Êtes-vous inquiet pour la sécurité de votre site WordPress ? Recevez-vous chaque jour des spams concernant des tentatives de connexion non autorisées ? Chaque jour, le nombre d’utilisateurs de WordPress augmente. Alors que près de 40% des sites Web dans le monde sont développés sur WordPress, il est normal que de nombreux débutants rejoignent la tendance quotidiennement. La plupart des nouveaux utilisateurs de WordPress n’accordent pas beaucoup d’importance à la sécurité de leur page de connexion WordPress. Mais avec des outils d’attaque par force brute de pointe, encore et encore, il est possible de contourner la page de connexion WordPress protégée par mot de passe.
Les sites WordPress sont l’une des cibles les plus lucratives pour les voleurs numériques et les pirates informatiques pour diverses raisons. Chaque mois, des centaines de nouveaux cas surviennent où quelqu’un a perdu ses sites WordPress à cause de ces attaquants par force brute. Si certains pirates envoient en permanence des demandes d’accès à l’aide de votre page de connexion, l’accessibilité de votre site Web est automatiquement limitée en raison de l’énorme charge sur le serveur. En fin de compte, vous pourriez finir par perdre votre précieux site Web au profit des attaquants.
Il existe des méthodes testées et éprouvées dans la pratique qui peuvent aider à sécuriser son site WordPress. De plus, il existe de nombreux plugins WordPress disponibles qui peuvent vous aider à sécuriser encore plus votre site WordPress. En utilisant de telles mesures de précaution et des plugins WordPress, vous pouvez protéger votre site de tout accès non autorisé et des attaques par force brute.
Utilisez toujours un mot de passe à longue traîne et complexe
Un mot de passe fort peut être un cauchemar pour un pirate informatique. En fait, les outils qu’utilisent ces satanés hackers ne sont rien d’autre que des programmes informatiques. Ils fonctionnent également sur une logique prédéfinie. Si vous utilisez un mot de passe à longue queue qui contient également des chiffres et des symboles, ces mots de passe deviennent suffisamment compliqués pour percer l’algorithme des applications d’attaque par force brute. Les mots de passe tels que “admin”, “root”, email id, “1234”, etc. ne doivent en aucun cas être utilisés pour la connexion WordPress.
Vous pouvez utiliser le gestionnaire de mots de passe pour créer des mots de passe sécurisés et complexes, qui sont créés avec une lettre, un chiffre et des symboles aléatoires. Mais les experts recommandent de créer des mots de passe à partir de votre esprit, car l’esprit humain est bien plus complexe que n’importe quelle machine. Essayez de garder votre mot de passe/phrase de passe très aléatoire, sans signification et rendez-les très difficiles à mémoriser en utilisant des symboles aléatoires et plusieurs nombres. Vous pouvez également utiliser divers plugins générateurs de mots de passe de la boutique WordPress.
Limiter le nombre de tentatives de connexion
C’est l’une des meilleures armes contre les attaquants par force brute. Par défaut, le nombre de tentatives de connexion à WordPress est illimité, ce qui est un sérieux problème. Vous pouvez faire face à ce risque de sécurité simplement en utilisant le “Limiter les tentatives de connexion” brancher. Le plugin vous permet de limiter les tentatives de connexion par adresse IP et vous permet de mettre les adresses IP à temps pour une durée spécifiée. Par exemple, vous pouvez définir 3 tentatives, après quoi la saisie d’un mot de passe erroné mettrait l’adresse IP à un délai de 12 heures.
En utilisant un tel plug-in, vous n’avez pas besoin de mettre en œuvre un processus de codage ou de mise en œuvre complexe. C’est simple, rapide et sécurisé. Si vous recherchez un plug-in de limitation des tentatives de connexion, il existe de nombreuses autres options à utiliser telles que – Limiter les tentatives de connexion rechargées, WP Limiter les tentatives de connexion, Sécurité Wordfence, Tout en un WP Security, Tentatives de connexion WP, Verrouillage de la connexion, etc. En utilisant un tel plug-in “Limiter les tentatives de connexion”, vous rendez simplement les attaques par force brute obsolètes, car il ne peut pas exécuter plus que le nombre de tentatives de connexion autorisé par le plug-in.
Activer la double authentification avec l’authentificateur Google
Ce processus est également connu sous le nom d’authentification à deux facteurs et est considéré comme l’une des méthodes de connexion les plus sécurisées. Vous devez disposer de l’application d’authentification Google et du Plug-in WordPress Google Authenticator, pour configurer l’authentification à deux facteurs. Le tout fonctionne de telle manière que vous devez entrer votre nom d’utilisateur et votre mot de passe à chaque fois, ainsi qu’un code supplémentaire généré par l’application Google Authenticator. Ce code supplémentaire est généré à chaque fois que vous essayez de vous connecter, le code est donc unique à chaque fois.
Pour utiliser cette méthode, vous devez emporter votre smartphone avec vous au moment où vous vous connectez à votre administrateur WordPress. Le processus peut sembler un peu complexe au début, mais il offre une protection supplémentaire très sécurisée contre les attaquants de connexion.
