Comment mettre en œuvre les directives de sécurité du mot de passe WordPress

Publié: 2022-12-22

La sécurité du site nécessite la participation des utilisateurs qui y accèdent. Par exemple, bien que vous ayez besoin de sécuriser votre page de connexion WordPress (car il s'agit d'un point d'entrée), les informations d'identification que vos utilisateurs choisissent doivent également être solides. Cela rend presque certain qu'un utilisateur malveillant n'obtiendra pas un accès gratuit à votre site.

Pour ce didacticiel, nous allons voir comment mettre en œuvre les directives de sécurité des mots de passe WordPress. Il couvrira une partie du sujet de notre article complémentaire sur la protection par mot de passe WordPress. Cependant, il expliquera également comment vous pouvez vous assurer que les utilisateurs suivent ces directives conformément à votre propre politique de mot de passe fort.

Pourquoi la sécurité des mots de passe est si importante

En apparence, cela devrait être simple : des mots de passe forts signifient que les pirates et autres utilisateurs malveillants auront plus de mal à pénétrer dans votre site. Cependant, il y a plus à considérer ici:

Les mots de passe forts ne sont qu'un maillon de la chaîne. Cependant, sans eux, vos manilles sécurisées se corroderont rapidement.
Vous pouvez lutter contre les faux utilisateurs ou les robots sur votre site en définissant un mot de passe fort qui change souvent.
WordPress est une plateforme sécurisée. Cependant, la popularité de WordPress signifie que c'est une cible commune. Une politique de sécurité des mots de passe forte (et approfondie) protégera le site dans son ensemble.

Dans l'ensemble, une sécurité par mot de passe robuste et solide est vitale pour votre site Web. En fait, WordPress inclut des fonctionnalités pour vous aider à définir des mots de passe plus forts pour les inscriptions et les inscriptions.

Comment WordPress vous aide à implémenter des mots de passe forts pour tous les utilisateurs

Le site Web WordPress.org propose sa propre liste de meilleures pratiques de mot de passe WordPress, mais la plate-forme comprend désormais des moyens d'encourager les utilisateurs à utiliser des mots de passe forts. Vous pouvez tester cela depuis votre page de profil utilisateur sur le tableau de bord WordPress :

Une page de profil WordPress affichant le champ du mot de passe.

La section Gestion du compte comprend deux options par défaut, mais l'une est intéressante ici. Vous pouvez utiliser le bouton Définir un nouveau mot de passe pour ouvrir un champ qui se remplira automatiquement avec un mot de passe fort et unique. Tout ce que l'utilisateur devra faire ici est de copier le mot de passe pour le stocker (plus sur cela plus tard) et enregistrer les modifications.

Définir un nouveau mot de passe fort dans WordPress.

Cependant, si l'utilisateur tente de définir un mot de passe faible, vous remarquerez que la boîte de dialogue et les options changent pour refléter ceci :

Tentative de définition d'un mot de passe faible dans WordPress.

Dans de tels cas, l'utilisateur devra confirmer qu'il souhaite utiliser le mot de passe faible à l'aide d'une case à cocher. Cependant, bien qu'il s'agisse d'une étape supplémentaire, la plupart des utilisateurs cliqueront probablement sur le bouton et enregistreront les modifications.

Ce n'est pas idéal car cela devient l'une des vulnérabilités de votre site. Au lieu de cela, vous souhaiterez implémenter une politique de sécurité par mot de passe.

Pourquoi vous avez besoin d'une solide politique de sécurité des mots de passe pour votre site et vos utilisateurs

Nous parlons des politiques de mot de passe dans notre guide complet de la protection par mot de passe WordPress. Cependant, pour résumer, une politique de sécurité de mot de passe forte retirera le processus des mains de l'utilisateur pour la plupart.

En tant que tels, ils n'auront pas à s'inquiéter des robots sophistiqués de craquage de mots de passe ou des attaques par force brute. Au lieu de cela, vous pouvez fournir à vos utilisateurs une politique qui correspond à vos directives et leur permettre de continuer à interagir avec votre site en toute sécurité.

Cependant, il est important de savoir à quoi ressemble une politique de mot de passe fort. Discutons-en ensuite.

