14 conseils essentiels pour protéger votre zone d'administration WordPress (mise à jour)
Voyez-vous beaucoup d'attaques sur votre zone d'administration WordPress? La protection de la zone administrative contre les accès non autorisés vous permet de bloquer de nombreuses menaces de sécurité courantes. Dans cet article, nous allons vous montrer quelques astuces et astuces essentielles pour protéger votre zone d'administration WordPress..
1. Utiliser un pare-feu d'application de site Web
Un pare-feu d'application de site Web ou WAF surveille le trafic du site Web et empêche les demandes suspectes d'atteindre votre site Web..
Bien qu'il existe plusieurs plugins de pare-feu WordPress, nous vous recommandons d'utiliser Sucuri. C’est un service de surveillance et de sécurité de site Web qui offre un WAF basé sur le cloud pour protéger votre site Web..
Tout le trafic de votre site Web passe d'abord par son proxy en nuage, où il analyse chaque demande et empêche les demandes suspectes d'atteindre votre site Web. Il empêche votre site Web d'éventuelles tentatives de piratage, de phishing, de logiciels malveillants et d'autres activités malveillantes..
Pour plus de détails, voyez comment Sucuri nous a aidés à bloquer 450 000 attaques en un mois..
2. Protéger par mot de passe le répertoire d'administration WordPress
Votre espace administrateur WordPress est déjà protégé par votre mot de passe WordPress. Cependant, l'ajout d'une protection par mot de passe à votre répertoire d'administrateur WordPress ajoute une couche de sécurité supplémentaire à votre site Web..
Commencez par vous connecter au tableau de bord de l'hébergement cPanel de votre hébergement WordPress, puis cliquez sur l'icône «Mot de passe de protection des répertoires» ou «Répertoire de confidentialité»..
Ensuite, vous devrez sélectionner votre dossier wp-admin, qui se trouve normalement dans le répertoire / public_html /..
Sur l'écran suivant, vous devez cocher la case en regard de l'option «Protéger par mot de passe pour ce répertoire» et donner un nom au répertoire protégé..
Après cela, cliquez sur le bouton Enregistrer pour définir les autorisations..
Ensuite, vous devez appuyer sur le bouton Précédent, puis créer un utilisateur. Vous serez invité à fournir un nom d'utilisateur / mot de passe, puis cliquez sur le bouton de sauvegarde.
Désormais, lorsque quelqu'un essaiera de visiter le répertoire d'administration WordPress ou wp-admin de votre site Web, il vous sera demandé de saisir le nom d'utilisateur et le mot de passe..
Pour des instructions plus détaillées, consultez notre guide sur la protection par mot de passe du répertoire d'administration WordPress (wp-admin)..
3. Toujours utiliser des mots de passe forts
Utilisez toujours des mots de passe forts pour tous vos comptes en ligne, y compris votre site WordPress. Nous vous recommandons d’utiliser une combinaison de lettres, de chiffres et de caractères spéciaux dans vos mots de passe. Cela rend plus difficile pour les pirates de deviner votre mot de passe.
Les débutants nous demandent souvent comment se souvenir de tous ces mots de passe. La réponse la plus simple est que vous n'en avez pas besoin. Il existe de très bonnes applications de gestion de mots de passe que vous pouvez installer sur votre ordinateur et vos téléphones..
Pour plus d'informations sur ce sujet, consultez notre guide sur la meilleure façon de gérer les mots de passe pour les débutants WordPress..
4. Utiliser la vérification en deux étapes pour l'écran de connexion WordPress
La vérification en deux étapes ajoute une autre couche de sécurité à vos mots de passe. Au lieu d'utiliser uniquement le mot de passe, il vous est demandé de saisir un code de vérification généré par l'application Google Authenticator sur votre téléphone..
Même si quelqu'un est capable de deviner votre mot de passe WordPress, il aura toujours besoin du code de Google Authenticator pour entrer..
Pour des instructions détaillées, consultez notre guide sur la configuration de la vérification en deux étapes dans WordPress à l'aide de Google Authenticator..
5. Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs de saisir des mots de passe autant de fois qu'ils le souhaitent. Cela signifie que quelqu'un peut continuer d'essayer de deviner votre mot de passe WordPress en entrant différentes combinaisons. Il permet également aux pirates d’utiliser des scripts automatisés pour déchiffrer les mots de passe..
Pour résoudre ce problème, vous devez installer et activer le plug-in Login LockDown. Lors de l'activation, allez visiter Paramètres "Login LockDown page pour configurer les paramètres du plugin.
Pour des instructions détaillées, consultez notre guide expliquant pourquoi vous devez limiter le nombre de tentatives de connexion dans WordPress..
6. Limiter l'accès de connexion aux adresses IP
Un autre moyen de sécuriser la connexion à WordPress consiste à limiter l’accès à des adresses IP spécifiques. Cette astuce est particulièrement utile si vous, ou seulement quelques utilisateurs de confiance, devez accéder à la zone d'administration..
Ajoutez simplement ce code à votre fichier .htaccess.
AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "Contrôle d'accès de WordPress Admin" AuthType Ordre de base refusé, autorise le refus de tout # liste blanche L'adresse IP de Syed est autorisée à partir de xx.xx.xx.xxx # liste blanche l'adresse IP de David est autorisée à partir de xx.xx .xx.xxx
N'oubliez pas de remplacer les valeurs xx par votre propre adresse IP. Si vous utilisez plusieurs adresses IP pour accéder à Internet, assurez-vous de les ajouter également..
Pour des instructions détaillées, consultez notre guide sur la limitation de l'accès à l'administrateur WordPress à l'aide de .htaccess..
7. Désactiver les astuces de connexion
Lors d'une tentative de connexion infructueuse, WordPress affiche des erreurs indiquant aux utilisateurs si leur nom d'utilisateur est incorrect ou leur mot de passe. Ces astuces de connexion peuvent être utilisées par quelqu'un pour des tentatives malveillantes.
Vous pouvez facilement masquer ces astuces de connexion en ajoutant ce code au fichier functions.php de votre thème ou à un plugin spécifique au site..
function no_wordpress_errors () return 'Quelque chose ne va pas!'; add_filter ('login_errors', 'no_wordpress_errors');
8. Demander aux utilisateurs d'utiliser des mots de passe forts
Si vous utilisez un site WordPress multi-auteurs, ces utilisateurs peuvent modifier leur profil et utiliser un mot de passe faible. Ces mots de passe peuvent être déchiffrés et donner à quelqu'un l'accès à la zone d'administration de WordPress.
Pour résoudre ce problème, vous pouvez installer et activer le plug-in Force Strong Passwords. Cela fonctionne par défaut et vous n'avez aucun paramètre à configurer. Une fois activé, il empêchera les utilisateurs de sauvegarder des mots de passe plus faibles..
Il ne vérifiera pas la force du mot de passe pour les comptes d'utilisateurs existants. Si un utilisateur utilise déjà un mot de passe faible, il pourra continuer à utiliser son mot de passe..
9. Réinitialiser le mot de passe pour tous les utilisateurs
Préoccupé par la sécurité des mots de passe sur votre site WordPress multi-utilisateurs? Vous pouvez facilement demander à tous vos utilisateurs de réinitialiser leurs mots de passe..
Tout d’abord, vous devez installer et activer le plugin Emergency Password Reset. Lors de l'activation, allez visiter Utilisateurs »Réinitialisation du mot de passe d'urgence page et cliquez sur le bouton 'Réinitialiser tous les mots de passe'.
Pour des instructions détaillées, consultez notre guide sur la procédure de réinitialisation des mots de passe pour tous les utilisateurs dans WordPress.
10. Garder WordPress à jour
WordPress publie souvent de nouvelles versions du logiciel. Chaque nouvelle version de WordPress contient des correctifs de bogues importants, de nouvelles fonctionnalités et des correctifs de sécurité..
L'utilisation d'une ancienne version de WordPress sur votre site vous laisse exposé aux exploits connus et aux vulnérabilités potentielles. Pour résoudre ce problème, vous devez vous assurer que vous utilisez la dernière version de WordPress. Pour plus d'informations sur ce sujet, consultez notre guide expliquant pourquoi vous devez toujours utiliser la dernière version de WordPress..
