d'administrateur
• Administrateur - automatiquement attribué à un propriétaire/créateur de site Web lors de l'installation, il vous donne un contrôle total sur un site Web, y compris la suppression, ils peuvent : installer, modifier et supprimer des thèmes et des plugins ; exécuter des mises à niveau et des mises à jour ; créer, modifier et supprimer des pages et des articles de blog ; ajouter, modifier et supprimer des utilisateurs, y compris d'autres administrateurs ; et ajouter, modifier et supprimer des médias

Tous les autres rôles d'utilisateur, répertoriés par ordre décroissant d'autorité, sont :

• Éditeur – peut ajouter, modifier et supprimer de nouvelles pages, des articles de blog, des médias ; créer des catégories et des balises ; publier du contenu écrit par eux-mêmes et par d'autres ; et commentaires modérés
• Auteur – peut ajouter, modifier et publier uniquement son propre contenu ; télécharger des médias ; et attribuez des catégories et des balises existantes aux articles de blog
• Contributeur – ne peut ajouter et modifier que son propre contenu ; et attribuer des catégories et des balises existantes à leurs propres articles de blog
• Abonné - ne peut mettre à jour que son propre profil d'utilisateur ; lire le contenu des autres ; et ajouter des commentaires

En suivant le principe du moindre privilège, lorsque vous définissez des rôles pour déléguer des tâches dans WordPress, évitez de donner à quelqu'un d'autre l'accès (super) administrateur à moins qu'il n'ait besoin d'avoir ce niveau de contrôle sur un site Web, ses fonctionnalités et ses utilisateurs. Étant donné que les lecteurs peuvent voir le "publié par" (nom d'utilisateur) sur votre site Web, les administrateurs - par mesure de précaution supplémentaire - doivent configurer un utilisateur supplémentaire pour eux-mêmes et se connecter uniquement avec le compte (super) administrateur lorsqu'ils ont besoin d'effectuer ces tâches de niveau supérieur. Cela signifie que les pirates malveillants ont encore moins d'informations sur lesquelles s'appuyer s'ils envisagent une attaque par force brute.

Pour plus d'informations, consultez Comment utiliser les rôles d'utilisateur WordPress pour améliorer la sécurité de WordPress.

Installez les bons outils et plugins de sécurité de mot de passe WordPress

Une façon d'appliquer des mots de passe WordPress forts à vos utilisateurs consiste à utiliser le plug-in WPassword pour :

• Appliquez des mots de passe forts sur vos sites Web WordPress en quelques secondes
• Fournir des conseils pour aider les utilisateurs à trouver des mots de passe forts (plutôt que d'avoir à deviner)
• Configurer des politiques de mot de passe sur des aspects vitaux de la protection par mot de passe, tels que la complexité, l'historique et l'âge du mot de passe
• Configurez des politiques de mot de passe basées sur le rôle de l'utilisateur pour répondre à des rôles spécialisés personnalisés ou pour exclure des utilisateurs spécifiques de politiques particulières.
• Réinitialiser immédiatement tous les mots de passe si une attaque est détectée
• Mettre en œuvre une politique d'utilisateurs dormants, pour supprimer la menace affichée par les comptes d'utilisateurs inactifs qui ont été configurés avant l'adoption de la politique

Donnez le bon exemple pour la protection par mot de passe WordPress

Nous vous recommandons d'utiliser des informations d'identification sécurisées et d'encourager également vos utilisateurs à le faire.

• Combinez votre mot de passe fort (voir À quoi ressemble un mot de passe fort ?) avec un nom d'utilisateur fort.
• En tant qu'administrateur, évitez les noms d'utilisateur par défaut évidents et faibles tels que admin, default, password ou guest
• Ne rendez pas la tâche si facile aux mauvais acteurs qu'ils n'ont plus qu'un seul identifiant à découvrir

N'oubliez pas que si vous comptez sur les mesures de sécurité de mot de passe WordPress, vous devez également appliquer des mots de passe forts à l'aide d'un plugin. WordPress n'a pas d'application de mot de passe fort intégré ou par défaut.

