12 meilleurs conseils et techniques pour sécuriser la zone d'administration de WordPress

Publié: 2023-05-01

Dans ce blog, nous aborderons les meilleures techniques pour sécuriser efficacement la zone d'administration de vos sites WordPress.

Les gens pensent souvent que leur site Web est trop petit pour que les pirates s'y intéressent. Mais ce serait une grave erreur. Tout site Web peut être vulnérable aux cybermenaces comme le spam, les logiciels malveillants, les attaques brutes, les injections SQL, etc. De plus, les pirates peuvent même utiliser votre site Web pour diffuser des logiciels malveillants sur d'autres sites Web.

Évidemment, vous ne voudriez pas vous réveiller un jour et découvrir que votre site Web est piraté et que toutes vos données sensibles sont divulguées. Il serait donc préférable de renforcer la zone d'administration de votre site Web WordPress avec des outils fiables.

Table des matières afficher
  • Meilleurs conseils et techniques pour sécuriser la zone d'administration de vos sites Web WordPress
    • 1. Mise à jour de la version WordPress
    • 2. Plugins de sécurité
    • 3. Modifiez le nom d'utilisateur et le mot de passe de l'administrateur
    • 4. Créez une URL de connexion personnalisée
    • 5. Limitez les tentatives de connexion
    • 6. Sécurisez la page de connexion et la zone d'administration avec un certificat SSL
    • 7. Sécurisez le répertoire wp-admin avec un mot de passe
    • 8. Inclure un captcha sur la page de connexion
    • 9. Supprimer le message d'erreur de la page de connexion
    • 10. Autoriser des adresses IP spécifiques à se connecter
    • 11. Ajoutez une couche supplémentaire grâce à l'authentification à deux facteurs
    • 12. Mot de passe à usage unique (OTP)
  • Enfin!

Meilleurs conseils et techniques pour sécuriser la zone d'administration de vos sites Web WordPress

WordPress-work-laptop-desk-office

Ces conseils de sécurité sont très importants pour protéger les sites Web contre les vulnérabilités telles que :

  • Attaque par déni de service distribué (DDoS) : DDoS immobilise votre site Web en le submergeant de connexions redondantes, ce qui le fait planter.
  • Injection SQL (SQLi) : Il exécute de force des requêtes SQL malveillantes sur le système pour manipuler les données.
  • Inclusion de fichiers locaux (LFI) : LFI force le site à traiter les fichiers malveillants placés sur le serveur Web.
  • Contrefaçon de requête intersite (CSRF) : elle peut forcer les utilisateurs Web à exécuter des actions indésirables dans une application Web fiable.
  • Contournement d'authentification : cette menace de sécurité permet aux pirates d'accéder aux ressources sensibles de votre site Web sans vérification d'authenticité.
  • Cross-site scripting (XSS) : XSS injecte du code malveillant pour transporter des logiciels malveillants via votre site Web.

Pour vous assurer que votre site Web n'est pas vulnérable à ces menaces de sécurité, assurez-vous de mettre en œuvre les conseils et techniques mentionnés ci-dessous :

Recommandé pour vous : 10 raisons pour lesquelles votre site Web WordPress a besoin de maintenance.

1. Mise à jour de la version WordPress

synchronisation synchronisation mise à jour synchronisée

Un moyen simple de renforcer la sécurité de votre site Web consiste à mettre à jour WordPress et tous les plugins de sécurité installés vers leurs dernières versions. WordPress est open source, donc les contributeurs travaillent sans relâche pour améliorer les fonctionnalités et la sécurité à chaque nouvelle version. C'est pourquoi vous devez mettre à jour le CMS vers sa dernière version pour améliorer la sécurité du site Web.

2. Plugins de sécurité

secure-WordPress-admin-security-plugins

L'une des meilleures choses à propos de WordPress est que vous pouvez trouver un plugin pour presque toutes les fonctionnalités et fonctionnalités possibles du site Web. Cependant, tous les plugins de sécurité ne seraient pas adaptés pour protéger la page de connexion. Ainsi, la meilleure façon de renforcer la sécurité de la zone d'administration de votre site Web serait d'utiliser des plugins WordPress comme Sucuri, MalCare, Wordfence, etc.

