5 règles simples pour la sécurité de connexion WordPress

Une stratégie de sécurité WordPress réussie devrait inclure des étapes pour renforcer la connexion WordPress. Dans cet article, nous couvrons les cinq règles simples pour une meilleure sécurité de connexion WordPress.

La grande chose à propos de WordPress est la façon dont il rend la création d'un site Web accessible à presque tout le monde. Mais avec cette accessibilité vient la prévisibilité. Toute personne ayant une expérience de travail avec WordPress sait où les modifications sont apportées au site : via la zone wp-admin. Ils savent même où ils doivent aller pour accéder à wp-admin, la page wp-login.php.

Malheureusement, créer un bot qui parcourra Internet en commettant des attaques par force brute ne nécessite pas beaucoup de compétences, et tout pirate débutant peut en créer un. Parce que les attaques sur la page de connexion WordPress ont une faible barrière d'entrée, la sécurité de connexion WordPress est cruciale pour sécuriser tout site WordPress.

En suivant ces règles et en utilisant les meilleures pratiques de sécurité de WordPress, vous pouvez éviter d'être vulnérable aux erreurs courantes de connexion des utilisateurs.

1. Utilisez des mots de passe forts

Il existe de nombreuses informations confuses et contradictoires sur les meilleures pratiques de sécurité des mots de passe sur Internet. Dans un effort pour dissiper cette confusion, décomposons les bases de la façon dont l'utilisation d'un mot de passe fort améliore votre sécurité WordPress.

Lors de la création d'un mot de passe, le premier élément que vous voudrez considérer est la longueur du mot de passe. La liste ci-dessous indique le temps estimé nécessaire pour déchiffrer un mot de passe à l'aide d'un processeur i5 à quatre cœurs.

• 7 caractères prendront 0,29 millisecondes pour se fissurer.
• 8 personnages mettront 5 heures à craquer.
• 9 personnages mettront 5 jours à craquer.
• 10 personnages mettront 4 mois à craquer
• 11 personnages mettront 1 décennie à craquer
• 12 personnages mettront 2 siècles à se fissurer.

Ainsi, comme vous pouvez le constater, l'ajout d'un seul caractère à votre mot de passe peut augmenter considérablement la sécurité de votre connexion.

Malheureusement, certains pirates utilisent des GPU et des processeurs plus puissants pour réduire le temps nécessaire pour déchiffrer les mots de passe. Donc, pour renforcer vos connexions, faites également attention à l'entropie de votre mot de passe. Plus l'entropie du mot de passe est élevée, plus le mot de passe sera difficile à déchiffrer.

Par exemple, en se basant uniquement sur l'exigence de longueur, un mot de passe comme "abcdefghijkl" est composé de 12 caractères, ce qui est formidable et devrait prendre 200 ans à se fissurer. Cependant, comme le mot de passe utilise des chaînes de lettres séquentielles, il rend le mot de passe beaucoup plus prévisible par rapport à un mot de passe comme "rfybolaawtpm" qui a des caractères aléatoires.

La randomisation des caractères diminue la prévisibilité et augmente la force du mot de passe. Mais ces deux mots de passe ont une chose en commun qui réduit finalement l'entropie du mot de passe. Les deux n'utilisent que des lettres minuscules, ce qui limite le pool de caractères possibles à 26. C'est pourquoi il est essentiel d'inclure des lettres alphanumériques, des lettres majuscules et des caractères ASCII courants pour augmenter le pool de caractères nécessaires pour déchiffrer le mot de passe à 92.

2. Utilisez un mot de passe unique pour chaque compte

Une autre pratique exemplaire pour la sécurité en ligne consiste à utiliser des mots de passe uniques pour chaque compte et connexion à un site Web que vous possédez. C'est tellement important, nous le répétons : vous devez utiliser un mot de passe différent pour chaque site.

