5 se dirige vers une page de connexion WordPress sécurisée

Article écrit par:
  • WordPress
  • Mise à jour: Oct 17, 2019

Protéger votre page de connexion ne peut pas être accompli par une technique spécifique, mais il y a certainement des étapes et plugins de sécurité gratuits vous pouvez prendre pour rendre les attaques beaucoup moins susceptibles de réussir.

La page de connexion de votre site est certainement l'une des pages les plus vulnérables de votre site Web. Nous allons donc commencer à rendre votre page de connexion au site WordPress un peu plus sécurisée.

1. Utilisez un mot de passe fort et un nom d'utilisateur étrange

Le fait de forcer brutalement les pages de connexion est l’une des formes courantes d’attaques Web que votre site Web est susceptible de subir. Si vous avez un mot de passe ou un nom d'utilisateur facile à deviner, votre site Web ne sera certainement pas qu'une cible, mais une victime.

Splash Data a compilé une liste des mots de passe fréquemment utilisés pour 2014.

Mot de passe par rang en termes d'utilisation.

  1. 123456
  2. Mot de passe
  3. 12345
  4. 12345678
  5. QWERTY
  6. 123456789
  7. 1234
  8. base-ball
  9. dragon
  10. Football

Si vous utilisez l'un de ces mots de passe et que votre site Web reçoit du trafic, votre site Web sera presque certainement supprimé tôt ou tard.

Utilisez des mots de passe forts et des noms d'utilisateur inhabituels. Auparavant avec WordPress, vous deviez commencer avec un nom d'utilisateur par défaut, mais ce n'est plus le cas. Néanmoins, la plupart des nouveaux administrateurs Web utilisent le nom d'utilisateur par défaut et doivent changer de nom d'utilisateur. Vous pouvez utiliser Admin Renamer Extended pour changer votre nom d'utilisateur admin.

Avec les plugins de sécurité, vous pouvez facilement imposer des mots de passe forts à tous vos utilisateurs. Vous ne voudriez pas que quelqu'un avec un accès de niveau éditeur utilise des mots de passe faibles maintenant, n'est-ce pas? Cela compromet grandement votre sécurité.

Utilisez un outil de génération de mot de passe aléatoire disponible en ligne comme Générateur de mot de passe sécurisé or Générateur de mot de passe de Norton or LastPass. Tous sont libres d'utiliser.

Si vous avez des difficultés à vous souvenir de vos mots de passe, vous pouvez utiliser KeePass Password Safe or Le gestionnaire de mots de passe de Dashlane.

2. Masquer la page de connexion et la page Wp-Admin

Un pirate informatique doit trouver votre page de connexion s'il a l'intention de la force brute la page de connexion pour accéder. Vous pouvez empêcher cela en utilisant ce que certains appellent la sécurité par obscurité, l'idée que cacher votre page de connexion vous protégera, vu que l'attaquant ne peut pas identifier un point d'entrée potentiel. Votre site Web serait l'équivalent d'une banque sans porte ou de tout autre point d'accès public.

La plupart des sites Web WordPress ont le point d'entrée de connexion sur votre sitewebsite.com/login.php.

Essayez de saisir webhostingsecretrevealed.net/login.php dans la barre d'adresse de votre navigateur. Ça ne marche pas Parce que ça n'existe pas. L'entrée de connexion pour RSE est situé sur une autre URL.

De même, vous pouvez modifier le point d’accès de votre site Web. Essentiellement nous changer l'URL de la page de connexion.

ProtectYourAdmin

Semblable à la page login.php, il y a le répertoire wp-admin qui doit également être protégé. C'est assez facile à faire avec l'un des deux plugins - WPS Masquer Connexion et Protégez votre administrateur.

3. SSL

SSL ou Secure Socket Layer est une couche de sécurité supplémentaire qui rend illisible toute information que vous envoyez et recevez entre votre navigateur et votre serveur. Si quelqu'un devait intercepter les informations, il ne pourrait pas les lire et cela n'aurait aucun sens.

