Votre back office WordPress est la plaque tournante de votre site Web. Il vous suffit de vous connecter à votre compte pour accéder à vos données clients, vous connecter avec vos visiteurs, installer de nouveaux plugins, modifier le code de votre site, et bien plus encore.
Si vous ne prenez pas de mesures pour protéger votre tableau de bord, un pirate informatique peut aussi le faire.
Si un tiers malveillant parvient à obtenir un accès non autorisé à votre tableau de bord d’administration, les résultats pourraient être dévastateurs. Heureusement, il existe plusieurs façons de sécuriser cette zone contre les pirates et de minimiser les menaces à son encontre.
Dans cet article, nous allons partager sept techniques pour protéger votre zone d’administration WordPress contre les attaques malveillantes. En suivant nos conseils, vous pouvez rendre plus difficile l’accès des pirates à votre compte – même s’ils ont votre nom d’utilisateur et votre mot de passe. C’est parti !
Pourquoi il est important de protéger votre zone d'administration WordPress ?
Si un tiers malveillant parvient à pirater votre compte WordPress, il aura accès à toutes vos données. Cela inclut les informations privées de toutes les personnes qui se sont inscrites sur votre site Web. Si vous acceptez des paiements, il peut même s’agir d’informations financières telles que les détails de votre carte de crédit.
Ce type de violation des données peut causer des dommages irréparables à votre réputation. En fonction de la législation locale, vous pourriez même vous retrouver dans une situation juridique délicate, car votre site web a l’obligation de protéger les données confidentielles de ses clients.
Même si vous parvenez à éviter de perdre tous vos clients et de subir des répercussions juridiques, le coût du nettoyage après une cyberattaque est immense. Il est préférable d’éviter d’avoir à emprunter cette voie.
Il existe de nombreuses attaques qui visent spécifiquement la zone d’administration de WordPress, notamment les attaques par force brute. Celles-ci impliquent qu’un pirate bombarde votre page de connexion avec des combinaisons courantes de mot de passe et de nom d’utilisateur dans l’espoir de trouver une correspondance.
WordPress est particulièrement vulnérable aux attaques par force brute, car par défaut, le nom d’utilisateur et l’URL de connexion de l’administrateur WordPress sont les mêmes pour chaque installation. Si vous utilisez ces paramètres par défaut, il suffit à un attaquant de deviner votre mot de passe.
En apportant quelques modifications à votre écran de connexion WordPress, vous pouvez contribuer à protéger votre compte contre un large éventail d’attaques.
Cette fonctionnalité permet d’intégrer plus rapidement et plus facilement votre politique de confidentialité à votre site Web, de manière native et cohérente avec votre marque.
Le texte de départ vous aide à commencer à réfléchir aux types de données que vous traitez et à certaines des divulgations que vous devez faire.
La page de confidentialité désignée est automatiquement ajoutée à toutes vos pages de connexion et d’enregistrement sous forme de lien.
7 façons de protéger votre zone d'administration WordPress
Si un pirate s’introduit dans votre tableau de bord, il peut potentiellement voler les données confidentielles de vos clients, installer des logiciels malveillants, verrouiller votre propre compte ou même supprimer entièrement votre site Web. Pour aider à protéger vos visiteurs, vos données et votre contenu, il est essentiel que vous preniez des mesures pour protéger votre zone d’administration WordPress.
N'utilisez jamais le nom d'utilisateur admin par défaut
Par défaut, le premier compte utilisateur de toute nouvelle installation WordPress se voit attribuer le nom d’utilisateur admin. Si vous conservez ce nom, les pirates connaissent déjà votre nom d’utilisateur et n’ont qu’à acquérir ou deviner votre mot de passe pour s’introduire sur votre site.
Si vous utilisez actuellement admin comme nom d’utilisateur, il est fortement recommandé de le changer. Pour ce faire, sélectionnez Utilisateurs > Tous les utilisateurs dans la barre latérale de votre tableau de bord, puis ouvrez votre profil pour le modifier :
Pendant que vous êtes ici, vous devez également vous assurer que vous utilisez un mot de passe sécurisé qui comporte une combinaison de lettres majuscules et minuscules, de chiffres et de symboles.
Vous pouvez également créer un mot de passe totalement aléatoire à l’aide du générateur intégré de WordPress ou d’un outil tiers tel que LastPass. Si vous craignez de l’oublier, envisagez de stocker vos informations d’identification à l’aide d’un gestionnaire de mots de passe.
Protégez votre dossier wp-admin par un mot de passe
Toute tierce partie peut demander votre dossier wp-admin et votre page de connexion sans passer par une quelconque authentification. Le dossier wp-admin contient des fichiers administratifs importants, vous devez donc le protéger par un nom d’utilisateur et un mot de passe.
Vous devriez être en mesure d’ajouter cette couche supplémentaire de sécurité via votre panneau de contrôle d’hébergement. Dans cPanel, ouvrez le dossier Directory Privacy :
Ensuite, naviguez vers public_html / wp-admin. Ici, cochez la case Protéger ce répertoire par un mot de passe :
Le dossier Directory Privacy, tel que vu dans cPanel.
Lorsque vous y êtes invité, créez des informations d’identification pour votre dossier wp-admin et cliquez sur Enregistrer. Maintenant, chaque fois que quelqu’un essaiera d’accéder au répertoire wp-admin, WordPress demandera ce nom d’utilisateur et ce mot de passe.
Créez une URL de connexion personnalisée
Vous pouvez accéder à l’écran de connexion de n’importe quel site WordPress en ajoutant /wp-login.php à l’URL de ce site. Par exemple, si votre domaine est www.example.com, alors votre page de connexion se trouve à www.example.com/wp-login.php.
