Comment sécuriser votre page de connexion WordPress (Guide complet)

Publié: 2022-08-16

Un facteur critique dans la gestion d'un site Web WordPress réussi est la mise en œuvre de mesures de surveillance et de sécurité. Après tout, un site piraté peut causer beaucoup de maux de tête, que votre site soit utilisé à des fins professionnelles ou personnelles. Cela peut avoir un impact sur vos revenus, mettre en péril les informations de vos visiteurs et nuire à votre réputation.

Un point d'entrée typique pour les pirates est la page de connexion WordPress, sur laquelle nous nous concentrerons aujourd'hui. Ce qui suit est un aperçu de 14 façons de renforcer la sécurité de connexion de WordPress afin que les acteurs malveillants n'enfreignent pas votre site.

Pourquoi sécuriser votre page de connexion WordPress ?

Avant d'arriver à la liste des conseils de sécurité, discutons d'abord brièvement des raisons pour lesquelles vous pourriez vouloir sécuriser votre page de connexion WordPress - contre les attaques par force brute ou autres - en premier lieu.

  • WordPress étant très populaire, les cybercriminels recherchent souvent de nouvelles vulnérabilités qu'ils peuvent exploiter sur un grand nombre de sites.
  • Parce que les pirates connaissent WordPress, ils savent quand un site Web est obsolète et quelles failles de sécurité sont présentes dans chaque version.
  • Pour accéder via une page de connexion, les pirates n'ont pas toujours besoin de connaissances avancées en développement ou de compétences particulières.

Garder une page de connexion WordPress sécurisée est essentiel pour le succès à long terme et les performances globales de votre site Web.

Comment renforcer la sécurité de votre connexion WordPress

Vous savez donc pourquoi vous devez créer une connexion WordPress sécurisée, mais comment pouvez-vous y parvenir ? Nous avons rassemblé 14 façons de sécuriser correctement votre page de connexion WordPress afin que vous n'ayez pas à laisser au hasard la sécurité de vos données ou de vos informations client.

1. Installez un plugin de sécurité WordPress

Vous pouvez maîtriser la plupart des problèmes de sécurité en quelques minutes seulement en installant un plugin de sécurité WordPress de haute qualité. Alors que de nombreux plugins se spécialisent dans la protection d'aspects spécifiques d'un site ou contre certains types d'attaques, une approche plus complète est préférable pour le site moyen. Un plugin de sécurité tout-en-un inclura des fonctionnalités telles que les journaux d'audit, les analyses de logiciels malveillants, les pare-feu et les outils de sécurité de connexion dans une seule solution.

Et en tête de liste de nos recommandations se trouve Jetpack Security.

Page d'accueil de Jetpack Security

Jetpack Security fonctionne en prenant en charge automatiquement de nombreuses tâches de sécurité. Et avec des fonctionnalités gratuites et payantes, un niveau de protection est disponible pour tous ceux qui possèdent un site Web WordPress. Il dispose d'une large gamme de fonctionnalités qui peuvent fonctionner pour prévenir les failles de sécurité, mais aussi vous aider à diagnostiquer et à récupérer de tout incident que vous rencontrez. Ceux-ci inclus:

  • Protection contre les attaques par force brute
  • Prévention des spams
  • Analyse des logiciels malveillants
  • Surveillance des temps d'arrêt
  • Sauvegardes
  • Journaux d'activité
  • Authentification à deux facteurs

Bien que vous puissiez parcourir vous-même le reste des étapes décrites ici, l'utilisation d'un plugin comme Jetpack Security rationalisera le processus de renforcement de la connexion.

2. Modifiez et masquez votre URL de connexion WordPress

Une autre façon de sécuriser votre page de connexion consiste à la cacher des regards indiscrets. Par défaut, l'adresse de connexion pour tous les sites WordPress est http://www.yourwebsitename.com/wp-admin, ce qui revient à donner votre adresse personnelle à un cambrioleur. Donc, tout ce que vous pouvez faire pour masquer cela est une bonne idée.

