WordPress comme CMS pour le site Web de votre entreprise est un choix judicieux.
Mais pour être honnête, WordPress est si populaire et utilisé par tant de sites avec toutes sortes d’extensions qu’il a potentiellement des tonnes de failles de sécurité.
Et cette popularité attire malheureusement aussi les pirates en tout genre.
J’ai demandé à Laurent ce qu’il conseille à nos clients pour sécuriser leur site :
Au minimum, installez l’extension WPS Hide Login pour modifier l’URL de connexion de votre console d’administration de WordPress. Cela limite les tentatives de connexion frauduleuses.
Si quelqu’un évoque les failles de sécurité autour de WordPress, écoutez-le avec soin. Ces failles sont à prendre très au sérieux.
Si vous avez créé un blog pour votre entreprise, c’est pour gagner des clients. Vous cherchez à croître son trafic. Il est donc naturel de sécuriser votre site le plus possible.
En effet, 73,2 % des failles WordPress sont détectables à l’aide d’outils automatisés gratuits (source WP WhiteSecurity).
Une personne malveillante ne prend que quelques minutes pour exécuter des outils automatisés capables de détecter et d’exploiter de telles vulnérabilités.
Cela montre l’importance de choisir une bonne solution d’hébergement Web et de mettre à jour régulièrement, voire automatiquement, vos extensions et le logiciel WordPress.
Mais en plus, je vous conseille de changer l’URL de votre page de login WordPress.
Évidemment, cette action ne va pas vous protéger pas à 100 %. Mais cela va décourager la plupart des pirates.
Cela ne vous dispense pas non plus d’installer un bon plugin de sécurité comme Securi.
Néanmoins, je constate que modifier l’URL de votre page de login WordPress est trop souvent négligée par les propriétaires de site Web sous WordPress.
En glanant sur Internet, j’ai identifié des dizaines d’extensions pour sécuriser l’accès à l’administration de WordPress. Et je recense les plugins plus populaires en bas de cet article.
Mais aujourd’hui, je suis le conseil de Laurent et vous parle de l’extension gratuite « WPS Hide Login » que j’utilise sur #audreytips pour modifier mon URL de connexion pour WordPress.
Table des matières
Pourquoi modifier l’URL de connexion de votre console WordPress ?
Si vous utilisez WordPress, l’URL de connexion à votre interface d’administration à sa valeur est par défaut :
votresite.fr/wp-admin
Pourquoi la changer ?
De la cosmétique, visible seulement par votre équipe, me direz-vous ?
Et non, détrompez-vous.
Les pirates, hackers et autres voyous du Web savent très bien que le site Web de votre entreprise est sous WordPress.
Pour vous en convaincre, utilisez l’une des 3 méthodes suivantes :
- Visualiser le code source d’une page de votre site Web pour repérer de multiples références à “WP”, soit WordPress,
- Encore plus simple, regarder dans le footer du site pour voir si un thème WordPress est cité,
- Ou encore plus simple, avec des outils de détection automatique de la technologie utilisée sur un site, comme Wappalyzer.
Une fois que le hacker sait que votre site est sous WordPress, l’étape suivante consiste à trouver la page d’administration de WordPress.
Ensuite, c’est de l’intrusion par “Force Brute” pour trouver le mot de passe et sûrement d’autres astuces.
Je ne suis pas une spécialiste de ce genre de procédés.
Mais les attaques de type « Force Brute » sont a priori la méthode la plus simple pour accéder à l’administration d’un site Web. Elles consistent, à faire tourner un programme informatique pour essayer des milliers de combinaisons de nom d’utilisateur et de mots de passe, encore et encore, jusqu’à trouver la bonne.
Évidemment, cette tâche est grandement facilitée si les hackers connaissent l’URL de connexion à votre console WordPress.
C’est pourquoi, il est fortement conseillé de ne pas garder l’URL par défaut. Ainsi, vous compliquez grandement leur tâche.
Alors, au minimum, rendez la vie difficile aux hackers en empêchant qu’ils trouvent trop facilement votre page d’accès admin WordPress !
Comment changer l’URL de connexion de WordPress
Par défaut, WordPress utilise /wp-admin/ comme URL de connexion pour administrer votre site. Le problème est que les robots, les pirates… recherchent cette URL pour identifier des vulnérabilités et/ou des points d’entrée dans votre site.
Laurent m’a aussi indiqué que sur le site de l’un de nos clients, il avait quotidiennement plusieurs centaines de tentatives infructueuses essayant d’accéder à son site.
Après avoir installé une extension gratuite, 99 % des tentatives de connexion ont été éliminées chez ce client.
Plusieurs extensions existent, et vous pouvez aussi changer l’URL de Connexion en demandant à votre développeur de procéder à des modifications sur le serveur de votre site.
Ceci étant dit, « WPS Hide Login » est le plugin pour sécuriser votre site que je vous conseille. Sur #audreytips, il ne m’a jamais fait défaut.
Suivez les 5 étapes ci-dessous pour installer et configurer ce plugin gratuit.
D’ici quelques minutes, vous aurez une URL unique de connexion et votre site sera un peu plus sécurisé.
En suivant les étapes de ce tutoriel, j’espère que je vais vous faire gagner du temps sur tous ces aspects techniques.
1. Ouvrir la page des Extensions
Depuis votre tableau de bord WordPress, dans la colonne de gauche, cliquez sur “Extensions” puis “Ajouter”.
2. Installer “WPS Hide Login”
Rechercher « WPS Hide Login », puis cliquer sur « Installer maintenant ».