Les éléments d'une politique de sécurité par mot de passe fort

L'un des principaux avantages d'une politique de sécurité par mot de passe fort est que vous pouvez la personnaliser en fonction de vos besoins et de ceux de vos utilisateurs. Cependant, il existe de nombreuses règles et politiques de mot de passe WordPress que vous pouvez mettre en place pour renforcer votre site et protéger les utilisateurs :

Vous pouvez garantir une longueur minimale pour tous les mots de passe.
Vous souhaitez également configurer des délais d'expiration de mot de passe. Sinon, vous constaterez que les mots de passe des mêmes utilisateurs seront en place pendant longtemps, ce qui est risqué. Forcer l'expiration incite les utilisateurs à créer de nouveaux mots de passe forts.
Les rôles d'utilisateur WordPress peuvent également avoir des règles de mot de passe différentes. Par exemple, un administrateur voudra sans doute une politique plus stricte qu'un contributeur.

Plus tard, nous parlerons davantage de la façon d'implémenter des mots de passe forts à l'aide d'un plugin de politique dédié pour WordPress. Cependant, nous allons d'abord passer en revue certains éléments essentiels d'une sécurité par mot de passe fort.

Directives de sécurité des mots de passe WordPress : une liste de contrôle

Parlons ensuite de certaines des principales directives de sécurité des mots de passe que vos utilisateurs doivent suivre et que vous devez mettre en œuvre. Il s'agit d'une courte liste de contrôle car, avec un peu de soin et de réflexion, vous n'aurez pas besoin de beaucoup d'éléments pour que tous les utilisateurs aient des informations d'identification solides.

Nous allons commencer par l'un des facteurs les plus élémentaires que vous pouvez appliquer.

1. Assurez-vous que votre mot de passe est long et fort

Une grande partie de la discussion autour du choix d'un mot de passe fort valorise la variété et les éléments aléatoires. Par exemple, les caractères spéciaux peuvent être importants dans un mot de passe que vous générez au hasard :

Génération d'un nouveau mot de passe à l'aide d'un outil en ligne.

Cependant, si vous adoptez cette même philosophie et que vous l'implémentez de la mauvaise manière, vous vous retrouverez probablement avec un mauvais choix de mot de passe :

Remplacer les lettres d'un mot de passe par des caractères spéciaux, ce qui donne un mot de passe faible.

Au lieu de cela, nous savons maintenant que la longueur du mot de passe est plus importante pour sa force que la variété des caractères. Cette philosophie se retrouve même dans les médias populaires, comme ce dessin animé de mot de passe de XKCD :

Un dessin animé XKCD montrant que la longueur du mot de passe est un aspect plus fort que l'utilisation de caractères spéciaux.

Cependant, vous feriez bien d'implémenter également des caractères spéciaux et des chiffres. Après tout, si vous combinez longueur et variété, vous aurez des mots de passe encore plus forts.

2. Utilisez un gestionnaire de mots de passe pour stocker vos informations d'identification

L'un des inconvénients de l'utilisation de mots de passe longs est qu'ils peuvent être difficiles à retenir, et c'est probablement la raison pour laquelle les conseils typiques suggèrent souvent d'utiliser un mélange de caractères. Dans le passé, nous n'avions pas les outils pour créer, stocker et rappeler des mots de passe. Cependant, la technologie moderne propose un certain nombre d'applications de gestion de mots de passe.

Certains des choix les plus populaires incluent 1Password et LastPass. La plupart des navigateurs incluent désormais la possibilité de créer et de stocker également des mots de passe. En fait, les trois principaux acteurs - Google Chrome, Apple Safari et Mozilla Firefox - peuvent tous aider les utilisateurs à stocker les mots de passe. Cependant, ce n'est pas une bonne idée pour une sécurité optimale.

L'outil de gestion de mot de passe du navigateur Brave.

Dans de nombreux cas, ces navigateurs auront également des extensions à intégrer à des applications tierces. Pour commencer, vous garderez vos données de mot de passe à l'écart de toute vulnérabilité potentielle du navigateur. De plus, vous aurez une couche de sécurité supplémentaire.

La plupart des gestionnaires de mots de passe tiers proposent le cryptage de vos données, ainsi que l'authentification à deux facteurs (2FA). De plus, vous bénéficierez de meilleures fonctionnalités de qualité de vie que le navigateur. Par exemple, la plupart des gestionnaires de mots de passe surveilleront vos informations d'identification et vous informeront si elles sont compromises.

3. Mettez régulièrement à jour le mot de passe

La mise à jour de vos mots de passe est presque un élément non négociable de la sécurité des mots de passe. Après tout, aucun mot de passe n'est sécurisé à 100 %, ce qui signifie qu'il est possible qu'il soit piraté et divulgué sur le Web, quelle que soit sa durée.

