Plugins, Tutoriaux, Wordpress

Sécuriser votre admin WordPress

Avec la faille de sécurité découverte il y a plusieurs jours, le problème de sécurité de wordpress est de retour. Voici quelques solutions simples et efficaces pour protéger l’admin/dashboard de votre blog.

Déménagez la page de Login

Les robots peuvent facilement trouver votre page de login puisqu’elle est accessible par défaut à cette adresse : votresite.com/wp-admin. Pour éviter que les robots ou les personnes malveillantes puissent accéder à votre page de login, vous pouvez la déplacer.

La solution la plus simple est d’utiliser le plugin Stealth Login qui va vous permettre de choisir l’url à partir de laquelle vous accéderez à votre page de Login.

stealth-login

Limitez le nombre d’essais

Toujours en vue de contrer les attaques de robots ou personnes malveillantes qui essayeraient de trouver votre mot de passe, vous pouvez limiter le nombre d’essais de connexion. Cette solution existe déjà sur la plupart des téléphones portables (code PIN) et se met en place très facilement grâce au plugin wordpress Login Lockdown.

loginlockdown

Choisissez un mot de passe sécurisé

Plusieurs études montrent qu’une grande majorité d’internautes utilisent des mots de passe très simples (azerty etc.) mais aussi qu’ils utilisent ce même mot de passe partout.

strongpassword

Voici quelques conseils pour choisir votre mot de passe (via) :

  • Evitez les mots de passe trop simples : prénoms, “azerty”, “toto”, etc. Ils sont trop faciles à découvrir. De même, ne reprenez pas l’intitulé de votre compte ou une partie de cet intitulé dans votre mot de passe.
  • N’utilisez pas des informations connues par vos proches : votre lieu d’habitation, votre nom de jeune fille, votre date de naissance, le nom de votre animal de compagnie, etc. Ce genre de mot de passe est en effet très facile à deviner pour quelqu’un qui vous connaît un peu.
  • Mélangez de préférence lettres, chiffres et caractères spéciaux (!#$%-_). Les pirates informatiques utilisent en effet des programmes informatiques pour percer les mots de passe : tester un à un les mots du dictionnaire ne leur pose pas problème.
  • Alternez minuscules et majuscules, pour renforcer le niveau de sécurité de votre mot de passe.
  • Proscrivez les accents dans vos mots de passe

L’idéal reste d’utiliser un générateur de mot de passe pour avoir un mot de passe suffisamment long et compliqué. Le risque étant de ne pas se souvenir de ce mot de passe… Pour éviter cela, utilisez une solution de gestion de mot de passe comme Keepass (Mac – PC – Linux / gratuit) ou 1Password (Mac / payant).

Utilisez une connection sécurisé SSL

Le protocole SSL est sans doute l’une des meilleures solutions pour proposer une connexion sécurisée. Avec le SSL, vos urls prendront le format https://.

Attention toutefois, la connexion SSL est souvent proposée en option par les hébergeurs. Vérifiez donc que vous avez la possibilité de le faire ou utilisez votre propre certificat SSL.

Il vous suffit ensuite d’ajouter le code suivant dans le fichier wp-config.php

[php]
define(’FORCE_SSL_ADMIN’, true);
[/php]

Ou plus simple en core, d’installer le plugin wordpress Admin SSL qui n’est toutefois compatible que sur les versions supérieures à la 2.7.

Utilisez un cryptage de mot de passe

Le SSL n’étant pas accessible à tout le monde (coût), vous pouvez vous rabattre sur la solution proposée par le plugin Semisecure Login Reimagined qui utilise une clé RSA pour crypter le mot de passe. (Javascript nécessaire)

Doublez votre mot de passe

Mieux vaut deux fois qu’une ! Le hackeur peut trouver votre premier mot de passe avec chance mais pas le deuxième ! Pour mettre en place un deuxième mot de passe sur votre accès admin vous pouvez utiliser un fichier .htaccess ou plus simplement installer le plugin wordpress AskApache Password Protect qui va s’en charger pour vous.

askapache

Autorisez l’accès uniquement à certaines IP

De loin la solution la plus radicale mais aussi la plus contraignante. Effectivement, si vous limitez l’accès de l’admin à seulement quelques adresses IP, vous ne pourrez pas bloguer depuis un cyber café ou chez votre vieille tante. Pour mettre en place un filtre par IP, cela se passe également via un fichier .htaccess (pas de plugin cette fois).