Bien que le processus semble complexe, le processus de configuration est très simple. Tout d’abord, téléchargez le plugin WordPress « Google Authenticator » et installez-le. Après avoir installé le plugin, téléchargez et installez « l’application Google Authenticator » sur (Application Android, Application iOS) votre smartphone. Ici, vous pouvez simplement utiliser le code-barres dans les paramètres du plugin WordPress pour lier le plugin WordPress à votre application pour smartphone.
Désormais, chaque fois que vous ouvrez l’application Google Authenticator, le code de connexion de votre site WordPress sera généré encore et encore à intervalles réguliers. Vous pouvez vérifier et saisir le code dans votre écran de connexion WordPress chaque fois que vous essayez de vous connecter à votre panneau d’administration WordPress. Vous pouvez également utiliser la même « application Google Authenticator » avec plusieurs sites Web et services pour une authentification à deux facteurs.
En tant que propriétaire et administrateur de votre site WordPress, vous avez accès au fichier .htaccess. Avec l’accès au fichier .htaccess, vous avez également la possibilité de configurer un mot de passe supplémentaire. Si vous faites cela, vous pouvez avoir un avantage distinct sur les pirates informatiques bruts, car la connexion WordPress réelle ne peut même pas être appelée par un utilisateur tiers. Ainsi, les attaques par force brute peuvent être bloquées avant que la véritable tentative d’attaque ne se produise.
De cette façon, vous pouvez épargner massivement les appels vers votre site WordPress et l’accessibilité du site Web est toujours garantie dans tous les cas. La configuration d’une connexion .htaccess n’est pas non plus si compliquée que cela puisse paraître. Vous devez avoir accès à votre fichier .htaccess via votre accès FTP, mais le problème est que cela dépend des offres d’hébergement de votre hébergeur. Si disponible, vous aurez alors un éditeur de code pour éditer le fichier .htaccess et un nouveau fichier .htpasswd (ce fichier contient votre mot de passe) à créer.
Comment configurer le mot de passe .htaccess – Voici comment cela fonctionne
1. Tout d’abord, vous devez créer un nouveau fichier vide avec le nom .htpasswd dans le répertoire principal de votre site Web (c’est-à-dire là où le fichier .htaccess devrait déjà être) via votre accès FTP. N’oubliez pas que cela n’est possible que si votre fournisseur de services vous accorde un tel accès via votre offre de pack d’hébergement.
2. Si votre fournisseur d’hébergement propose Cpanel, vous pouvez facilement utiliser le gestionnaire de fichiers pour modifier et créer des fichiers. Et sinon il faut télécharger le nouveau, toujours vide .htpasswd fichier localement sur votre ordinateur et ouvrez-le et modifiez-le à l’aide du Bloc-notes ou de l’éditeur de code.
3. Dans le fichier, ajoutez le nom d’utilisateur et le mot de passe que vous souhaitez utiliser pour sécuriser votre site Web au format suivant :
Username:Password
Noter: remplacez le nom d’utilisateur et le mot de passe par celui que vous souhaitez définir.
Par exemple– Je souhaite ajouter quatre utilisateurs et leurs correspondants ceux qui peuvent accéder au site :
user1:password1 user2:password2 user3:password3
4. Enregistrez le fichier et téléchargez-le sur votre serveur d’hébergement.
De cette façon, nous pouvons ajouter un ou plusieurs utilisateurs qui peuvent accéder au site Web.
5. Maintenant, modifiez le fichier .htaccess fichier. Ajoutez le code donné suivant, mais n’oubliez pas de déterminer le chemin AuthUserFile vers votre fichier .htpasswd fichier et remplacez-le dans le code.
[code] <Files wp-login.php> AuthType Basic AuthName "My Protected Area" AuthUserFile /path/to/.htpasswd Require valid-user </Files> [/ code]
Une fois que vous avez terminé d’insérer le code dans le fichier .htaccess et également de télécharger le nouveau fichier .htpasswd avec votre code dans le répertoire principal de votre site Web, la requête de mot de passe devrait maintenant apparaître dans le navigateur et ainsi ajouter une couche supplémentaire de protection.
Utilisez toujours un nom d’utilisateur unique
Cette étape est généralement négligée par la plupart des utilisateurs, mais n’oubliez pas qu’un nom d’utilisateur unique peut également dissuader les tentatives de connexion non autorisées. Lors d’une attaque par force brute, les attaquants doivent non seulement déchiffrer le mot de passe, mais il doit également déchiffrer le nom d’utilisateur de ce mot de passe. Si vous utilisez votre adresse e-mail ou nommez votre identifiant, il est plus facile à deviner. À l’aide d’un outil d’attaque par force brute, en une minute, tout attaquant peut déterminer l’identifiant administrateur si vous utilisez un identifiant utilisateur aussi simple. De cette façon, vous aidez l’attaquant en créant délibérément un identifiant d’utilisateur hebdomadaire.
N’utilisez donc jamais votre identifiant de messagerie, votre nom ou votre nom123, [email protected], anyword123 comme identifiant. Tout comme pour créer un mot de passe à longue traîne, créez un identifiant d’utilisateur à longue traîne, difficile à détecter en utilisant une combinaison de lettres, de symboles et de chiffres.
