Comment sécuriser la page de connexion WordPress ? (avec vidéo)

Dernière mise à jour - 8 juillet 2021

La sécurité du site Web est l'une des préoccupations courantes d'un propriétaire de site WordPress. Même si WordPress est une plateforme sécurisée, les sites font souvent l'objet de nombreuses tentatives de piratage. Généralement, les experts WordPress conseillent d'utiliser une solution de sécurité pour être prudent. Heureusement, plusieurs solutions de sécurité sont disponibles dans l'écosystème WordPress pour vous aider à protéger votre site Web. Et, il existe plusieurs stratégies que vous pouvez adopter pour protéger votre site contre les logiciels malveillants et les attaquants. Il est préférable de suivre ces pratiques pour vous assurer que votre site n'est pas vulnérable aux attaques. Dans cet article, nous aborderons quelques stratégies pour sécuriser votre page de connexion WordPress.

Utiliser un nom d'utilisateur et un mot de passe sécurisés

Vous devez avoir un nom d'utilisateur et un mot de passe sécurisés pour votre site WordPress. Cela vous aidera à sécuriser votre site contre les attaques par force brute. Les attaques par force brute sont des cas où les pirates tentent de violer la connexion à votre site en essayant sans relâche différentes combinaisons de nom d'utilisateur et de mots de passe. Avoir un nom d'utilisateur différent de celui par défaut "admin" est particulièrement important dans ce cas. Si vous conservez admin comme nom d'utilisateur, les pirates n'auront pas de mal à deviner votre nom d'utilisateur. L'une des premières mesures que vous pouvez prendre pour sécuriser votre page de connexion WordPress sera de changer le nom d'utilisateur d'admin en autre chose.

Maintenant, il sera de notoriété publique que vous devez utiliser un mot de passe sécurisé. WordPress, par défaut, génère des mots de passe forts même si vous pouvez en opter pour un plus faible. Les experts déconseillent fortement de choisir un mot de passe faible. Pour cela, vous pouvez utiliser l'un des plugins de sécurité populaires qui imposera l'utilisation d'un mot de passe fort. Si vous avez beaucoup d'utilisateurs externes, cela peut être une bonne approche pour rendre votre site plus sécurisé.

Limitez le nombre d'utilisateurs que vous ajoutez

Si vous autorisez d'autres utilisateurs à se connecter au backend de votre site, vous devez faire preuve de prudence. Le site devient plus vulnérable lorsque plusieurs utilisateurs sont autorisés à accéder à votre site en tant qu'administrateur. Donc, la chose sensée à faire sera d'éviter cela, sauf si cela est extrêmement nécessaire. Si votre site autorise le contenu généré par l'utilisateur, vous pouvez créer des rôles d'utilisateur et limiter les capacités de chaque rôle d'utilisateur en fonction de vos besoins spécifiques.

En savoir plus sur les rôles d'utilisateur WordPress et sur la façon dont vous pouvez personnaliser les capacités de l'utilisateur.

Limiter les tentatives de connexion

L'une des principales stratégies adoptées par les pirates est la tentative de connexion par force brute. Pour que cela réussisse, ils devront tenter de se connecter plusieurs fois à votre site. En limitant le nombre de tentatives de connexion, vous pouvez empêcher cette option. Il existe des outils disponibles dans l'écosystème WordPress qui vous aideront à limiter les tentatives de connexion sur votre site. Nous discuterons de quelques-unes des options de sécurité populaires que vous pouvez utiliser plus tard dans l'article.

Désactiver les indices de connexion

Un autre aspect sur lequel vous pouvez vous concentrer pour rendre votre page de connexion WordPress plus sécurisée serait de désactiver les indices de connexion proposés par WordPress. Fondamentalement, lorsque vous entrez un mot de passe ou un nom d'utilisateur incorrect, WordPress fournit un indicateur clair sur lequel les informations d'identification sont erronées. Par exemple, il affichera clairement un avertissement indiquant lequel est correct et ce qui est incorrect. Cela aidera les attaquants à savoir qu'ils ont correctement deviné le nom d'utilisateur ou le mot de passe.

Vous pouvez utiliser l'extrait de code ci-dessous pour désactiver ces indices de connexion. Collez simplement le code dans le fichier functions.php de votre thème.
function no_wordpress_errors(){
return 'You have entered the wrong credentials!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Cela affichera un message d'erreur générique plutôt qu'un message spécifique aidant les attaquants.

Personnaliser l'URL de connexion

Dans un autre article, nous avons expliqué comment accéder à la page de connexion de votre navigateur. Maintenant, c'est la méthode par défaut pour accéder à la page de connexion, ce qui est probablement la façon dont les pirates la voient également. Vous pouvez masquer la page de connexion et la rendre moins évidente pour la trouver afin d'éviter que les pirates ne tentent même de violer votre mur de sécurité.

Il existe des moyens de protéger la page de connexion ainsi que le répertoire wp-admin pour rendre votre site plus sécurisé. Vous pouvez utiliser le plug-in WPS Hide Login pour modifier la page URL en toute sécurité. Fondamentalement, il interrompt simplement les demandes de page et vous aide à afficher une URL personnalisée pour la connexion. Seuls les utilisateurs de votre site à qui vous fournissez cette URL pourront accéder à la page. Vous pouvez simplement désactiver le plugin pour ramener le site à la page de connexion par défaut.