Changer l'URL de connexion WordPress est un excellent moyen de mettre en place des barrières pour rendre le travail du pirate plus difficile. Vous pouvez trouver un plugin qui le fait pour vous, mais vous pouvez aussi le faire vous-même.

Pour cela, vous aurez besoin d'un accès FTP à votre site Web. Une fois que vous avez cela, suivez simplement les instructions de notre tutoriel : URL de connexion WordPress : comment la trouver, la modifier et la masquer.

3. Utilisez un mot de passe fort pour vous connecter à WordPress

Vous pouvez également renforcer la sécurité de votre site en passant à un mot de passe plus fort. La mise en œuvre de mesures de mots de passe forts rend beaucoup moins probable qu'un pirate ou un bot puisse le "deviner". Bien que "fluffy21" puisse être facile à retenir, il est beaucoup trop facile à deviner, surtout si "Fluffy" est le nom d'un animal de compagnie bien-aimé.

Au lieu de choisir des mots de passe basés sur des noms, des âges ou des animaux de compagnie, en créer un qui combine des lettres et des chiffres, des lettres majuscules et minuscules et quelques symboles est bien meilleur. Vous pouvez créer un mot de passe fort de plusieurs manières :

  • Un outil de mot de passe fort intégré. WordPress dispose d'un outil de mot de passe fort qui vous encourage à créer un mot de passe plus fort que ce que vous pourriez être naturellement enclin à choisir.
  • Un générateur de mot de passe. De nombreux générateurs de mots de passe facilitent le développement d'un mot de passe fort qui n'est pas intuitivement devinable.
  • Un gardien/gestionnaire de mots de passe. Le seul problème avec les mots de passe forts est qu'ils sont difficiles à retenir. L'utilisation d'un gestionnaire de mots de passe ou d'un outil de gestion élimine ce problème. Les options populaires incluent LastPass, DashLane et 1Password.
Page d'accueil LastPass

4. Protégez votre page de connexion par mot de passe

Par défaut, n'importe qui peut accéder à la page de connexion de votre site WordPress. Et bien que vous puissiez masquer ou modifier votre URL de connexion, comme nous en avons discuté précédemment, les pirates peuvent être en mesure de le trouver si le dossier wp-admin est toujours accessible.

C'est pourquoi ajouter une autre couche de protection avant d'accéder à la page de connexion est une bonne idée. Et vous pouvez y parvenir en protégeant par mot de passe le dossier wp-admin . Si votre hébergeur utilise cPanel, ce processus est relativement simple.

Connectez-vous au compte de votre fournisseur d'hébergement, accédez au cPanel, puis accédez au dossier Directory Privacy .

Lorsque vous consultez les fichiers de votre site, accédez à public_html/wp-admin . Il devrait y avoir une case à cocher visible indiquant que le mot de passe protège ce répertoire . Cochez la case. Créez ensuite un nouveau nom d'utilisateur et un nouveau mot de passe pour accéder au dossier wp-admin. Enregistrez vos modifications.

Essayez de vous connecter à votre site comme d'habitude. Vous devriez maintenant avoir à saisir un autre ensemble d'informations d'identification avant d'être autorisé à vous connecter à WordPress.

Remarque : ce processus serait identique, même si vous avez déplacé l'emplacement de votre page de connexion. Protégez par mot de passe le dossier dans lequel se trouve votre page de connexion, même s'il ne s'agit pas de wp-admin.

5. Limitez le nombre de tentatives de connexion

Une autre chose que vous devez faire pour sécuriser la page de connexion WordPress est de limiter les tentatives de connexion. Les pirates peuvent utiliser des robots pour effectuer des tentatives de connexion répétées jusqu'à ce qu'ils déchiffrent le code, c'est-à-dire qu'ils trouvent votre mot de passe et accèdent à votre site Web. Malheureusement, WordPress autorise par défaut des connexions illimitées.