De même, les plugins WordPress sont souvent mis à jour pour introduire de nouvelles fonctionnalités ou résoudre des problèmes de sécurité ou autres. Assurez-vous que vos plugins WordPress sont également à jour.
11. Créer des pages de connexion et d'enregistrement personnalisées
De nombreux sites WordPress nécessitent que les utilisateurs s'enregistrent. Par exemple, les sites d’appartenance, les sites de gestion de l’apprentissage ou les magasins en ligne nécessitent que les utilisateurs créent un compte..
Cependant, ces utilisateurs peuvent utiliser leurs comptes pour se connecter à la zone d'administration de WordPress. Ce n'est pas un gros problème, car ils ne pourront que faire les choses permises par leur rôle d'utilisateur et leurs capacités. Cependant, cela vous empêche de limiter correctement l'accès aux pages de connexion et d'inscription, car vous en avez besoin pour que les utilisateurs puissent s'inscrire, gérer leur profil et se connecter..
Le moyen le plus simple de résoudre ce problème consiste à créer des pages de connexion et d’inscription personnalisées, de sorte que les utilisateurs puissent s’inscrire et se connecter directement à partir de votre site Web..
Pour des instructions détaillées, consultez notre guide sur la création de pages de connexion et d’inscription personnalisées dans WordPress..
12. En savoir plus sur les rôles et autorisations des utilisateurs WordPress
WordPress est livré avec un puissant système de gestion des utilisateurs avec différents rôles et fonctionnalités. Lors de l'ajout d'un nouvel utilisateur à votre site WordPress, vous pouvez sélectionner un rôle d'utilisateur pour lui. Ce rôle d'utilisateur définit ce qu'ils peuvent faire sur votre site WordPress.
L'attribution d'un rôle d'utilisateur incorrect peut donner aux utilisateurs plus de fonctionnalités que nécessaire. Pour éviter cela, vous devez comprendre quelles fonctionnalités sont associées à différents rôles d'utilisateur dans WordPress. Pour plus d'informations à ce sujet, consultez notre guide du débutant sur les rôles et autorisations des utilisateurs WordPress..
13. Limiter l'accès au tableau de bord
Certains sites WordPress ont certains utilisateurs qui ont besoin d'accéder au tableau de bord et d'autres qui n'en ont pas. Cependant, par défaut, ils peuvent tous accéder à la zone d'administration..
Pour résoudre ce problème, vous devez installer et activer le plug-in Remove Dashboard Access. Lors de l'activation, allez à Paramètres "Accès au tableau de bord page et sélectionnez les rôles des utilisateurs qui auront accès à la zone d'administration de votre site.
Pour des instructions plus détaillées, consultez notre guide sur la limitation de l'accès au tableau de bord dans WordPress..
14. Déconnectez les utilisateurs inactifs
WordPress ne déconnecte pas automatiquement les utilisateurs jusqu'à ce qu'ils se déconnectent explicitement ou ferment la fenêtre de leur navigateur. Cela peut être une préoccupation pour les sites WordPress avec des informations sensibles. C'est pourquoi les sites Web et les applications des institutions financières déconnectent automatiquement les utilisateurs s'ils ne sont pas actifs..
Pour résoudre ce problème, vous pouvez installer et activer le plug-in Idle User Logout. Lors de l'activation, allez à Paramètres "Déconnexion utilisateur inactif page et entrez le délai après lequel vous souhaitez que les utilisateurs soient automatiquement déconnectés.
Pour plus de détails, consultez notre article sur la déconnexion automatique des utilisateurs inactifs dans WordPress..
Nous espérons que cet article vous a aidé à apprendre de nouveaux conseils et astuces pour protéger votre zone d'administration WordPress. Vous voudrez peut-être aussi consulter notre guide ultime de sécurité WordPress étape par étape pour les débutants.
Si vous avez aimé cet article, abonnez-vous à nos tutoriels vidéo sur la chaîne YouTube pour WordPress. Vous pouvez aussi nous trouver sur Twitter et Facebook.