5 étapes pour avoir une page de connexion WordPress sécurisée

Damien Tremblay
11 novembre 2020

La protection de votre page de connexion ne peut pas être réalisée par une technique particulière, mais il y existe des mesures que vous pouvez prendre pour vous protéger au maximum des attaques.

La page de connexion d’un site sous Wordpress est certainement la plus vulnérable, vous devriez donc commencer par la sécuriser en priorité.

1. Utilisez un mot de passe fort et un nom d’utilisateur original

Les attaques de force brute sur les pages de connexion sont l’une des formes courantes d’attaques Web auxquelles votre site Web est susceptible d’être confronté. Si vous avez un mot de passe ou un nom d’utilisateur facile à deviner, votre site Web ne sera pas seulement une cible, mais probablement une victime.

Splash Data a compilé une liste des mots de passe fréquemment utilisés pour 2018.

Mot de passe par rang en termes d’utilisation :

123 456
mot de passe
12 345
12 345 678
qwerty

Si vous utilisez l’un de ces mots de passe et que votre site Web reçoit du trafic, il est presque certain que vous rencontrez des problèmes tôt ou tard.

Utilisez des mots de passe forts et des noms d’utilisateur inhabituels. Auparavant avec WordPress, vous deviez commencer avec un nom d’utilisateur admin par défaut, mais ce n’est plus le cas. Néanmoins, la plupart des nouveaux administrateurs Web utilisent le nom d’utilisateur par défaut et devraient le changer.

Avec les plug-ins de sécurité, vous pouvez facilement imposer des mots de passe forts à tous vos utilisateurs. Vous ne voulez pas, par exemple, que l’un de vos employés ou rédacteur avec un accès de niveau éditeur utilise un mot de passe faible. Cela compromettrait grandement votre sécurité.

La fonction Password Health de Dashlane calcule le niveau de sécurité de tous vos mots de passe et permet de les changer facilement !

Utilisez un outil de génération de mot de passe aléatoire gratuit disponible en ligne comme Secure Password Generator, LastPass ou Norton’s Password Generator. Si vous avez des difficultés à vous souvenir de vos mots de passe, vous pouvez utiliser KeePass Password Safe ou le gestionnaire de mots de passe de Dashlane.

2. Masquer la page de connexion et la page Wp-Admin

Un hacker doit trouver votre page de connexion, s’il ou elle a l’intention de la forcer pour y accéder. Vous pouvez empêcher cela en utilisant ce que certains appellent la sécurité par l’obscurité. L’idée est de cacher votre portail de connexion, ce qui compliquera le travail du hacker qui devra d’abord identifier le point d’entrée potentiel. Votre site Web serait l’équivalent d’une banque sans porte ou tout autre point accès public.

La plupart des sites Web WordPress ont le point d’entrée de connexion suivant : votresite.com/login.php ou votresite.com/wp-admin.

Vous pouvez changer le point d’accès de votre site Web en changeant l’URL de la page de connexion. C’est assez facile à faire avec l’un ou l’autre des plug-ins suivants : WPS Hide Login, Perfmatters et Protect Your Admin. Le plugin de sécurité complet iThemes Security offre aussi cette fonctionnalité.

3. SSL

SSL ou Secure Socket Layer est une couche de sécurité supplémentaire qui rend illisible toute information que vous envoyez et recevez entre votre navigateur et le serveur. Si quelqu’un interceptait l’information, il ne pourrait pas la lire.

SSL est toujours utilisé pour les portails de transactions financières et chaque fois que des informations sensibles sont partagées. Les sites Web stockent une grande quantité d’informations sur les utilisateurs et SSL aide à protéger ces informations.

De même, SSL fonctionne sur les pages de connexion en rendant le processus de communication entre le navigateur et le serveur beaucoup plus sûr.

Vous aurez besoin d’un certificat SSL qui peut être acheté auprès de votre hébergeur. Vous pouvez aussi l’obtenir gratuitement avec les plans d’hébergement mutualisé les plus basiques. WP Force SSL et Really Simple SSL vous aident à configurer SSL sur votre site Web, une fois que vous avez acheté le certificat.

4. Limitation du nombre de tentatives de connexion

C’est une technique incroyablement simple pour arrêter les attaques par force brute sur votre page de connexion. Une attaque de force brute fonctionne en essayant de trouver le bon nom d’utilisateur et le bon mot de passe en essayant de multiples combinaisons de manière répétée.

Si l’IP particulier qui perpétue l’attaque est suivi, vous pouvez bloquer les tentatives répétées de forçage brutal et garder votre site sécurisé. C’est aussi la raison pour laquelle les attaques DDoS globales se produisent avec de multiples adresses IP de différents points d’origine, pour déstabiliser les services d’hébergement et la sécurité des sites Web.

Login Security Solution et Login LockDown offrent tous deux d’excellentes solutions pour protéger les pages de connexion de votre site Web. Ils suivent les adresses IP et limitent le nombre de tentatives de connexion pour protéger votre site Web. iTheme Security plugin et WordFence offrent aussi ce genre de fonctionnalité !

5. Authentification à deux facteurs

Google Authenticator est un plug-in WordPress qui fonctionne via une application installée sur votre Android/iPhone/BlackBerry. Le plug-in génère un code QR que vous pouvez scanner avec votre appareil mobile ou vous pouvez entrer le code secret manuellement.

Votre connexion nécessite un code d’authentification qui est envoyé sur votre appareil mobile. Le plug-in peut être utilisé de façon individuelle ou collective, mais n’est pas recommandé pour les utilisateurs qui ne sont pas administrateurs.

Étant donné qu’il est très peu probable que le pirate ait un accès physique à votre appareil mobile, la page de connexion de votre site Web sera très sécurisée (en supposant qu’il n’y ait aucune autre vulnérabilité).

Sécurité supplémentaire

Nous avons discuté du masquage/renommage de la page de connexion et du répertoire wp-admin, de l’activation de certificat SSL sur les pages de connexion, de l’utilisation de deux facteurs d’authentification, de la limitation des tentatives de connexion et de l’utilisation de mots de passe forts et de noms d’utilisateur originaux.

Vous devez également savoir que certains hébergeurs de sites Web Wordpress (que nous avons classé pour vous) imposent certaines de ces pratiques de sécurité à leurs utilisateurs. Les meilleurs d’entre eux utilisent et imposent de globalement de bonnes pratiques de sécurité aux clients utilisants leurs serveurs. Le risque ici est bien évidemment plus élevé sur un serveur partagé !

Vous devriez également utiliser un plug-in de sécurité complet comme Wordfence ou iThemes Security qui offrent de nombreuses fonctionnalités de protection de connexion en plus des mesures de sécurité globales du site WordPress.

Aucun article de sécurité WordPress n’est complet sans mentionner que la sécurité peut toujours être compromise. Planifiez à l’avance et sauvegardez votre site Web avec un outil gratuit comme Updraft Plus ou un fournisseur de solutions premium comme BackUp Buddy ou VaultPress.

Damien Tremblay

Damien est un passionné du digital avec une préférence pour les sujets qui touchent au développement web, au référencement ou SEO et à la publicité sur les réseaux sociaux. Avec plus de 15 ans d'expérience dans le domaine, il a dirigé une agence de développement de sites web et collaboré avec de nombreux client de type PME ou grands comptes sur 3 continents différents. C'est le vétéran de l'équipe chez Opportunités Digitales et le rédacteur en chef !

Guides Sécurité Internet