WordPress: 7 techniques pour sécuriser l’espace d’administrateur

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest
Ce qu'ils disent
Follow us
Subscribe Newsletter

Integer posuere erat a ante venenatis dapibus posuere velit aliquet sites ulla vitae elit libero 

Le centre central de votre site Web est le panneau d’administration de WordPress. Vous pouvez accéder aux informations client, communiquer avec les visiteurs, installer de nouveaux plugins, modifier le code de votre site Web et bien plus encore en vous connectant simplement à votre compte. Il en va de même pour un pirate informatique à moins que vous ne preniez des précautions pour protéger votre tableau de bord.

Les conséquences pourraient être désastreuses si un tiers malveillant réussit à obtenir un accès non autorisé à votre tableau de bord d’administration. Heureusement, il existe un certain nombre de techniques pour protéger cette région des pirates et réduire les dangers qui la menacent.

Sept méthodes pour protéger votre espace d’administration WordPress contre les intrusions nuisibles sont abordées dans cet essai. Même si les pirates ont votre nom d’utilisateur et votre mot de passe, vous pouvez leur rendre plus difficile l’accès à votre compte en suivant nos suggestions. Allons-y!

Pourquoi vous devriez sécuriser votre espace d’administration WordPress

Un tiers malveillant pourra accéder à toutes vos données s’il réussit à pirater votre compte WordPress. Cela couvre toutes les données personnelles associées aux utilisateurs qui se sont déjà inscrits sur votre site Web. Si vous acceptez des paiements, il peut même contenir des détails financiers comme des numéros de carte de crédit.

Votre réputation pourrait subir un préjudice permanent de ce type de violation de données. Votre site Web a le devoir de sécuriser les informations sensibles des clients, ce qui peut vous causer des problèmes juridiques en fonction de la législation locale.

Même si vous évitez de perdre chaque client et de subir des sanctions légales, se remettre d’une cyberattaque est extrêmement coûteux. Éviter d’avoir à emprunter ce chemin est préférable.

De nombreuses attaques, telles que les attaques par force brute, sont dirigées en particulier vers l’espace d’administration de WordPress. Dans ceux-ci, un pirate inonde votre page de connexion avec des combinaisons de nom d’utilisateur et de mot de passe largement utilisées dans l’espoir de trouver une correspondance.

Étant donné que le nom d’utilisateur et l’URL de connexion de l’administrateur WordPress sont définis par défaut pour être les mêmes pour chaque installation, WordPress est particulièrement sensible aux attaques par force brute. Un attaquant n’a besoin de deviner votre mot de passe que si vous utilisez ces valeurs par défaut.

Votre écran de connexion WordPress peut être amélioré pour mieux protéger votre compte contre une variété de menaces.

7  stratégies pour sécuriser votre espace d’administration WordPress

Si un pirate parvient à accéder à votre tableau de bord, il peut prendre vos informations personnelles sur les clients, placer des logiciels malveillants sur votre ordinateur, vous empêcher d’accéder à votre compte ou même effacer complètement votre site Web. Vous devez prendre des précautions pour sécuriser votre espace d’administration WordPress si vous souhaitez aider à protéger vos visiteurs, vos données et votre contenu.

1. N’utilisez jamais le nom d’utilisateur admin par défaut.

Chaque nouvelle installation de WordPress donne par défaut le nom d’utilisateur admin au compte d’utilisateur initial. Si vous continuez ainsi, les pirates connaîtront déjà votre nom d’utilisateur et n’auront qu’à obtenir ou deviner votre mot de passe pour y accéder.

Il est fortement conseillé de changer de login si vous utilisez actuellement admin. Vous pouvez y parvenir en accédant à votre profil pour le modifier dans la barre latérale de votre tableau de bord et en choisissant Utilisateurs > Tous les utilisateurs :

The WordPress user profile editor.

Pendant que vous êtes ici, assurez-vous que votre mot de passe est sûr en utilisant un mélange de lettres majuscules et minuscules, de chiffres et de symboles.

 

2. Protégez votre dossier wp-admin avec un mot de passe.

Votre dossier wp-admin et votre page de connexion sont accessibles à tout tiers sans aucune authentification. Les fichiers d’administration importants sont situés dans le dossier wp-admin, vous devez donc le protéger avec un nom d’utilisateur et un mot de passe.

Cette mesure de sécurité supplémentaire doit être ajoutée via votre panneau de gestion d’hébergement. Ouvrez le dossier Directory Privacy dans cPanel.

The cPanel dashboard file directory privacy icon.

Accédez ensuite à public html/wp-admin. Ici, cliquez sur la case à côté de Password-protect this directory :

The Directory Privacy folder, as seen in cPanel.

Créez les informations de connexion pour votre dossier wp-admin lorsque vous y êtes invité, puis cliquez sur Enregistrer. À partir de ce moment, WordPress demandera ce nom d’utilisateur et ce mot de passe chaque fois que quelqu’un essaiera d’entrer dans le répertoire wp-admin.

3. Créez une URL de connexion unique.

En ajoutant /wp-login.php à l’URL de n’importe quel site Web WordPress, vous pouvez accéder à sa page de connexion. Si votre domaine est www.example.com, par exemple, votre page de connexion serait située à www.example.com/wp-login.php.