Voyez la qualité de cette extension :
- Plus de 400.000 installations,
- Mise à jour régulièrement,
- Compatible avec la dernière version de WordPress,
- Une note de 4.9 sur 5…
Note : vous pouvez également télécharger « WPS Hide Login » à partir du répertoire des extensions de WordPress.
Les 2 points positifs de cette extension sont !
- Elle est super-légère,
- Elle ne nécessite aucune modification de votre fichier “.htaccess” (ça tombe bien je ne sais pas ce que c’est).
WPS Hide Login intercepte tout simplement les demandes de page.
3. Activer l’extension WPS Hide Login
Une fois installée, cliquez sur “Activer l’extension”. C’est tout bête !
4. Aller dans les paramètres de l’extension
Sous “Réglages” dans la colonne de gauche, cliquer sur “Général.”
5. Choisir votre nouvelle URL de connexion
En bas de la page, vous voyez un champ « URL de connexion ».
Saisissez quelque chose de créatif, simple à vous rappeler et que personne ne sera capable de deviner. N’oubliez pas ensuite d’enregistrer les modifications en cliquant sur le bouton bleu.
Par exemple, voilà ce que j’aurais pu choisir comme URL de connexion.
La prochaine fois que vous vous connectez, évidemment utilisez votre nouvelle connexion URL dans votre navigateur.
Vous pouvez aussi la mettre en signet dans votre navigateur.
Je l’ai utilisé cette extension depuis des années sur #audreytips sans avoir rencontré un seul problème.
De toutes façons, si vous avez des problèmes, désactivez tout simplement l’extension pour revenir à l’URL d’origine soit : /wp-admin/
Laurent recommande toujours l’installation de cette extension dès que sont abordés des sujets autour de sécuriser les données et l’activité professionnelle de nos clients.
3 autres extensions WordPress pour sécuriser votre Site Web
Je n’utilise pas d’autres extensions similaires pour me protéger contre les tentatives d’intrusion.
Mais en faisant des recherches sur l’annuaire des extensions de WordPress, vous trouvez de nombreuses extensions pour sécuriser votre site.
Parmi les plus populaires, j’ai retenu 3 extensions :
WP Limit Login Attempts
Noté 4.6 sur 5 par la communauté WordPress, Limit Login Attempts protège contre les attaques en limitant le nombre de tentatives de connexion.
Un peu comme la procédure de sécurité sur votre carte bleue qui limite à 3 les tentatives du code PIN.
Ainsi, il est plus difficile pour les pirates de deviner votre mot de passe sur la page de connexion.
iThemes Security
iThemes Security (anciennement Better WP Security) qui existe en version gratuite et premium « Pro ».
Il fournit en autre :
- Une validation en 2 étapes dont les experts de sécurité s’accordent pour dire que c’est l’une des “meilleures pratiques”,
- Un générateur de mots de passe hautement sécurisés, difficiles à deviner ou à subtiliser.
Il est noté 4.7 sur 5 par les utilisateurs de WordPress.
Wordfence
Avec une note de 4.8 sur 5 par la communauté WordPress, Wordfence gère toutes les questions critiques de sécurité de votre site Internet professionnel.
Il peut interdire des adresses IP et des plages d’adresses IP.
Comme un antivirus, il scanne vos fichiers WordPress pour recenser d’éventuels problèmes, selon une planification automatique ou sur demande.
Une version premium à 99 USD est aussi disponible. Elle offre encore plus de contrôle et de sécurité avec une mise en jour en temps réel des adresses IP à l’origine des attaques sur votre site et/ou sur d’autres sites sous WordPress.
J’imagine que la version gratuite est dans un premier temps largement suffisante pour vous, si vous pensez à la mettre à jour dès qu’une nouvelle version est disponible.
Que faire après avoir mis en place une connexion sécurisée ?
Ajouter un blog à votre site Web pour générer des prospects pour votre activité professionnelle est votre idée. En effet, le Marketing de Contenu est un des leviers du Marketing Digital très efficace pour y arriver.
Alors protégez votre site Internet au maximum.
Les attaques par « force brute » sont toujours aujourd’hui très fréquentes sur WordPress. Même si, heureusement, toutes les tentatives n’aboutissent pas, ne prenez aucun risque.
C’est l’objectif de ce petit tutoriel qui explique comment, en quelques minutes, modifier l’URL de connexion à votre console WordPress.
Vous venez de changer votre URL de connexion. La prochaine étape pour sécuriser encore plus votre site sous WordPress est de choisir un mot de passe robuste.
Avez-vous jugé utile de changer l’URL de connexion à votre console d’administration de WordPress ?
bonjour,
je viens d’appliquer votre procédure.
Problème : je n’arrive plus à me connecter avec la nouvelle adresse url.
que faire pour revenir en arrière ?
Exactement , je n’arrive pas aussi a me connecter apres avoir suivis ce tuto. j’ai du desactiver le plugin
Bizarre, nous l’avons installé sur des dizaines de sites sans aucun problème
Bonjour
Merci pour ces astuces rassurantes. Je viens de mettre en place les extensions conseillées.
Tout fonctionne parfaitement lors de la reconnexion.
Je reste fidèle à AudreyTips, Bravo !
Merci Florence
Merci pour vos explications et aiguillages vers des solutions. J’ai appliqué celle de changer l’URL grâce à l’extention gratuite proposée. Depuis les 2 derniers jours (48h) j’ai subi 70 tentatives d’intrusion via admin. Elles ont toutes été bloquées par des 999 (minutes et heures avec 1 seule tentative errorée). Du coup, des email d’avertissement WP. J’ai alors appliqué cette solution du changement de l’url par l’extention. A noter que j’avais déjà essayé de le faire par le fichier .htaccess mais il me restait à faire des essais. Finalement, celle proposée ici est bien la plus simple. Merci.