Pour empêcher ce point d'accès potentiel, vous pouvez limiter les tentatives de connexion. Un plugin est le meilleur moyen d'y parvenir. En fait, Jetpack Security offre Brute Force Attack Protection dans le cadre de sa solution de sécurité tout-en-un.

nombre d'attaques par force brute bloquées par Jetpack

Les attaques par force brute peuvent perturber incroyablement le fonctionnement de votre site Web, avant même que les pirates n'y accèdent. Par exemple, ils peuvent ralentir considérablement votre site ou le faire cesser complètement de répondre. Des tentatives de connexion répétées peuvent éventuellement réussir et le pirate peut alors injecter des logiciels malveillants, insérer des liens ou causer des dégâts. Ces attaques peuvent également mettre vos informations personnelles en danger.

La fonction Brute Force Attack Protection incluse dans Jetpack Security fournit les outils nécessaires pour bloquer les attaques et empêcher les pirates malveillants d'accéder à vos données. Cela fonctionne en bloquant les adresses IP malveillantes avant qu'elles n'arrivent sur votre site. Il fournit également un nombre total d'attaques et vous permet de mettre sur liste blanche les adresses IP connues.

6. Ajoutez une question de sécurité à votre formulaire de connexion WordPress

Vous pouvez également étendre la sécurité de votre formulaire de connexion en ajoutant une question de sécurité (ou deux) au processus de connexion. Ainsi, au lieu de simplement saisir un nom d'utilisateur et un mot de passe, les utilisateurs doivent également répondre à une question de sécurité pour y accéder.

Cette seule étape rend votre site Web beaucoup plus difficile à pirater. Et c'est relativement simple à mettre en oeuvre.

Le plugin No-Bot Registration est un excellent moyen d'y parvenir. Téléchargez-le en allant dans Plugins → Ajouter nouveau, puis tapez le nom du plugin. Une fois qu'il apparaît, téléchargez-le et activez-le.

Plugin d'enregistrement sans bot

Une fois activé, allez dans Paramètres depuis le tableau de bord WordPress. Ici, vous pouvez configurer le plug-in et configurer les règles d'utilisation des questions de sécurité (sur les pages d'inscription, de connexion ou de mot de passe oublié).

C'est beaucoup plus convivial qu'un CAPTCHA, car il suffit de répondre à une question simple et logique.

7. Ajoutez une authentification à deux facteurs à WordPress

Ensuite, vous pouvez activer l'authentification à deux facteurs. De nombreux sites Web et applications utilisent cette option de sécurité populaire, y compris Gmail. Cela fonctionne en envoyant un code SMS à votre téléphone que vous devrez saisir avant de pouvoir terminer le processus de connexion.

Ceci est utilisé pour vérifier votre identité et garantir que l'accès n'est accordé qu'aux utilisateurs autorisés. Chaque couche d'authentification que vous ajoutez au processus rend beaucoup plus difficile pour quelqu'un de pirater votre site. Même si un mauvais acteur accède à vos informations de connexion, il est peu probable qu'il puisse contrecarrer le processus 2FA.

Le moyen le plus simple d'ajouter une authentification à deux facteurs à WordPress consiste à utiliser un plugin 2FA. Plusieurs plugins de sécurité incluent cette fonctionnalité, mais encore une fois, Jetpack Security est fort avec l'authentification sécurisée.

L'authentification sécurisée vous permet de vous connecter à l'aide de vos informations d'identification WordPress.com standard et également de désactiver ou de contourner entièrement le formulaire de connexion par défaut. De plus, vous pouvez choisir de faire de l'authentification à deux facteurs une exigence pour tous les utilisateurs afin de renforcer la protection de votre site.

8. Installez un certificat SSL sur votre site WordPress

Une autre possibilité de protection consiste à installer un certificat SSL. Obtenir un certificat SSL gratuitement est facile, c'est donc une mesure de sécurité que personne ne devrait ignorer.