Pourquoi la réutilisation des mots de passe est-elle si importante ? Si vous utilisez le même mot de passe pour chaque site et que l'un de ces sites est compromis, vous utilisez maintenant un mot de passe compromis pour chaque compte, sur chaque site. Les pirates peuvent utiliser des vidages de données de mots de passe compromis associés à votre adresse e-mail ou à votre nom d'utilisateur pour accéder à vos comptes. Il vaut mieux ne même pas prendre de risque.

Plus vous avez d'utilisateurs qui réutilisent des mots de passe, plus la sécurité de votre connexion WordPress sera faible.

Astuce : Protégez WordPress des mots de passe compromis

Vous pouvez protéger WordPress des mots de passe compromis avec un plugin comme iThemes Security Pro. iThemes Security Pro tire parti de l'API HaveIBeenPwned pour détecter si un mot de passe est apparu ou non dans une violation de données.

Conseil : Encouragez les utilisateurs à changer fréquemment de mot de passe

Les fonctionnalités d'exigences de mot de passe d'iThemes Security vous permettent de forcer tous vos utilisateurs à changer leur mot de passe lors de leur prochaine connexion. Forcer les utilisateurs à créer un nouveau mot de passe permet à chacun de repartir à neuf avec un mot de passe fort et sans compromis, ce qui augmentera votre connexion WordPress Sécurité.

Conseil : utilisez un gestionnaire de mots de passe

En fin de compte, l'utilisation d'un gestionnaire de mots de passe peut vous aider à garder une trace de vos identifiants et de vos mots de passe uniques. Avec l'aide d'un gestionnaire de mots de passe, vous n'avez pas à vous souvenir de vos mots de passe.

3. Limiter les tentatives de connexion

Par défaut, rien n'est intégré à WordPress pour limiter le nombre de tentatives de connexion infructueuses que quelqu'un peut faire. Sans limite sur le nombre de tentatives de connexion infructueuses qu'un attaquant peut effectuer, il peut continuer à essayer un nombre infini de noms d'utilisateur et de mots de passe jusqu'à ce qu'il réussisse.

Augmentez la sécurité de votre connexion WordPress en installant un plugin de sécurité WordPress comme iThemes Security Pro pour limiter le nombre de tentatives de connexion infructueuses. La fonction iThemes Security Pro WordPress Brute Force Protection vous permet de définir le nombre de tentatives de connexion infructueuses autorisées avant qu'un nom d'utilisateur ou une adresse IP ne soit verrouillé. Un verrouillage désactivera temporairement la capacité de l'attaquant à effectuer des tentatives de connexion. Une fois que les attaquants ont été bloqués trois fois, il leur sera même interdit de consulter le site. Remarque : Lorsque vous décidez du degré de rigueur de vos règles pour les tentatives de connexion infructueuses, gardez à l'esprit les utilisateurs réels de votre site. Si vous rendez les règles de verrouillage trop impitoyables, vous courez le risque de verrouiller par inadvertance de vrais utilisateurs.

4. Limiter les tentatives d'authentification extérieures par demande

Il existe d'autres façons de se connecter à WordPress en plus d'utiliser un formulaire de connexion. En utilisant XML-RPC, un attaquant peut faire des centaines de tentatives de nom d'utilisateur et de mot de passe dans une seule requête HTTP. La méthode d'amplification par force brute permet aux attaquants de faire des milliers de tentatives de nom d'utilisateur et de mot de passe en utilisant XML-RPC en seulement quelques requêtes HTTP. Lorsque vous savez qu'un attaquant peut utiliser les vidages de base de données comme point de départ et faire des milliers de suppositions par demande, cela rend l'importance de la sécurité de connexion WordPress beaucoup plus claire. En utilisant les paramètres WordPress Tweaks d'iThemes Security Pro, vous pouvez bloquer plusieurs tentatives d'authentification par requête XML-RPC. Limiter le nombre de tentatives de nom d'utilisateur et de mot de passe à une pour chaque demande contribuera grandement à sécuriser votre connexion WordPress.