SSL est toujours utilisé pour les portails de transactions financières et chaque fois que des informations sensibles sont partagées. Les sites Web stockent de nombreuses informations sur les utilisateurs et SSL permet de protéger ces informations.

De même, SSL fonctionne sur les pages de connexion en rendant le processus de communication entre le serveur et le serveur beaucoup plus sécurisé.

SimpleSSl

Pour les blogueurs individuels et les petites entreprises, un SSL gratuit et partagé - que vous pouvez généralement obtenir de votre fournisseur d'hébergement, Chiffronsou CloudFlare - est généralement plus que suffisant.

Pour les entreprises qui traitent le paiement des clients - il est préférable que vous acheter un certificat SSL dédié à partir de votre hôte Web ou d'une autorité de certification. SSL vraiment simple et WP Force SSL les deux vous aident à installer SSL sur votre site Web, une fois que vous avez acheté le certificat SSL.

4. Limiter le nombre de tentatives de connexion

Il s’agit d’une technique extrêmement simple pour arrêter les attaques par force brute sur votre page de connexion. Une attaque par force brute fonctionne en essayant d'obtenir votre nom d'utilisateur et votre mot de passe en essayant plusieurs combinaisons à plusieurs reprises.

Si l'adresse IP responsable de l'attaque est détectée, vous pouvez bloquer les tentatives répétées de forçage brutal et sécuriser votre site. C'est également la raison pour laquelle les attaques DDOS globales se produisent avec plusieurs adresses IP ayant différentes origines d'attaque, afin de mettre les services d'hébergement et la sécurité des sites Web au dépourvu.

LoginLockdown

Connexion LockDown et Solution de sécurité de connexion les deux offrent d'excellentes solutions pour protéger les pages de connexion de votre site Web. Ils suivent les adresses IP et limitent le nombre de tentatives de connexion pour protéger votre site Web.

5. Authentification à deux facteurs

Authentificateur Google est un plugin WordPress qui fonctionne via une application installée sur votre Android / iPhone / Blackberry. Le plugin génère un code QR que vous pouvez numériser avec votre appareil mobile ou vous pouvez entrer manuellement le code secret.

Code d'autorisation

Votre nom d'utilisateur nécessitera un code d'authentification généré sur votre appareil mobile pour vous connecter. Le plugin peut être utilisé utilisateur par utilisateur et n'est pas recommandé car les utilisateurs auront moins de privilèges. Étant donné qu'il est hautement improbable que le pirate informatique ait un accès physique à votre appareil mobile, la page de connexion de votre site Web sera réellement très sécurisée (en supposant qu'il n'y ait aucune autre vulnérabilité).

Sécurité supplémentaire

Nous avons expliqué comment masquer / renommer la page de connexion et le répertoire wp-admin, activer SSL sur les pages de connexion, utiliser une authentification à deux facteurs, limiter les tentatives de connexion et utiliser des mots de passe forts et des noms d'utilisateur inhabituels. Vous devez également savoir que certains hôtes Web imposent certaines de ces pratiques de sécurité à leurs utilisateurs.

Si vous le souhaitez, vous pouvez également utiliser un plugin de sécurité à part entière comme iThemes Sécurité or Wordfence qui offrent de nombreuses fonctionnalités de protection de connexion en plus des mesures de sécurité globales du site WordPress.

Non Article de sécurité WordPress est complet sans mentionner que la sécurité peut toujours être compromise. Planifiez à l'avance et sauvegardez votre site Web avec un outil gratuit tel que Updraft Plus ou un fournisseur de solutions premium comme VaultPress or Copain de sauvegarde.

J'espère que l'article a été utile et a rendu votre site Web un peu plus sûr.

À propos de Vishnu

Vishnu est un rédacteur pigiste de nuit, travaille comme analyste de données le jour.