Employez un gestionnaire de mots de passe

Un gestionnaire de mots de passe est un service en ligne ou un logiciel client qui stocke et gère en toute sécurité les informations d'identification des utilisateurs sur plusieurs sites Web et services. Ces informations sont accessibles avec un seul mot de passe principal et des options d'authentification multifacteur. Les exemples populaires incluent 1Password et KeePass. Mais, même s'il existe de nombreux gestionnaires de mots de passe en ligne, cela ne remplace pas les sauvegardes solides et la fiabilité.

Les avantages d'utiliser un gestionnaire de mots de passe

• Ils n'auront pas à se souvenir de leurs mots de passe pour chaque site Web - en même temps, l'un des plus gros problèmes sur le lieu de travail qui est "résolu" par une pratique paresseuse et folle consistant à utiliser les mêmes informations d'identification sur de nombreux services en ligne.
• Ils ne seront pas tentés de stocker des identifiants de connexion sous forme écrite qui enfreignent les réglementations sur la protection des données ou dans des fichiers en ligne susceptibles d'être compromis.
• Cela permettra aux utilisateurs d'utiliser des mots de passe complexes et différents. De nombreux gestionnaires de mots de passe ont un générateur de mots de passe intégré avec une suggestion contextuelle de navigateur pratique et rapide qui enregistre également instantanément un nouvel enregistrement.
• Ils ne laisseront pas leur compte ou leur site Web ouvert aux pirates malveillants et aux robots automatisés.
• Les gestionnaires de mots de passe surveillent souvent les adresses e-mail et alertent les utilisateurs suite à leur apparition sur le dark web. Et, ils peuvent également recommander que les mots de passe réutilisés ou autrement faibles soient modifiés.

Activer l'authentification à deux ou plusieurs facteurs »

L'authentification à deux facteurs ou multifacteur est une couche supplémentaire d'informations d'identification qui doit être saisie avant qu'un utilisateur puisse accéder à un site Web ou à une application, en plus de la combinaison traditionnelle de nom d'utilisateur et de mot de passe. Il est utilisé lorsque quelqu'un utilise déjà des mots de passe forts, car une approche multi-facteurs est la meilleure pour la sécurité de WordPress. Des combinaisons fortes de mot de passe et de nom d'utilisateur peuvent être volées. Un code à usage unique est généré par une application et reçu par e-mail ou SMS envoyé sur l'appareil personnel, le compte de messagerie ou le téléphone portable d'un utilisateur, est plus difficile à contourner pour un pirate malveillant.

Il existe plusieurs alternatives qui revendiquent la place des meilleurs plugins d'authentification à deux facteurs pour WordPress. Vérifiez-les. Mais nous recommandons fortement notre propre produit - le plugin WP 2FA. Non seulement cela améliorera l'authentification de votre site Web WordPress, mais il est conçu dans un souci de facilité d'utilisation et de simplicité de configuration. Il vous permet également de rendre 2FA obligatoire, avec des politiques 2FA entièrement configurables pour différents rôles d'utilisateur. La combinaison des plugins WPassword et WP 2FA rend vos sites Web WordPress super sécurisés.

Éduquez vos utilisateurs à la protection par mot de passe WordPress

Les utilisateurs de votre site Web savent déjà vaguement qu'il existe un besoin de sécurité par mot de passe fort. Mais ils ne font souvent rien à ce sujet.

Alors, sur quoi devez-vous précisément les éduquer ?

Parlez des violations de données dignes d'intérêt

Les mots de passe faibles sont l'une des plus grandes menaces pour la sécurité des sites Web WordPress. Pourquoi? Parce que des informations d'identification faibles - facilement contournées par une attaque par force brute ou par dictionnaire - sont l'une des principales causes des violations de données dont nous entendons tous parler dans les actualités. Ajoutez à cela les pertes de données facilitées par les mots de passe par défaut ou volés, ou les mots de passe récupérés sur des appareils perdus ou volés, et le problème se multiplie.