SSL est la façon dont la plupart des sites Web sécurisent leurs données. Et vous pouvez savoir quand un site est sécurisé car le "HTTP" dans le champ URL aura un "S" ajouté, donc il lit "HTTPS". Les navigateurs utilisent souvent d'autres indications visuelles, comme une icône de cadenas vert, pour informer les visiteurs que votre site dispose d'un certificat SSL actif.

Au-delà des implications en matière de sécurité, les visiteurs peuvent ne pas continuer à naviguer sur votre site s'ils constatent qu'il n'est pas sécurisé. De plus, les sites avec des certificats SSL ont tendance à mieux se classer dans les moteurs de recherche et certains navigateurs afficheront même un avertissement aux visiteurs si vous n'en avez pas.

Ne sautez pas cette étape. Découvrez comment obtenir un certificat SSL gratuit.

9. Désactivez les indices de connexion WordPress après des tentatives de connexion infructueuses

Les indices de connexion peuvent être vraiment utiles pour les vrais utilisateurs de WordPress, mais ils peuvent parfois donner trop d'informations sur votre nom d'utilisateur et votre mot de passe aux pirates. Lorsque vous essayez de vous connecter à un site WordPress et que vous vous trompez de nom d'utilisateur, vous rencontrez une erreur qui se lit comme suit : "Le nom d'utilisateur n'est pas enregistré sur ce site. Si vous n'êtes pas sûr de votre nom d'utilisateur, essayez plutôt votre adresse e-mail. »

message d'erreur concernant un nom d'utilisateur non enregistré

Quelque chose de similaire se produit si vous saisissez le bon nom d'utilisateur ou la bonne adresse e-mail, mais le mauvais mot de passe.

erreur de mot de passe incorrect

Pour supprimer les indices de connexion, vous devez ajouter quelques lignes de code au fichier functions.php de votre site.

 function no_wordpress_errors(){ return 'There is an error.'; } add_filter( 'login_errors', 'no_wordpress_errors' );

Lorsqu'une personne (réelle ou robot) saisit un nom d'utilisateur ou un mot de passe incorrect, elle est accueillie par le message « Il y a une erreur » plutôt que par la valeur par défaut.

10. Gardez votre installation WordPress et vos plugins à jour

Les pirates trouvent également des points d'entrée dans les sites WordPress via des installations obsolètes. Chaque fois que WordPress est mis à jour, toutes les corrections de bogues et les failles de sécurité qui ont été réparées sont publiées en ligne. Si votre installation est obsolète, les pirates ont un manuel d'instructions pour violer votre site.

Lorsque de nouvelles mises à jour principales de WordPress sont déployées, vous devez sauvegarder votre site et installer la mise à jour le plus rapidement possible.

Mais ce n'est pas tout ce dont vous devez être conscient. Les logiciels tiers - c'est-à-dire les plugins et les thèmes - sont également des points faibles potentiels. Il est d'autant plus essentiel de se tenir à jour car les plugins et les thèmes sont créés par diverses sociétés de développement avec des normes et des approches différentes.

C'est aussi pourquoi vous devez être sélectif sur les plugins et les thèmes que vous installez. Si votre plugin de partage social n'a pas été mis à jour depuis deux ans, il est peut-être temps d'en trouver un qui se mette à jour régulièrement.

11. Cachez votre numéro de version WordPress

Un moyen rapide d'améliorer la sécurité de la page de connexion consiste à masquer le numéro de version de WordPress. À tout le moins, cela incitera les pirates à regarder de plus près pour déterminer les failles de sécurité à exploiter. Et vous pouvez l'enlever assez facilement.

Localisez le fichier functions.php et (après avoir sauvegardé votre site) ajoutez la ligne de code suivante au fichier :

 remove_action('wp_head', 'wp_generator');

12. Cachez votre nom d'utilisateur de connexion WordPress

Une autre étape que vous pouvez prendre consiste à masquer votre nom d'utilisateur de connexion WordPress. La plupart du temps, l'accent est mis sur la création d'un mot de passe super sécurisé - ce qui est excellent - mais vous devez également penser à votre nom d'utilisateur. Souvent, il est accessible au public - une opportunité que les pirates peuvent exploiter.