Ces plugins aident à bloquer le trafic malveillant sans une once d'impact sur les performances du site Web.

3. Modifiez le nom d'utilisateur et le mot de passe de l'administrateur

WordPress-Dashboard-Admin-Area-Add-New-User

L'un des premiers moyens de sécuriser le site Web consiste à modifier le nom d'utilisateur et le mot de passe par défaut. Pour chaque installation de WordPress, le premier nom d'utilisateur de connexion par défaut est Admin. Ce type de nom d'utilisateur n'est qu'un appât pour les pirates ; ils n'auraient qu'à prédire le mot de passe après cela.

Donc, vous devriez changer le nom d'utilisateur et le mot de passe pour quelque chose de plus personnalisé. Tout d'abord, ouvrez le tableau de bord WordPress. Sélectionnez Utilisateurs et cliquez sur "Tous les utilisateurs".

Même changer le nom d'utilisateur de "admin" à "mynameisadmin" peut aider à protéger votre site Web contre les pirates. En ce qui concerne les mots de passe, il y a un petit écran qui montre à quel point il est fort. Essayez donc différents mots de passe avec des combinaisons de lettres majuscules et minuscules, de symboles et de chiffres jusqu'à ce que vous en soyez satisfait. Assurez-vous toujours que le mot de passe est aussi fort que possible pour protéger le site Web contre les pirates. Les experts suggèrent même d'utiliser des symboles et des chiffres au lieu de lettres dans les mots de passe pour les rendre plus obscurs. Par exemple, si vous voulez que votre mot de passe soit "Californie", choisissez quelque chose comme "[email protected][email protected]" à la place. Cela rendra plus difficile à deviner.

Souvent, lorsque les gens essaient de se connecter à un endroit où ils ne devraient pas, ils se concentrent uniquement sur le mot de passe et gardent le même nom d'utilisateur à travers les différentes tentatives. Donc, changer à la fois le nom d'utilisateur et le mot de passe serait une excellente idée.

4. Créez une URL de connexion personnalisée

sécurité-du-site-web-securite-https-ssl-secure-socket-layer

Vous pouvez accéder à la page de connexion de n'importe quel site WordPress en écrivant /wp-login.php après son URL. Par exemple, si l'URL de votre site Web WordPress est www.mywebsitename.com, vous pouvez accéder à sa page de connexion via www.mywebsitename.com/wp-login.php.

Un tel accès facile à la page de connexion rend votre site Web plus vulnérable aux cybermenaces. Alors, changez le slug d'URL de connexion en quelque chose de plus personnalisé via des plugins comme WPS Hide Login. Ce plugin change l'URL de la page du formulaire de connexion en ce que vous voulez et rend le répertoire wp-admin et la page wp-login.php inaccessibles. Il serait donc préférable de mettre ces pages en signet car vous risquez de les perdre.

Après avoir installé WPS Hide Login, accédez à Paramètres et sélectionnez WPS Hide Login sur votre tableau de bord WordPress. Saisissez ensuite une nouvelle URL dans le champ URL de connexion et enregistrez les modifications. Après cela, les pages d'administration de votre site Web ne seront accessibles que via ces pages.

Alors maintenant, même si quelqu'un a votre nom d'utilisateur et votre mot de passe à votre insu, il ne pourra toujours pas accéder à votre page de connexion, ce qui est un énorme soulagement. C'est pourquoi les URL de connexion personnalisées sont toujours incluses dans le développement WordPress personnalisé.

5. Limitez les tentatives de connexion

Secure-WordPress-Dashboard-Admin-Area-WordFence-Brute-Force-Protection

Saviez-vous que même si les pirates ne connaissent pas le mot de passe de votre site Web, ils peuvent toujours pirater votre site Web ? Grâce à des scripts automatisés, ils peuvent essayer des milliers de mots de passe potentiels en un rien de temps pour trouver le bon et éventuellement réussir. Pour éviter que cela ne se produise, vous pouvez limiter les tentatives de connexion sur votre site Web.