Que peuvent faire les pirates malveillants et les utilisateurs non autorisés lorsqu'ils accèdent à votre site Web ?

• À la base, ils peuvent modifier vos configurations ou insérer des logiciels malveillants
• Ils pourraient également rediriger le trafic de votre site Web ou l'utiliser pour distribuer des logiciels piratés
• Dans les attaques les plus graves, ils peuvent voler et utiliser à mauvais escient des données sensibles, créer de faux frais bancaires ou collecter des informations financières et autres pour les revendre sur le dark web.
• Au-delà de ces activités commerciales, les hacktivistes peuvent politiser ou défigurer votre site Web avec des discours de haine

Assurez-vous que les utilisateurs de votre personnel interne sont conscients des principales implications à l'échelle de l'organisation sur les informations internes de l'entreprise et les données externes des clients, ainsi que des amendes ou des radiations obligatoires de l'entreprise. Et, répétez les mêmes messages aux clients de votre site Web pour vous assurer qu'ils accordent la priorité à la sécurité de leurs propres données personnelles, financières, de santé et autres données sensibles.

Les impacts négatifs que ces violations de données peuvent avoir sur votre organisation et votre site Web sont énormes :

• Perte de réputation et de confiance dans votre organisation et votre site Web
• Amendes substantielles des organismes de réglementation, ainsi que d'autres sanctions ou dissociations des partenaires et des clients

Appliquez votre politique de mot de passe fort

1. Tout d'abord, éduquez vos utilisateurs sur tous les éléments dans À quoi ressemble un mot de passe fort ? et les avantages d'utiliser un gestionnaire de mots de passe ? Par exemple, assurez-vous qu'ils connaissent les formulations de mot de passe persistantes et sérieusement non sécurisées telles que thisismypassword, 123456789, [mykidsname] ou [mypetsname]. Et, à la place, encouragez l'utilisation de formulations de mots de passe forts (par exemple vqO&V13@H%fF ou @iGOuqk%W0xY ). Ne partagez ni n'utilisez ces exemples spécifiques pour aucun de vos services ou utilisateurs. Ce sont simplement des exemples.
2. Rappeler régulièrement au personnel interne la politique d'emploi et/ou de protection des données qu'il a signée et les responsabilités légales personnelles qu'il a envers son employeur.
3. Rappelez régulièrement au personnel interne que la politique de protection des données et les déclarations faites par l'entreprise aux clients s'appuient sur elles conformément aux politiques de l'entreprise, et qu'elles ont des implications juridiques, financières, d'emploi et d'application de la loi potentiellement graves et permanentes.
4. Encouragez les utilisateurs à créer leurs propres mots de passe sécurisés à l'aide de gestionnaires de mots de passe qui disposent également d'outils de génération de mots de passe. La plupart des logiciels de gestion de mots de passe auront également le leur, ce qui est utile lorsque vous créez de nouveaux comptes pour des services en ligne et autres.

Activités d'administrateur pour la sécurité du mot de passe WordPress

1. Vérifiez la force des mots de passe de vos utilisateurs WordPress avec un scanner tel que WPScan.
2. Utilisez les outils utilisés par les pirates malveillants pour essayer de « deviner » les mots de passe de vos utilisateurs. Planifiez vous-même des attaques par force brute et par dictionnaire !
3. Verrouillez les utilisateurs qui ont des mots de passe faibles et envoyez une invite pour les réinitialiser.
4. Organisez des ateliers sur l'utilisation du gestionnaire de mots de passe de votre choix.