Protéger le répertoire d'administration de WordPress

Votre site WordPress est essentiellement protégé par le mot de passe que vous utilisez. Selon les experts, vous pouvez ajouter une option de protection supplémentaire en protégeant par mot de passe le répertoire d'administration de WordPress. Vous pouvez le faire manuellement en vous connectant au cPanel de votre service d'hébergement. Ici, vous pourrez trouver le répertoire wp-admin, que vous pouvez protéger par mot de passe et créer des utilisateurs pouvant y accéder. Vous pouvez également le faire manuellement en créant également un fichier .htpasswds.

Obtenir un certificat SSL

SSL ou Secure Socket Layer crée une option de sécurité supplémentaire pour les sites Web. Il crypte la communication entre le serveur et le navigateur. Cela empêchera les pirates d'accéder aux informations, en particulier aux transactions financières en ligne. Avoir un certificat SSL pour votre site Web rendra également la page de connexion WordPress plus sécurisée. Vous pouvez soit acheter le SSL auprès d'un fournisseur tiers tel que Comodo. Ou, vous pouvez même obtenir un certificat SSL gratuit de Let's Encrypt. De nombreux services d'hébergement fournissent un SSL partagé gratuit lorsque vous optez pour l'un de leurs plans d'hébergement.

Vous pouvez en savoir plus sur les avantages d'obtenir un certificat SSL ici.

Authentification à deux facteurs

L'authentification à deux facteurs ajoute une autre étape de connexion lorsque les utilisateurs tentent de se connecter à votre site. Fondamentalement, lorsqu'un utilisateur essaie de se connecter, avec le nom d'utilisateur et le mot de passe, il devra entrer un code de vérification supplémentaire. Ce code de vérification sera envoyé à un autre appareil, qui est principalement un téléphone mobile. Ce n'est qu'une fois que l'utilisateur aura saisi ce code de vérification qu'il sera autorisé à accéder à votre site Web.

Google Authenticator crée des codes de vérification en 2 étapes sur le téléphone. De même, reCAPTCHA aidera à réduire les connexions indésirables sur votre site.

Mettez régulièrement à jour WordPress

En tant que propriétaire de site WordPress, vous avez peut-être déjà vu des mises à jour régulières du logiciel WordPress. C'est ainsi que WordPress introduit de nouvelles fonctionnalités et apporte des mises à jour de sécurité et des corrections de bogues. Il est très important de mettre à jour votre site Web avec la dernière version de WordPress. Si vous ne mettez pas à jour, votre site sera toujours vulnérable à de nombreuses menaces déjà prises en charge. De plus, avec les dernières mises à jour, vous obtiendrez également de nouvelles fonctionnalités.

Si vous utilisez plusieurs plugins et paramètres personnalisés sur votre site, assurez-vous que la nouvelle mise à jour ne casse rien. Vous pouvez avoir un calendrier de mise à jour pour vous assurer que tout est en ordre. Lisez notre article pour comprendre comment gérer les mises à jour de WordPress sans problème.

Utiliser un plugin de sécurité

Vous pouvez prendre de nombreuses précautions spécifiques pour sécuriser votre page de connexion WordPress. Cependant, il existe également des options qui vous aideront à prendre soin de la sécurité de votre site Web de manière globale. Dans l'écosystème WordPress, vous trouverez de nombreuses solutions qui prennent en charge de multiples aspects de la sécurité du site. Ils vous aideront avec la surveillance continue du site, la protection contre les logiciels malveillants, offriront des pare-feu et bien plus encore qui renforceront les défenses de votre site Web.

Jetons un coup d'œil à certains des plugins de sécurité WordPress importants qui peuvent vous aider à sécuriser votre site Web WordPress :

Jet pack

Jetpack assurera la protection de votre site par une surveillance continue, une sauvegarde régulière et une protection solide contre tout intrus indésirable. Voici quelques-unes des fonctionnalités pertinentes de Jetpack :

• Aide à prévenir les attaques par force brute
• Authentification sécurisée pour votre page de connexion WordPress.
• Analyse des logiciels malveillants
• Avertissez rapidement tout temps d'arrêt du site.
• Les sauvegardes sont enregistrées dans un emplacement différent et des options de restauration faciles.
• Signalez toutes les activités du site avec un calendrier précis.
• Filtre de commentaire.

Clôture des mots

Wordfence est une autre solution populaire qui offre une protection complète pour votre site WordPress. Vous trouverez de nombreuses fonctionnalités utiles comme indiqué ci-dessous:

• Pare-feu d'application Web pour bloquer le trafic malveillant vers votre site.
• Scanner de sécurité pour vérifier toute tentative de violation.
• Identifier les mots de passe violés et empêcher ces utilisateurs de se connecter.
• Surveillez le trafic en direct et bloquez les menaces perçues.
• Authentification à deux facteurs
• Réparation de fichiers.

MalCare

C'est l'une des options fiables qui offre une sécurité WordPress complète sans affecter les performances de votre site. Vous trouverez une option pour la suppression instantanée des logiciels malveillants avec ce plugin. Certaines des autres fonctionnalités à rechercher sont les suivantes :

• Analyse et suppression des logiciels malveillants
• Pare-feu WordPress
• Protection de la page de connexion WordPress.
• Renforcement de la sécurité

J'espère que cet article vous a donné une compréhension de base sur la façon de protéger votre page de connexion WordPress. Laissez-nous un commentaire si vous avez une question ou une idée à partager.

Vous pouvez également regarder le didacticiel vidéo ci-dessous pour une meilleure compréhension.

Lectures complémentaires

• Plugins de sécurité WordPress
• Erreurs de connexion WordPress courantes