À cette fin, WordPress a certains plugins comme Wordfence Security et Login Lockdown dans la bibliothèque officielle qui pourraient être utiles. Après avoir installé l'un de ces plugins, vous pouvez définir les paramètres du nombre de tentatives de connexion autorisées et de la durée pendant laquelle la personne sera verrouillée après avoir franchi la limite de connexion.

Par exemple, vous pouvez définir une limite sur le nombre de tentatives à 3 et la durée de verrouillage à 24 heures. Ainsi, si quelqu'un a plus de 3 tentatives infructueuses, son adresse IP sera verrouillée pendant les prochaines 24 heures, après quoi il pourra réessayer.

6. Sécurisez la page de connexion et la zone d'administration avec un certificat SSL

Certificat HTTP vers HTTPS-SSL

Parfois, vous devrez peut-être vous connecter à votre site Web sur un réseau public, le laissant vulnérable aux pirates dans une situation d'attaque arbitraire. Sur un réseau public, les pirates peuvent accéder à vos requêtes HTTP et voir vos identifiants de connexion en clair.

Pour empêcher ces attaques arbitraires, vous pouvez utiliser une connexion SSL, grâce à laquelle vous pouvez accéder à votre site Web via HTTPS. Généralement, vous pouvez obtenir un certificat de connexion SSL auprès du fournisseur d'hébergement. Mais sinon, vous devrez en acheter un et le configurer sur le serveur de votre site Web.

Si vous avez déjà un certificat SSL sur votre site web pour fonctionner en HTTPS, ouvrez votre fichier wp-config.php et éditez-le comme tel :

 // Use SSL (HTTPS) for the login page. define ('FORCE_SSL_LOGIN', true); // Use SSL (HTTPS) for the whole admin area. define ('FORCE_SSL_ADMIN', true);

Avec FORCE_SSL_LOGIN, votre page de connexion ne s'ouvrira que sur HTTPS et la connexion sécurisée sera maintenue dans toute la zone d'administration de votre site Web. C'est pourquoi, lorsque vous embauchez des développeurs WordPress, l'une des premières configurations de sécurité dont ils s'occupent consiste à utiliser un certificat SSL pour la page de connexion et la zone d'administration.

Vous aimerez peut-être : Vous voulez créer un site Web WordPress ? Suivez ces 13 étapes faciles.

7. Sécurisez le répertoire wp-admin avec un mot de passe

e-mail-conseils-de-securite-creer-un-mot-de-passe-unique

La protection par mot de passe du répertoire "wp-admin" revient à ajouter une deuxième couche de sécurité sur votre site Web et sa zone d'administration WordPress. L'une des meilleures façons de l'aborder serait de passer par les paramètres "Directory Privacy" de votre hébergement. Si vous utilisez un hôte Web cPanel pour protéger par mot de passe votre répertoire wp-admin, vous pouvez également utiliser la protection par mot de passe cPanel sur un répertoire.

8. Inclure un captcha sur la page de connexion

page de connexion wordpress

Les captchas dans la zone d'administration peuvent aider à prévenir les cyberattaques par force brute pilotées par des scripts automatisés. Vous pouvez ajouter un captcha à votre page de connexion via des plugins WordPress comme Google reCAPTCHA, reCaptcha de BestWebSoft, WPForms, etc.

Cette technique est assez efficace pour arrêter les tentatives de piratage grâce à des scripts automatisés.

9. Supprimer le message d'erreur de la page de connexion

WordPress-Admin-Area-Login-Page

Y compris un captcha, il y a trois choses que les pirates voudraient obtenir pour se connecter à votre site Web. Habituellement, lorsqu'ils tentent de se connecter et échouent, un message d'erreur apparaît indiquant qu'une ou plusieurs informations d'identification sont incorrectes.

Donc, supposons que les pirates saisissent le nom d'utilisateur, le mot de passe et le captcha, et que l'une des informations d'identification est erronée ; ils verront un message d'erreur "Nom d'utilisateur incorrect" ou "Mot de passe incorrect". Dans ce cas, ils sauront que l'une des informations d'identification est correcte et qu'ils n'auront qu'à travailler sur l'autre.