Pour cette raison, la modification des mots de passe pour toutes vos connexions est une étape nécessaire pour les utilisateurs de votre site WordPress afin de s'assurer qu'un mot de passe divulgué ou piraté n'est plus valide. Nous recommandons un changement de mot de passe instantané dans l'un des scénarios suivants :

Si votre site ou compte WordPress est piraté, piraté ou si vous trouvez des logiciels malveillants sur le serveur.
Les violations de données à l'échelle de l'entreprise sont également un moment où vous voudrez que les utilisateurs changent de mot de passe. Bien que vous puissiez vous concentrer uniquement sur les comptes concernés, il est préférable de demander à tous les utilisateurs de modifier leur mot de passe par précaution.
Si vous choisissez de supprimer quelqu'un de votre réseau, c'est une bonne idée de changer au moins le mot de passe de son compte. Une fois que vous avez tout finalisé, vous pouvez supprimer complètement le compte d'utilisateur.

Dans certains autres cas, vous voudrez vous assurer que vous modifiez un mot de passe en fonction de circonstances spécifiques. Par exemple, de nombreux points de vente Wi-Fi publics n'offrent qu'un réseau non sécurisé pour naviguer sur le Web. Si vous manipulez des informations sensibles, vous pourriez enfreindre les exigences légales de protection des données dans ces situations. Pour cette raison - et que l'utilisation du Wi-Fi public n'est de toute façon pas une bonne pratique - vous voudrez toujours changer le mot de passe si vous avez besoin d'utiliser un réseau non sécurisé.

La meilleure façon d'implémenter des mots de passe forts pour votre site WordPress

La propre fonctionnalité de sécurité par mot de passe de WordPress est un bon moyen de base pour aider à protéger les utilisateurs, mais elle présente des lacunes. Au lieu de cela, les plugins WordPress peuvent combler l'écart et ajouter les fonctionnalités utiles dont vous aurez besoin pour mettre en œuvre une politique de mot de passe et une sécurité solides.

Un plugin de sécurité WordPress est vital pour tout site Web, mais cela peut ne pas toujours inclure tout ce dont vous avez besoin pour implémenter la sécurité par mot de passe WordPress. C'est pourquoi WPassword sera un bon complément à vos mesures de sécurité actuelles.

Une fois que vous avez installé et activé WPassword, vous repérerez facilement le plugin sur le tableau de bord WordPress. L'écran WPassword > Stratégies de mot de passe vous donne votre première tâche : activer la fonctionnalité de stratégie de base. Une fois que vous faites cela, vous verrez une multitude d'options :

Basculer les politiques de mot de passe dans le plugin WPassword.

L'éditeur de politique de mot de passe est puissant et contient toutes les fonctionnalités dont vous aurez besoin pour appliquer des mots de passe forts sur votre site :

Vous pouvez spécifier une longueur minimale pour les mots de passe et déterminer si le mot de passe doit contenir des chiffres, des lettres majuscules et minuscules, des caractères spéciaux et même bloquer certains caractères.
Il existe un champ simple pour implémenter des délais d'expiration de mot de passe en fonction de vos propres besoins et désirs. Vous disposez même d'une fonction en un clic pour réinitialiser les mots de passe en masse.
Vous pourrez également définir des délais pour les utilisateurs inactifs, après quoi ils seront automatiquement verrouillés.

WPassword comprend également plus de fonctionnalités pour vous aider à mettre en œuvre votre politique de sécurité de mot de passe WordPress. Par exemple, vous pouvez choisir de ne pas autoriser l'utilisation d'anciens mots de passe. Mieux encore, la configuration de chacune de ces options utilise l'interface WordPress par défaut des cases à cocher et des menus déroulants, sans code requis.

Emballer

Si les utilisateurs de votre site WordPress n'utilisent pas de mots de passe forts, bien sûr, vous risquez une faille de sécurité. Cela peut avoir des ramifications irréparables. En tant que tel, vous souhaiterez personnaliser une politique de mot de passe dédiée à l'aide de WPassword.

Le plugin vous permet de créer une politique de mot de passe forte et de l'appliquer également. Vos utilisateurs n'auront pas à lever le petit doigt, mais vous vous assurerez que la sécurité de votre site WordPress est bien plus solide qu'auparavant.

Avez-vous des questions sur la façon de mettre en œuvre les directives de sécurité WordPress sur votre site ? Demandez dans la section des commentaires ci-dessous!