WordPress comme CMS pour le site Web de votre entreprise est un choix judicieux.

Mais pour être honnête, WordPress est si populaire et utilisé par tant de sites avec toutes sortes d’extensions qu’il a potentiellement des tonnes de failles de sécurité.

Et cette popularité attire malheureusement aussi les pirates en tout genre.

J’ai demandé à Laurent ce qu’il conseille à nos clients pour sécuriser leur site :

Au minimum, installez l’extension WPS Hide Login pour modifier l’URL de connexion de votre console d’administration de WordPress. Cela limite les tentatives de connexion frauduleuses.

Si quelqu’un évoque les failles de sécurité autour de WordPress, écoutez-le avec soin. Ces failles sont à prendre très au sérieux.

Si vous avez créé un blog pour votre entreprise, c’est pour gagner des clients. Vous cherchez à croître son trafic. Il est donc naturel de sécuriser votre site le plus possible.

En effet, 73,2 % des failles WordPress sont détectables à l’aide d’outils automatisés gratuits (source WP WhiteSecurity).

Une personne malveillante ne prend que quelques minutes pour exécuter des outils automatisés capables de détecter et d’exploiter de telles vulnérabilités.

Cela montre l’importance de choisir une bonne solution d’hébergement Web et de mettre à jour régulièrement, voire automatiquement, vos extensions et le logiciel WordPress.

Mais en plus, je vous conseille de changer l’URL de votre page de login WordPress.

Évidemment, cette action ne va pas vous protéger pas à 100 %. Mais cela va décourager la plupart des pirates.

Cela ne vous dispense pas non plus d’installer un bon plugin de sécurité comme Securi.

Néanmoins, je constate que modifier l’URL de votre page de login WordPress est trop souvent négligée par les propriétaires de site Web sous WordPress.

En glanant sur Internet, j’ai identifié des dizaines d’extensions pour sécuriser l’accès à l’administration de WordPress. Et je recense les plugins plus populaires en bas de cet article.

Mais aujourd’hui, je suis le conseil de Laurent et vous parle de l’extension gratuite « WPS Hide Login » que j’utilise sur #audreytips pour modifier mon URL de connexion pour WordPress.

Pourquoi modifier l’URL de connexion de votre console WordPress ?

Pourquoi modifier l'URL de connexion de votre console WordPress ?

Si vous utilisez WordPress, l’URL de connexion à votre interface d’administration à sa valeur est par défaut :

votresite.fr/wp-admin

Pourquoi la changer ?

De la cosmétique, visible seulement par votre équipe, me direz-vous ?

Et non, détrompez-vous.

Les pirates, hackers et autres voyous du Web savent très bien que le site Web de votre entreprise est sous WordPress.

Pour vous en convaincre, utilisez l’une des 3 méthodes suivantes :

  • Visualiser le code source d’une page de votre site Web pour repérer de multiples références à “WP”, soit WordPress,
  • Encore plus simple, regarder dans le footer du site pour voir si un thème WordPress est cité,
  • Ou encore plus simple, avec des outils de détection automatique de la technologie utilisée sur un site, comme Wappalyzer.

Une fois que le hacker sait que votre site est sous WordPress, l’étape suivante consiste à trouver la page d’administration de WordPress.

Ensuite, c’est de l’intrusion par “Force Brute” pour trouver le mot de passe et sûrement d’autres astuces.

Je ne suis pas une spécialiste de ce genre de procédés.

Mais les attaques de type « Force Brute » sont a priori la méthode la plus simple pour accéder à l’administration d’un site Web. Elles consistent, à faire tourner un programme informatique pour essayer des milliers de combinaisons de nom d’utilisateur et de mots de passe, encore et encore, jusqu’à trouver la bonne.

Évidemment, cette tâche est grandement facilitée si les hackers connaissent l’URL de connexion à votre console WordPress.

C’est pourquoi, il est fortement conseillé de ne pas garder l’URL par défaut. Ainsi, vous compliquez grandement leur tâche.

Alors, au minimum, rendez la vie difficile aux hackers en empêchant qu’ils trouvent trop facilement votre page d’accès admin WordPress !

Comment changer l’URL de connexion de WordPress

Comment changer l'URL de connexion de WordPress

Par défaut, WordPress utilise /wp-admin/ comme URL de connexion pour administrer votre site. Le problème est que les robots, les pirates… recherchent cette URL pour identifier des vulnérabilités et/ou des points d’entrée dans votre site.

Sécuriser votre site WordPress avec une autre URL de connexion !

Laurent m’a aussi indiqué que sur le site de l’un de nos clients, il avait quotidiennement plusieurs centaines de tentatives infructueuses essayant d’accéder à son site.

Après avoir installé une extension gratuite, 99 % des tentatives de connexion ont été éliminées chez ce client.

Plusieurs extensions existent, et vous pouvez aussi changer l’URL de Connexion en demandant à votre développeur de procéder à des modifications sur le serveur de votre site.

Ceci étant dit, « WPS Hide Login » est le plugin pour sécuriser votre site que je vous conseille. Sur #audreytips, il ne m’a jamais fait défaut.

Suivez les 5 étapes ci-dessous pour installer et configurer ce plugin gratuit.

D’ici quelques minutes, vous aurez une URL unique de connexion et votre site sera un peu plus sécurisé.

