Comment sécuriser l’accès à la zone d’administration WordPress ?

    • Temps de lecture :8 min de lecture
    • Commentaires de la publication :0 commentaire

    WordPress alimente un site sur deux et s’impose comme le roi des créateurs de sites. Mais une couronne aussi brillante attire l’attention, faisant de cette plateforme une cible de choix pour les hackers. Dans cet article, nous aborderons la façon de protéger la zone d’administration de votre site web WordPress.

    Personnaliser votre URL de connexion sous WordPress

    Par défaut, WordPress utilise une URL de connexion standard : votresite.com/wp-admin. Sachant cela, les attaquants peuvent facilement accéder à cette page et lancer des attaques par force brute (où les intrus utilisent une liste prédéfinie de mots de passe) pour tenter de deviner vos identifiants de connexion.

    Comment personnaliser votre URL de connexion avec WPS Hide Login ?

    WPS Hide Login est un plugin WordPress très simple d’utilisation qui permet de changer l’URL de connexion. Voici comment l’utiliser :

    1. Installez et activez le plugin « WPS Hide Login » depuis le répertoire des plugins de WordPress
    2. Une fois activé, allez dans les paramètres du plugin sous Réglages > WPS Hide Login
    3. Vous verrez un champ où vous pouvez définir votre URL de connexion personnalisée. Entrez une URL de connexion sécurisé difficile à trouver
    wps hide login securiser accès zone administration wordpress cms site web plugin

    Désormais, votre URL de connexion votresite.com/wp-admin ne fonctionnera plus et vous devrez utiliser la nouvelle URL configuré pour accéder à la page de connexion de votre site WordPress.

    wordfence 2FA totp Google ReCaptcha bot defense woocommerce

    Wordfence : L’outil freemium pour votre sécurité sur WordPress

    Wordfence s’est imposé comme une solution de sécurité incontournable pour les sites WordPress destinées à protéger contre une multitude de menaces en ligne. Si vous recherchez une solution tout-en-un pour la sécurité de votre site Wordfence devrait être en tête de votre liste. Voici pourquoi :

    1. Surveillance en temps réel : Wordfence surveille en temps réel les menaces pesant sur votre site, alertant instantanément les administrateurs lors de tentatives d’intrusion ou d’activités suspectes.
    2. Analyse des fichiers : Wordfence sonde périodiquement les fichiers de votre site à la recherche de logiciels malveillants ou d’autres comportements indésirables.
    3. Blocage d’IP : En utilisant une base de données constamment mise à jour d’IP malveillantes, Wordfence peut proactivement bloquer les acteurs nuisibles avant qu’ils ne puissent nuire à votre site web.
    4. Authentification à deux facteurs : Wordfence permet la mise en place de l’authentification à deux facteurs (2FA).
    5. Google reCAPTCHA : Pour une défense supplémentaire contre les bots et le spam, Wordfence s’intègre parfaitement avec Google reCAPTCHA pour protéger les formulaires et votre contenu.

    Des mots de passe solides pour mieux vous protéger

    • Utilisez des caractères variés : Un mot de passe complexe doit comporter une combinaison de lettres majuscules, lettres minuscules, chiffres et symboles.

    Par exemple, au lieu de choisir « maisonbleue », optez pour « M@1$0nB!eu3 ». Cette variété rend le mot de passe beaucoup plus difficile à forcer.

    • Évitez les informations personnelles et les mots communs : Les dates de naissance, noms de famille, ou mots couramment utilisés (comme « password » ou « admin ») sont facilement devinables. Évitez également les séquences simples comme « 123456 » ou « abcdef ».

    Il est préférable d’utiliser des phrases ou des combinaisons de mots inattendues, tout en les agrémentant de chiffres et de symboles.

    • Mise à jour régulière de vos mots de passe : Même un mot de passe complexe peut devenir vulnérable avec le temps. Il est recommandé de changer vos mots de passe tous les 3 à 6 mois.

    Faites les mises à jour des plugins et du thème

    Les développeurs publient fréquemment des mises à jour contenant des correctifs de sécurité pour remédier aux vulnérabilités découvertes. Ignorer ces mises à jour expose votre site à des risques inutiles. Faites régulièrement les mises à jour du thème et des plugins.

    Limiter les tentatives de connexion (brute force)

    Configurer une limite pour les tentatives de connexion infructueuses peut dissuader les attaquants utilisant des attaques par force brute. Ces attaques tentent de deviner les mots de passe en essayant de multiples combinaisons. En limitant les tentatives, vous pouvez considérablement ralentir ces attaques et renforcer la sécurité de votre site web.

    Rediriger tout le trafic vers HTTPS

    Le protocole HTTPS crypte les données entre le navigateur de l’utilisateur et le serveur empêchant ainsi les attaquants d’intercepter les informations. Pour mettre en place un certificat SSL, vous pouvez obtenir un certificat gratuitement lors de la location d’un hébergement web. Le passage au HTTPS améliore la sécurité et renforce la confiance des visiteurs.

    Précharger le domaine avec HSTS

    Vous avez mis en place HTTPS sur votre site WordPress ? C’est un excellent début ! Mais pour renforcer davantage la sécurité, pensez à précharger votre domaine avec HSTS. Cela garantira que vos visiteurs ne sont connectés qu’à travers des connexions sûres et chiffrées. Suivez notre guide pour mettre en place Strict Transport Security.

    Laisser un commentaire