Assurez-vous que vous utilisez un plug-in de pare-feu d’application de site Web
Le devoir d’un plug-in de pare-feu d’application de site Web (WAF) est de surveiller le trafic du site Web. Il bloque également toutes les demandes suspectes ou tentatives de connexion administrateur du serveur distant et des adresses IP. Vous pouvez utiliser n’importe quel plugin WAF comme Sécurité Wordfence, Sécurité MalCare, Cloudflare, Sécurité Sucuri, Bouclier de sécurité, etc.
L’utilisation d’un tel plug-in de pare-feu d’application garantit que tout trafic entrant passe d’abord par leur proxy cloud, où il peut être scanné et analysé. Il renforce la sécurité des sites Web, protège votre site contre les attaques de phishing, les tentatives de piratage, les infections par des logiciels malveillants, etc. De plus, ces plugins bloquent fréquemment la plupart du trafic entrant indésirable et suspect pour accéder aux données du site.
Protégez le répertoire administrateur à l’aide d’un mot de passe
En plus du panneau d’administration WordPress, vous devez également protéger le répertoire d’administration WordPress à l’aide d’un mot de passe fort. La plupart des gens n’utilisent aucun mot de passe pour protéger leur répertoire d’administration, ce qui n’est pas une bonne pratique, surtout si vous êtes préoccupé par la sécurité de votre site WordPress.
Comment configurer le mot de passe sur le répertoire d’administration WordPress
1. Tout d’abord, connectez-vous à votre tableau de bord cPanel de l’hébergement WordPress ;
2. Cliquez maintenant sur le ‘Répertoires protégés par mot de passe‘ ou alors ‘Confidentialité de l’annuaire‘ icône ;
3. Sélectionnez maintenant votre dossier wp-admin (normalement situé dans – /public_html/directory) ;
4. Cliquez ensuite sur la case à cocher de l’option « Protégez ce répertoire par mot de passe » et mettez un nom pour le répertoire d’administration.
5. Maintenant, vous devez cliquer sur le “sauver” et l’autorisation sera définie.
6. Allez ensuite à la page précédente et créez un nouvel utilisateur. Mettez un “Identifiant Mot de passe” lorsque vous y êtes invité et “enregistrer” une fois que vous avez terminé.
7. Désormais, pour visiter le répertoire d’administration WordPress de votre site Web, le nom d’utilisateur et le mot de passe vous seront demandés.
Désactiver la fonction d’indice de connexion
Cette fonctionnalité n’est pas du tout nécessaire et affaiblit en quelque sorte les fonctionnalités de sécurité de votre site. Assurez-vous donc de supprimer la fonctionnalité d’indices de connexion de la page de connexion WordPress. La plupart des thèmes WordPress ont cette fonctionnalité automatiquement intégrée et activée tout le temps. Pour masquer les astuces de connexion, vous pouvez copier et coller le code suivant dans le fichier functions.php de votre thème (collez à la fin et enregistrez-le).
function no_wordpress_errors(){ return 'Something is wrong!'; } add_filter( 'login_errors', 'no_wordpress_errors' );
Gardez toujours WordPress à jour
Conserver vos plugins WordPress et votre version WordPress est très important à la fois pour la sécurité et les performances. Avec des mises à jour ponctuelles, vous gardez votre site compatible avec les nouveaux plugins et améliorez également la capacité des plugins installés, ce qui garantit de meilleures performances et une meilleure sécurité.
Si vous utilisez une ancienne version de WordPress, vous ne saurez peut-être jamais quelles menaces de sécurité et quelles failles elle contient. Les pirates informatiques peuvent exploiter ces vulnérabilités pour supprimer votre système de sécurité obsolète. La même logique s’applique également aux plugins. Vous devez toujours mettre à jour tous vos plugins, en particulier les plugins de sécurité. Les mises à jour corrigent les bogues, améliorent la sécurité et ajoutent souvent de nouvelles fonctionnalités et options, alors ne manquez pas les mises à jour.
Utilisez la page de connexion personnalisée si possible
Si vous êtes un développeur de niveau avancé, ou si vous avez un budget à revendre, vous devriez envisager de développer une page de connexion et une page d’inscription personnalisées et dédiées. De nombreux sites Web disposent d’un tel système, mais normalement les propriétaires de sites WordPress, les blogueurs et les propriétaires de sites de commerce électronique à petite échelle ne l’utilisent pas comme règle de base.
Cependant, en utilisantg pages de connexion personnalisées et pages d’inscription personnalisées, le rend presque impossible pour les attaquants par force brute et les attaquants de connexion conventionnels à partir d’une connexion non autorisée.
Emballer
Comme vous pouvez le voir, il existe vraiment de nombreuses méthodes disponibles pour protéger votre connexion WordPress contre les accès non autorisés. S’il existe d’autres astuces, astuces ou méthodes que vous connaissez pour protéger la connexion WordPress, que j’ai peut-être manquées, commentez-les ci-dessous. Je suis très contente de vos retours et de vos conseils !
— to www.how2shout.com