De plus, lorsque vous développez votre plan de sécurité de connexion WordPress, il est important de savoir que l'API WordPress Rest ajoute des moyens supplémentaires pour authentifier un utilisateur WordPress. L'authentification par cookie est une méthode d'authentification lorsque vous vous connectez WordPress stocke automatiquement un cookie afin que les plugins et les thèmes puissent exécuter une fonction en votre nom. L'authentification des cookies bénéficiera des protections que vous avez ajoutées à wp-login.php.

5. Utilisez l'authentification à deux facteurs

J'ai gardé la meilleure méthode pour augmenter la sécurité de connexion WordPress pour la fin : l'authentification à deux facteurs WordPress. L'authentification à deux facteurs nécessite un code supplémentaire ainsi que votre nom d'utilisateur et votre mot de passe WordPress pour vous connecter.

Il existe de nombreuses méthodes d'authentification à deux facteurs, mais toutes les méthodes ne se valent pas. Si vous le pouvez, évitez d'utiliser les SMS pour l'authentification à deux facteurs. L'Institut national des normes et de la technologie ne recommande plus d'utiliser les SMS pour envoyer et recevoir des codes d'authentification.

À l'aide d'un plugin de sécurité WordPress, comme iThemes Security Pro, vous devez activer la méthode de courrier électronique ou d'application mobile à deux facteurs.

Notez simplement que de nombreux sites exigent que vous utilisiez une adresse e-mail comme nom d'utilisateur. Si un attaquant pirate l'un de ces sites, l'étape suivante consistera à essayer de se connecter aux comptes de messagerie en utilisant les nouvelles adresses e-mail et mots de passe volés. Si l'un de vos utilisateurs ou clients réutilise des mots de passe compromis sur chaque site, son compte de messagerie, ainsi que ses codes de messagerie à deux facteurs, seront compromis. La méthode de l'application mobile à deux facteurs fera le plus pour augmenter la sécurité de connexion de WordPress. Le code d'authentification supplémentaire requis pour se connecter sera envoyé au téléphone de l'utilisateur. Ainsi, même si un attaquant a accès aux informations d'identification WordPress et aux e-mails, il n'aura toujours aucun moyen de se connecter.

Récapitulatif : une simple liste de contrôle de sécurité de connexion WordPress

La sécurité de connexion WordPress devrait être une priorité absolue sur chaque site. Maintenant que vous savez comment augmenter la sécurité de connexion sur votre site, vous pouvez profiter de cette stratégie efficace de prévention du piratage.

• 1. Utilisez des mots de passe forts
• 2. Utilisez des mots de passe uniques pour chaque compte
• 3. Limiter les tentatives de connexion
• 4. Limiter les tentatives d'authentification
• 5. Utilisez l'authentification à deux facteurs

Le meilleur plugin de sécurité WordPress pour sécuriser et protéger WordPress

WordPress alimente actuellement plus de 40 % de tous les sites Web, il est donc devenu une cible facile pour les pirates ayant des intentions malveillantes. Le plugin iThemes Security Pro élimine les conjectures de la sécurité de WordPress pour faciliter la sécurisation et la protection de votre site Web WordPress. C'est comme avoir un expert en sécurité à plein temps dans le personnel qui surveille et protège constamment votre site WordPress pour vous.

Obtenez iThemes Security Pro

Kristen Wright

Kristen écrit des tutoriels pour aider les utilisateurs de WordPress depuis 2011. En tant que directrice marketing chez iThemes, elle se consacre à vous aider à trouver les meilleurs moyens de créer, gérer et maintenir des sites Web WordPress efficaces. Kristen aime également tenir un journal (consultez son projet parallèle, The Transformation Year !), faire de la randonnée et du camping, faire du step, cuisiner et vivre des aventures quotidiennes avec sa famille, dans l'espoir de vivre une vie plus présente.