Si vous utilisez la version par défaut de WordPress, la page de connexion de votre site est connue de tous. Pire encore, si vous utilisez l’URL standard /wp-login.php et le nom d’utilisateur par défaut de l’administrateur, un pirate dispose déjà de deux des trois informations requises pour accéder à votre zone d’administration.
Vous pouvez créer une URL de connexion personnalisée en utilisant un plugin tel que WPS Hide Login. Une fois qu’il est installé, sélectionnez Settings > WPS Hide Login dans le menu de votre tableau de bord. Vous pouvez ensuite saisir une nouvelle URL dans le champ URL de connexion.
Sauvegardez vos modifications et votre zone d’administration WordPress sera désormais accessible uniquement via cette nouvelle URL. Même si un pirate possède votre nom d’utilisateur et votre mot de passe, il ne pourra pas atteindre votre écran de connexion.
Limitez les tentatives de connexion
WordPress n’empêche pas les utilisateurs de tenter de se connecter, même s’ils saisissent plusieurs fois un mot de passe incorrect. Cela rend votre site Web vulnérable aux attaques par force brute. Les pirates pourraient potentiellement utiliser un script automatisé pour bombarder votre compte de centaines, voire de milliers, de mots de passe potentiels.
Vous pouvez limiter les tentatives de connexion à l’aide du plugin Wordfence Security. Une fois que vous l’avez installé, accédez à Wordfence > Toutes les options. Sous Options du pare-feu, sélectionnez Protection contre la force brute :
Ensuite, assurez-vous d’activer le paramètre Activer la protection contre la force brute. Vous pouvez ensuite spécifier le nombre de tentatives de connexion échouées que WordPress doit autoriser avant de bloquer l’adresse IP incriminée.
Configurer l'authentification à deux facteurs (2FA)
2FA est un système de sécurité où les utilisateurs doivent passer un contrôle supplémentaire avant d’accéder à votre zone d’administration WordPress. Vous pouvez l’ajouter à votre compte WordPress en utilisant un plugin de sécurité tel que Wordfence.
Dans le cadre de la fonctionnalité 2FA de Wordfence, vous installerez une application d’authentification sur votre smartphone ou votre tablette. Lorsque vous essayez de vous connecter à votre zone d’administration WordPress, un code de sécurité sera envoyé à votre appareil mobile.
Vous pourrez vérifier votre identité en saisissant ce code sur votre écran de connexion WordPress. En supposant que le pirate n’ait pas accès à votre smartphone ou tablette personnelle, le 2FA est un moyen efficace de sécuriser votre compte.
Utilisez un pare-feu d'application de site Web (WAF)
Un WAF surveille le trafic de votre site Web et empêche les requêtes suspectes d’atteindre votre site. Vous pouvez en installer un à l’aide d’un plugin tel que Wordfence.
Lorsque vous installez le pare-feu d’application Web Wordfence pour la première fois, il est recommandé de le laisser en mode apprentissage pendant au moins une semaine. Cela permet à Wordfence de surveiller votre site Web et d’apprendre comment le protéger au mieux, tout en laissant passer les visiteurs légitimes.
Vous pouvez également optimiser le pare-feu en naviguant vers WordPress > Pare-feu > Cliquez ici pour configurer. Dans le cadre du processus d’optimisation, Wordfence sélectionnera une configuration de serveur recommandée pour votre site Web. Cependant, vous pouvez sélectionner manuellement votre configuration de serveur si nécessaire.
Restreindre l'accès à la connexion à des adresses IP spécifiques
Si seuls quelques utilisateurs ont besoin d’accéder à la zone d’administration de votre site WordPress, vous pouvez limiter les connexions à des adresses IP spécifiques en modifiant le fichier .htaccess de votre site. Cela vous permet de bloquer les utilisateurs de toutes les adresses IP inconnues.
Il est recommandé de créer une sauvegarde complète avant de modifier votre fichier .htaccess. Vous pouvez y accéder via le protocole de transfert de fichiers (FTP) ou en utilisant le gestionnaire de fichiers de votre hébergeur.
Une fois que vous avez trouvé le fichier .htaccess et que vous l’avez ouvert pour le modifier, vous pouvez ajouter le code suivant :
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName « Contrôle d’accès à l’administration de WordPress ».
AuthType Basic
<LIMIT GET>
ordre deny,allow
deny from all
# adresse IP sur la liste blanche
allow from xx.xx.xx.xxx
</LIMIT>
Assurez-vous de remplacer xx.xx.xx.xxx par votre propre adresse IP et enregistrez vos modifications. Maintenant, les utilisateurs ne pourront accéder à votre zone d’administration WordPress qu’à partir des adresses IP spécifiques listées ici.
Conclusion
Des tiers malveillants veulent accéder à votre zone d’administration WordPress, mais il existe des mesures que vous pouvez prendre pour protéger votre site Web contre ces attaques. Cela peut vous aider à éviter de nuire à votre réputation, de faire face à des conséquences juridiques et de payer des nettoyages de site coûteux.
Pour assurer la sécurité de votre site Web, de vos données et de vos visiteurs, nous vous recommandons de rendre l’accès à votre page de connexion aussi difficile que possible pour les pirates, en remplaçant l’URL standard wp-login par un lien personnalisé, en utilisant un WAF et en limitant l’accès à la connexion à des adresses IP spécifiques si vous le pouvez.
Vous avez des questions sur la façon de protéger votre zone d’administration WordPress ?