Mettre l'accent sur les avantages de l'utilisation d'un gestionnaire de mots de passe pour réduire le stress et gagner du temps

Beaucoup de vos utilisateurs peuvent voir le besoin de mots de passe forts mais ne veulent pas les utiliser en raison de leur méconnaissance et des difficultés ou des coûts perçus dans la pratique. C'est là que vous pouvez renforcer la facilité et les avantages de l'utilisation d'un gestionnaire de mots de passe, ainsi que le faible coût, la fiabilité et la facilité de conserver des sauvegardes d'informations d'identification.

C'est un énorme avantage de n'avoir à retenir qu'un seul mot de passe plutôt que plusieurs mots de passe.

Du point de vue de l'utilisateur, les points saillants sont :

• Ils n'ont à retenir qu'un seul mot de passe - le bonheur !
• Le gestionnaire de mots de passe agira comme un nouveau générateur de mots de passe, un outil de gestion des mots de passe et une invite à entrer des informations d'identification sécurisées sur place pour eux

Mettre l'accent sur l'investissement rentable dans une sécurité renforcée des mots de passe WordPress

Nous devons faire face aux faits. Certains utilisateurs potentiels seront dissuadés de s'inscrire à votre site Web s'ils sont obligés d'utiliser des mots de passe forts et de les changer fréquemment. Ces procédures prennent un peu de temps et d'efforts à mettre en place initialement. Certains considéreront cela comme une corvée qu'ils ne veulent pas, tandis que d'autres se plaindront que cela gâche leur expérience d'utilisation de votre site Web.

Établir et appliquer une politique de sécurité de mot de passe WordPress solide, éventuellement en utilisant un plugin qui différencie les politiques de mot de passe et les niveaux de sécurité en fonction des rôles des utilisateurs, réduira au minimum les perturbations des utilisateurs.

Établir d'autres garanties pertinentes

En tant que propriétaire de site Web ou administrateur WordPress, voici quelques suggestions finales de problèmes plus importants que vous devez prendre en compte pour la sécurité des mots de passe WordPress :

• Familiarisez-vous avec les protocoles généraux de renforcement de la sécurité et de protection de WordPress pour WordPress. Il existe des raisons spécifiques pour lesquelles les sites Web WordPress sont piratés. En tant qu'administrateur ou propriétaire, il est dans votre intérêt de savoir ce qu'ils sont et comment les gérer. Oui, les mots de passe faibles sont un problème majeur, tout comme le manque de 2FA et de journaux d'activité. Mais saviez-vous que l'utilisation d'un noyau, de plugins et d'autres logiciels WordPress obsolètes est également un problème sérieux ?
• Utilisez un plug-in de journal d'activité WordPress qui vous permettra de savoir si des utilisateurs non autorisés ont accédé à votre compte et, le cas échéant, quels dommages ils ont causés. Notre journal d'activité WP vous aide à identifier les comportements suspects au stade le plus précoce et à prévenir toute attaque de piratage malveillant sur votre site Web.
• Configurez une politique d'utilisateurs dormants ou inactifs pour votre site Web WordPress. Les comptes d'utilisateurs négligés sont un point d'entrée facile pour les pirates malveillants.
• Votre site Web peut être piraté même si vous utilisez des mots de passe forts et appliquez des politiques de mots de passe forts à vos utilisateurs. Il est bon de savoir immédiatement si votre site Web a été piraté. Il s'agit d'un service gratuit de notification de violation de données que nous vous suggérons de consulter.

Avez-vous des questions sur la protection par mot de passe WordPress ou sur l'un des produits que nous avons mentionnés dans cet article de blog ? Faites-nous savoir ci-dessous! Et rappelez-vous les mots de Chris Pirillo :

"Les mots de passe sont comme des sous-vêtements : vous ne les laissez pas voir, vous devez les changer très souvent et vous ne devez pas les partager avec des inconnus."

Obtenez un essai de 7 jours de WPassword pour en faire l'expérience et aider les utilisateurs de votre site Web à utiliser des mots de passe WordPress forts