WordPress comme CMS pour le site Web de votre entreprise est un choix judicieux.

Mais pour être honnête, WordPress est si populaire et utilisé par tant de sites avec toutes sortes d’extensions qu’il a potentiellement des tonnes de failles de sécurité.

Et cette popularité attire malheureusement aussi les pirates en tout genre.

J’ai demandé à Laurent ce qu’il conseille à nos clients pour sécuriser leur site :

Au minimum, installez l’extension WPS Hide Login pour modifier l’URL de connexion de votre console d’administration de WordPress. Cela limite les tentatives de connexion.

J’ai identifié des tonnes d’extensions pour sécurisent l’accès à l’administration de WordPress. D’ailleurs, je recense les plus populaires en bas de cet article.

Mais aujourd’hui, je suis le conseil de Laurent et vous parle de l’extension gratuite « WPS Hide Login » que j’utilise sur #audreytips pour modifier mon URL de connexion pour WordPress.

Pourquoi modifier l’URL de connexion de votre console WordPress

Si vous utilisez WordPress, l’URL de connexion à votre interface à sa valeur est par défaut : votresite.fr/wp-admin

Pourquoi la changer ?

De la cosmétique, visible seulement par votre équipe, me direz-vous ?

Et non, détrompez-vous.

Les pirates, hackers et autres voyous du Web savent très bien que le site Web de votre entreprise est sous WordPress.

Pour cela utilisez l’une des 3 méthodes suivantes :

  • Visualiser un site Web. Ouvrir le code source de la page pour repérer de multiples références à “wp”, soit WordPress,
  • Encore plus simple, regarder dans le footer du site pour voir si un thème WordPress est cité,
  • Ou encore plus simple, avec des outils de détection automatique de la technologie utilisée sur un site, comme Wappalyzer.

Une fois que le hacker sait que votre site est sous WordPress, l’étape suivante consiste à trouver la page d’administration de WordPress. D’où l’intérêt de ne pas garder l’URL par défaut pour compliquer leur tâche.

Ensuite, c’est de l’intrusion par “force brute” pour trouver le mot de passe et surement d’autres astuces dont je ne suis pas spécialiste.

Alors, au minimum, rendez la vie difficile aux hackers en empêchant qu’ils trouvent trop facilement votre page d’accès admin WordPress !

Comment changer l’URL de connexion de WordPress

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital

Par défaut, WordPress utilise /wp-admin/ comme URL de connexion pour administrer votre site. Le problème est que les robots, les pirates, …, recherchent cette URL pour identifier des vulnérabilités et/ou des points d’entrée dans votre site.

Mathieu m’a aussi indiqué que sur le site de l’un de ses clients, il avait quotidiennement plusieurs centaines de tentatives infructueuses essayant d’accéder à son site.

Après avoir installé une extension gratuite, 99% des tentatives de connexion ont été éliminées chez le client de Mathieu.

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital

Suivez les 5 étapes ci-dessous pour installer et configurer le plug-in gratuit que j’utilise pour modifier mon URL de connexion de mon site sous WordPress vers une URL unique afin de sécuriser son site au maximum.

En suivant ce tutoriel, j’espère vous faire gagner du temps sur ces aspects techniques.

1. Ouvrir la page des Extensions

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital

Depuis votre tableau de bord WordPress, cliquer sur “Extensions” puis “Ajouter”.

2. Installer “WPS Hide Login”

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital

Rechercher « WPS Hide Login » puis cliquer sur « Installer maintenant ».

Vous pouvez également télécharger « WPS Hide Login » à partir du répertoire des extensions de WordPress.

Les points positifs de cette extension sont qu’il est non seulement super léger mais qu’il ne nécessite pas de modifications à votre fichier “.htaccess” (ça tombe bien je ne sais pas ce que c’est).

Il intercepte tout simplement les demandes de page.

3. Activer l’extension WPS Hide Login

Cliquer sur “Activer l’extension”. C’est tout bête !

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital

4. Aller dans les paramètres de l’extension

Sous “Réglages” dans la colonne de gauche, cliquer sur “Général.”

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital
5. Choisir votre nouvelle URL de connexion

En bas de la page, vous verrez un champ « URL de connexion ».

Saisissez quelque chose de créatif que vous pouvez à la fois vous rappeler et que personne ne sera capable de deviner.

Je voulais me faire un peu de plaisir avec le mien. Appuyez ensuite sur « Enregistrer les modifications. »

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital

La prochaine fois que vous vous connecterez, évidemment utilisez votre nouvelle connexion URL dans votre navigateur.

Vous pouvez aussi la mettre en signet dans votre navigateur.

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital
Je l’ai utilisé cette extension depuis des années sur #audreytips sans avoir rencontré un seul problème.

De toutes façons, si vous avez des problèmes, désactivez tout simplement le plug-in de votre serveur pour utiliser votre URL d’origine /wp-admin/ à nouveau.

Laurent et Mathieu recommandent toujours l’installation de cette extension dès que sont abordés des sujets autour de sécuriser ses données et son activité.

3 autres extensions WordPress pour sécuriser votre Site Web

Sécuriser votre site WordPress avec une autre URL de connexion ! - Marketing Digital

Je n’utilise pas ces extensions mais en faisant des recherches, vous trouvez de nombreuses extensions pour sécuriser votre site.

Parmi les plus populaires, j’ai retenu 3 extensions :

WP Limit Login Attempts

Noté 4.6 sur 5 par la communauté WordPress, Limit Login Attempts protège contre les attaques en limitant le nombre de tentative de connexions.

Ainsi, il est plus difficile pour les pirates de deviner votre mot de passe sur la page de connexion.

iThemes Security

iThemes Security (anciennement Better WP Security) qui existe en version gratuite et premium « Pro ».

Il fournit en autre :

  • Une validation en 2 étapes dont les experts de sécurité s’accordent pour dire que c’est l’une des “meilleures pratiques”
  • Un générateur de mots de passe hautement sécurisés, difficiles à deviner ou à subtiliser.

Il est noté 4.7 sur 5 par la communauté WordPress.

Wordfence

Avec une  note de 4.8 sur 5 par la communauté WordPress, Wordfence qui gère toutes les questions critiques de sécurité de votre site. Il peut interdire des adresses IP et des plages d’adresses IP.

Comme un antivirus, il scanne vos fichiers WordPress pour recenser d’éventuels problèmes, selon une planification automatique ou sur demande.

Une version premium est aussi disponible qui offre encore plus de contrôle et de sécurité, bien que la version gratuite soit surement largement suffisante pour vous.

Et ensuite

J’espère que ce petit tutoriel « Comment modifier l’URL de connexion de WordPress pour sécuriser son site » vous a été utile.

Pour sécuriser encore plus votre site sous WordPress, choisissez un mot de passe robuste.

Pour connaître mes 3 astuces pour des mots de passe forts, apprenez comment choisir un mot de passe sécurisé.

 Avez-vous jugé utile de changer l’URL de connexion à votre console d’administration de WordPress ? 


Also published on Medium.