En suivant les étapes de ce tutoriel, j’espère que je vais vous faire gagner du temps sur tous ces aspects techniques.

1. Ouvrir la page des Extensions

Sécuriser votre site WordPress avec une autre URL de connexion !

Depuis votre tableau de bord WordPress, dans la colonne de gauche, cliquez sur “Extensions” puis “Ajouter”.

2. Installer “WPS Hide Login”

WPS Hide Login

Rechercher « WPS Hide Login », puis cliquer sur « Installer maintenant ».

Voyez la qualité de cette extension :

  • Plus de 400.000 installations,
  • Mise à jour régulièrement,
  • Compatible avec la dernière version de WordPress,
  • Une note de 4.9 sur 5…

Note : vous pouvez également télécharger « WPS Hide Login » à partir du répertoire des extensions de WordPress.

Les 2 points positifs de cette extension sont !

  • Elle est super-légère,
  • Elle ne nécessite aucune modification de votre fichier “.htaccess” (ça tombe bien je ne sais pas ce que c’est).

WPS Hide Login intercepte tout simplement les demandes de page.

3. Activer l’extension WPS Hide Login

Une fois installée, cliquez sur “Activer l’extension”. C’est tout bête !

Sécuriser votre site WordPress avec une autre URL de connexion !

4. Aller dans les paramètres de l’extension

Sous “Réglages” dans la colonne de gauche, cliquer sur “Général.”

Sécuriser votre site WordPress avec une autre URL de connexion !
5. Choisir votre nouvelle URL de connexion

En bas de la page, vous voyez un champ « URL de connexion ».

Saisissez quelque chose de créatif, simple à vous rappeler et que personne ne sera capable de deviner. N’oubliez pas ensuite d’enregistrer les modifications en cliquant sur le bouton bleu.

Par exemple, voilà ce que j’aurais pu choisir comme URL de connexion.

Sécuriser votre site WordPress avec une autre URL de connexion !

La prochaine fois que vous vous connectez, évidemment utilisez votre nouvelle connexion URL dans votre navigateur.

Vous pouvez aussi la mettre en signet dans votre navigateur.

Je l’ai utilisé cette extension depuis des années sur #audreytips sans avoir rencontré un seul problème.

De toutes façons, si vous avez des problèmes, désactivez tout simplement l’extension pour revenir à l’URL d’origine soit : /wp-admin/

Laurent recommande toujours l’installation de cette extension dès que sont abordés des sujets autour de sécuriser les données et l’activité professionnelle de nos clients.

3 autres extensions WordPress pour sécuriser votre Site Web

3 autres extensions WordPress pour sécuriser votre Site Web

Je n’utilise pas d’autres extensions similaires pour me protéger contre les tentatives d’intrusion.

Mais en faisant des recherches sur l’annuaire des extensions de WordPress, vous trouvez de nombreuses extensions pour sécuriser votre site.

Parmi les plus populaires, j’ai retenu 3 extensions :

WP Limit Login Attempts

Noté 4.6 sur 5 par la communauté WordPress, Limit Login Attempts protège contre les attaques en limitant le nombre de tentatives de connexion.

Un peu comme la procédure de sécurité sur votre carte bleue qui limite à 3 les tentatives du code PIN.

Ainsi, il est plus difficile pour les pirates de deviner votre mot de passe sur la page de connexion.

iThemes Security

iThemes Security (anciennement Better WP Security) qui existe en version gratuite et premium « Pro ».

Il fournit en autre :

  • Une validation en 2 étapes dont les experts de sécurité s’accordent pour dire que c’est l’une des “meilleures pratiques”,
  • Un générateur de mots de passe hautement sécurisés, difficiles à deviner ou à subtiliser.

Il est noté 4.7 sur 5 par les utilisateurs de WordPress.

Wordfence

Avec une note de 4.8 sur 5 par la communauté WordPress, Wordfence gère toutes les questions critiques de sécurité de votre site Internet professionnel.

Il peut interdire des adresses IP et des plages d’adresses IP.

Comme un antivirus, il scanne vos fichiers WordPress pour recenser d’éventuels problèmes, selon une planification automatique ou sur demande.

Une version premium à 99 USD est aussi disponible. Elle offre encore plus de contrôle et de sécurité avec une mise en jour en temps réel des adresses IP à l’origine des attaques sur votre site et/ou sur d’autres sites sous WordPress.

J’imagine que la version gratuite est dans un premier temps largement suffisante pour vous, si vous pensez à la mettre à jour dès qu’une nouvelle version est disponible.

Que faire après avoir mis en place une connexion sécurisée ?

Ajouter un blog à votre site Web pour générer des prospects pour votre activité professionnelle est votre idée. En effet, le Marketing de Contenu est un des leviers du Marketing Digital très efficace pour y arriver.

Alors protégez votre site Internet au maximum.

Les attaques par « force brute » sont toujours aujourd’hui très fréquentes sur WordPress. Même si, heureusement, toutes les tentatives n’aboutissent pas, ne prenez aucun risque.

C’est l’objectif de ce petit tutoriel qui explique comment, en quelques minutes, modifier l’URL de connexion à votre console WordPress.

Vous venez de changer votre URL de connexion. La prochaine étape pour sécuriser encore plus votre site sous WordPress est de choisir un mot de passe robuste.

 Avez-vous jugé utile de changer l’URL de connexion à votre console d’administration de WordPress ? 


Also published on Medium.