Mais si vous supprimez le message d'erreur, ils ne sauront pas s'ils ont mal inséré l'un ou l'autre ou les deux. Ensuite, ils recommenceront à travailler sur les deux. Maintenant, si vous avez limité le nombre de tentatives de connexion en plus de cette stratégie, cela vous fera gagner plus de temps contre les pirates.

Alors, supprimez le message d'erreur de la page de connexion.

10. Autoriser des adresses IP spécifiques à se connecter

403-Interdit-HTTP-Code d'erreur

Vous pouvez limiter l'accès à des adresses IP statiques spécifiques pour sécuriser le site Web. Si vous connaissez votre propre adresse IP, donnez-lui accès via le fichier .htaccess du dossier wp-admin.

Ouvrez simplement le dossier wp-admin, modifiez un fichier nommé .htaccess et ajoutez ce code :

 order deny, allow # Replace 99.99.99.99 with the desired IP address allow from 99.99.99.99 # Allow more IP addresses to access the wp-admin area by uncommenting the line below and editing the IP address # allow from 98.98.98.98 deny from all

Tout ce que vous avez à faire est de remplacer 99.99.99.99 par votre adresse IP ou celle à laquelle vous souhaitez donner accès.

Alors maintenant, si quelqu'un sans accès essaie de se connecter, il verra ce message.

11. Ajoutez une couche supplémentaire grâce à l'authentification à deux facteurs

accès-alarme-accueil-authentification-verrou-sécurité-protection-mot de passe-sécurisé-WordPress-admin-2fa

Une autre façon de renforcer la sécurité de votre site Web consiste à utiliser un plugin WordPress pour ajouter une autre couche avec une authentification à deux facteurs. Tout ce que vous avez à faire est d'installer et de configurer un plugin comme WP 2FA, et votre site Web sera à l'abri des cybermenaces comme les scripts automatisés et les attaques par force brute.

12. Mot de passe à usage unique (OTP)

secure-WordPress-admin-OTP-safety-security-internet-password-lock

Comme son nom l'indique, les mots de passe à usage unique vous permettent de vous connecter au site Web via un mot de passe valable une seule fois. Vous recevez ces mots de passe dans votre courrier ou votre numéro de mobile. Étant donné que les OTP sont envoyés par courrier et numéro de téléphone portable et ne sont valables que pour une seule session, vous n'aurez pas à vous soucier du vol de votre mot de passe principal lors de la connexion à partir d'endroits comme les cybercafés. Inutile de dire que certains plugins WordPress peuvent aider à ajouter une fonction OTP à votre page de connexion.

Ces techniques aideront à sécuriser la zone d'administration de votre site Web WordPress contre les cybermenaces telles que les attaques par force brute, le spam, les mauvais robots, les injections SQL et, surtout, les scripts automatisés (pour générer des mots de passe).

Vous pourriez également aimer : Qu'est-ce qu'un schéma ? Comment ajouter un balisage de schéma à votre site Web WordPress ?

Enfin!

réalisation-business-marketing-succès-thumbs-up-win-conclusion

Lorsque vous concevez un nouveau site Web WordPress, l'idée qu'il soit piraté est loin d'être lointaine. Mais c'est encore une possibilité. Vous devez donc faire de la sécurité une partie distincte du développement WordPress personnalisé pour protéger et sécuriser la zone d'administration afin que les pirates ne puissent pas accéder aux informations sensibles de votre site Web.

C'est pourquoi nous avons répertorié ces conseils et techniques tels que les mises à jour WordPress, les plugins de sécurité, l'OTP, les mots de passe cryptés, l'authentification à deux facteurs, les captchas, etc., pour garantir que votre site Web est à l'abri des pirates. Assurez-vous de discuter de ces techniques lorsque vous engagez des développeurs WordPress pour créer un nouveau site Web ou mettre à jour l'ancien.

Auteur : Palak Shah

Cet article est écrit par Palak Shah. Palak est une rédactrice de contenu de qualité pour WPWeb Infotech et elle adore écrire sur WordPress, la technologie et les petites entreprises. Elle est un joueur d'équipe incroyable et travaille en étroite collaboration avec l'équipe pour obtenir d'excellents résultats. Elle regarde Netflix et lit de la non-fiction, de l'auto-assistance et des autobiographies de grandes personnalités.