La page de connexion de votre site Web est accessible au grand public si vous utilisez le thème WordPress par défaut. Pire encore, si vous vous connectez à votre espace d’administration en utilisant le nom d’utilisateur d’administrateur par défaut et l’URL normale /wp-login.php, un pirate connaît déjà deux des trois informations nécessaires pour le faire.

Vous pouvez créer une URL de connexion personnalisée à l’aide d’un plugin tel que WPS Hide Login. Choose Settings > WPS Hide Login Une fois installé, vous pouvez y accéder à partir du menu du tableau de bord. De nouvelles entrées d’URL peuvent désormais être effectuées dans le champ URL de connexion.

4. Moins de tentatives de connexion

WordPress n’empêche pas les utilisateurs d’essayer de se connecter, même s’ils saisissent à plusieurs reprises le mauvais mot de passe. Pour cette raison, votre site Web est ouvert aux attaques par force brute. Un script automatisé peut être utilisé par des pirates pour inonder votre compte de centaines, voire de milliers de mots de passe potentiels.

Use the to restrict login attempts. Wordfence Security plugin. Après l’installation, accédez à Wordfence > Toutes les options. La protection contre la force brute doit être choisie sous Options de pare-feu.

The settings for the Wordfence plugin.

Assurez-vous que le paramètre Activer la protection contre la force brute est activé ensuite. Le nombre de tentatives de connexion infructueuses que WordPress doit accepter avant de bloquer l’adresse IP du contrevenant peut alors être spécifié.

5. Configurer l’authentification à deux facteurs (2FA)

Les utilisateurs qui souhaitent accéder à votre zone d’administration WordPress doivent d’abord passer un deuxième contrôle de sécurité appelé 2FA. L’ajouter à votre compte WordPress est possible en utilisant un plugin de sécurité comme Wordfence.

Vous devez installer une application d’authentification sur votre smartphone ou votre tablette pour utiliser la fonction 2FA de Wordfence. Un code de sécurité sera émis sur votre appareil mobile lorsque vous tenterez d’accéder à votre espace d’administration WordPress.

En saisissant ce code sur votre écran de connexion WordPress, vous pouvez confirmer votre identité. 2FA est une bonne technique pour sécuriser votre compte, en supposant que le pirate n’a pas accès à votre smartphone ou tablette personnel.

 

 

 

6. Utiliser un pare-feu d’application de site Web (PAW)

Un PAW garde un œil sur le trafic vers votre site Web et empêche toute demande suspecte de passer. L’un peut être configuré en utilisant un plugin comme Wordfence.

Il est conseillé de laisser le pare-feu d’application Web Wordfence en mode d’apprentissage pendant au moins une semaine après l’installation initiale. Ce faisant, Wordfence peut garder un œil sur votre site Web et déterminer comment le défendre tout en laissant passer les utilisateurs authentiques.

En allant dans WordPress > Pare-feu > Cliquez ici pour personnaliser, vous pouvez également améliorer le pare-feu. Wordfence choisira une configuration de serveur suggérée pour votre site Web dans le cadre du processus d’optimisation. Si nécessaire, vous pouvez choisir manuellement la configuration de votre serveur.

7. Limitez l’accès à la connexion à certaines adresses IP uniquement.

En apportant des modifications au fichier.htaccess de votre site, vous pouvez limiter les connexions à des adresses IP particulières si un petit nombre de personnes seulement ont besoin d’accéder à votre espace d’administration WordPress. Vous pouvez interdire aux utilisateurs de toutes les adresses IP inconnues avec cela.

Il est conseillé de faire une sauvegarde complète avant d’apporter des modifications à votre fichier.htaccess. Vous pouvez y accéder via le protocole de transfert de fichiers (FTP) ou le gestionnaire de fichiers fourni par votre hébergeur :

cPanel's file manager.

Dès que vous avez localisé.htaccess et que vous l’avez modifié, vous pouvez ajouter le code suivant :

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist IP address
allow from xx.xx.xx.xxx
</LIMIT>

Assurez-vous de remplacer votre adresse IP personnelle par xx.xx.xx.xxx et enregistrez vos modifications. Désormais, seules les adresses IP précises indiquées ci-dessus pourront accéder à votre espace d’administration WordPress.

Conclusion

Vous pouvez prendre certaines précautions pour défendre votre site Web contre des tiers malveillants qui tentent d’entrer dans votre zone d’administration WordPress. Cela peut vous aider à prévenir les atteintes à la réputation, les répercussions juridiques et les nettoyages de sites coûteux.

Nous vous conseillons d’utiliser unPAW, de remplacer l’URL wp-login par défaut par une URL personnalisée et, si vous le pouvez, de restreindre l’accès à la connexion à certaines adresses IP uniquement afin de rendre le plus difficile possible l’accès des pirates à votre page de connexion. .

Avez-vous des inquiétudes concernant la sécurité de votre espace d’administration WordPress ? Veuillez fournir nous contacter ou laisser un commentaires dans la case ci-dessous.

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.