Le moyen le plus rapide de masquer votre nom d'utilisateur à la vue des regards indiscrets est de le supprimer des articles de blog et des archives des auteurs.

Pour supprimer votre nom d'utilisateur des articles de blog, il vous suffit d'aller dans Utilisateurs → Profil → Surnom lorsque vous êtes connecté à WordPress. À partir de là, vous pouvez modifier le pseudonyme afin que votre nom d'utilisateur ne soit plus visible pour les visiteurs du site. Ainsi, au lieu de voir "blogperson02", ils verront votre prénom, prénom et nom de famille, ou un autre surnom que vous configurez.

Pour supprimer votre nom d'utilisateur d'apparaître dans les archives de l'auteur, vous aurez besoin d'un plugin SEO comme Yoast SEO.

Installez Yoast comme n'importe quel autre plugin, puis allez dans le menu SEO → Search Appearance → Archives dans le tableau de bord WordPress. Il y a une option ici pour désactiver les archives d'auteur. Faites cela, puis cliquez sur Enregistrer les modifications .

désactiver les archives d'auteur avec Yoast

13. Raccourcissez votre minuteur de déconnexion automatique WordPress

Il est courant de rester connecté à vos comptes lorsque vous les utilisez souvent. Mais cela peut créer des failles potentielles, surtout si plusieurs personnes ont des comptes sur votre site. La mise en œuvre d'une minuterie de déconnexion automatique est un excellent moyen de combler ces failles de sécurité.

Lorsqu'une session est laissée sans surveillance, elle sera automatiquement déconnectée. Par défaut, WordPress déconnectera les utilisateurs après 48 heures. En cochant la case "Se souvenir de moi", les utilisateurs restent connectés pendant 14 jours. Vous pouvez modifier un peu ces délais en utilisant un plugin tiers. Celui qui est dédié à cette fonctionnalité est la déconnexion inactive.

Une fois installé, accédez à Paramètres → Déconnexion inactive → Gestion de base . Sélectionnez ensuite la durée d'inactivité pour laquelle vous souhaitez déclencher une déconnexion.

14. Supprimer les comptes d'utilisateurs WordPress anciens et inutilisés

Enfin, la suppression des comptes qui ne sont plus utilisés peut également contribuer à améliorer la sécurité de votre WordPress. Avoir plusieurs comptes ouverts sur votre site signifie que chacun est un point d'accès à des données privées. Et si vous ne mettez pas régulièrement à jour les mots de passe de ces comptes, ils pourraient présenter des faiblesses importantes.

Pour éviter cela, supprimez les comptes anciens et inutilisés. Intégrez cette opération à votre plan de maintenance régulier du site.

Vous ne devez également accorder des privilèges qu'aux utilisateurs qui en ont besoin. Tous les utilisateurs n'ont pas besoin de privilèges d'éditeur ou d'administrateur.

De même, gardez un œil sur les comptes répertoriés. Parfois, les pirates créent un faux compte. Si un apparaît, supprimez-le immédiatement et renforcez le reste de vos mesures de sécurité. Découvrez quoi faire si votre site WordPress a été piraté.

Sécurisez votre page de connexion WordPress

Posséder un site Web, c'est assumer un niveau de responsabilité vis-à-vis de son contenu et de ses utilisateurs. Bien sûr, c'est doublement le cas si vous collectez des informations sur les clients. Mais quelle que soit la façon dont vous utilisez votre site WordPress, renforcer la sécurité autour de la page de connexion est un excellent moyen de protéger vos données à long terme.

Et les conseils présentés ici devraient vous aider à devenir efficace dans la maintenance de la sécurité de WordPress en un rien de temps.

Prêt à faire le premier pas ? Démarrez avec Jetpack Security.