Avec votre bloc note, créez un fichier texte htaccess.txt et mettez y ce code :

[php]
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic

order deny,allow
deny from all
# whitelist Syed’s IP address
allow from xx.xx.xx.xxx
# whitelist David’s IP address
allow from xx.xx.xx.xxx
# whitelist Amanda’s IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad’s IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
[/php]

Remplacez bien évidemment avec les adresses IP que vous utilisez (ou vos rédacteurs). Pour connaitre votre adresse IP : mon-ip.com

Uploadez ensuite ce fichier dans le dossier /wp-admin (à la racine de ce dossier) puis renommez-le en .htaccess (ajoutez le “.” devant et supprimez le “.txt”).

N’utilisez pas l’identifiant “admin”

Par défaut, wordpress va vous générer un mot de passe “strong” mais un identifiant commun : admin. Changez-le immédiatement par autre chose (évitez votre prénom en minuscule). En changeant cet identifiant vous rendez la tâche plus difficile au hackeur puisqu’il devra trouver également votre identifiant.

Pour supprimer l’utilisateur admin, vous devez en créer un nouveau qui aura les droits d’administrateur puis supprimer le compte créé par wordpress.

Cachez les messages d’erreur de la page de login

Les messages “wrong password” ou “invalid username” sont des informations qui vont aider le hackeur à retrouver votre mot de passe. Vous pouvez les cacher en ajouter le code suivant dans votre fichier function.php (se trouvant dans votre theme)

[php]
add_filter(‘login_errors’,create_function(‘$a’, ‘return null;’));
[/php]

errormessage

Attention toutefois car les messages d’erreurs disparaitront aussi pour vous et vos utilisateurs.

Utilisez un mot de passe à usage unique

Si vous voyagez beaucoup et/ou utilisez des ordinateurs publics ou connexions ouvertes (wifi public), je vous recommande le plugin One Time Password qui va vous permettre de renouveler le mot de passe après chaque session. Ainsi, si un hackeur récupère votre mot de passe il ne pourra pas le ré-utiliser. Cette solution reste néanmoins contraignante au quotidien.

Pour conclure, il existe de nombreuses façons de sécuriser l’accès à votre admin wordpress. Parmi celles proposées, il n’est pas nécessaire de toutes les mettre en place. Choisissez celle qui correspond le plus à vos besoins. Attention, nous n’avons parlé que de la sécurité de l’accès à votre admin, il y a d’autres points sensibles que les hackeurs peuvent utiliser. Suivez nos autres conseils de sécurité et gardez votre wordpress à jour.

Images©

ABONNEZ-VOUS à la mailing list, c'est GRATUIT !

Abonnez-vous à la mailing list et recevez plein d'infos intéressantes !

18 Comments

  1. Merci pour ces différentes propositions de sécurisation.
    Je ne pensais pas que WordPress proposait autant de plugin de sécurité.
    Toutefois je me demande si les hackeurs s’attaquent à n’importe quel petit blog (comme le mien par exemple) ou si plutôt il vise pas des blogs influents. 🙂

  2. Sympa cette compilation “d’astuces” pour sécuriser son blog!

    J’aurais bien tenter le cryptage par le plugin Semisecure Login Reimagined mais pas d’openssl sur pages perso de free…(ben oui vous allez me dire quelle idée d’héberger mon blog chez free hein 😉 )
    Si vous avez une autre solution…

    Merci

  3. Bonjour,
    J’ai renommé le noms de mas tables. j’ai changé par exemple la table wp_users par as_user. je suis passé pour cela par un plugin wordpress. Apparemment, le plugin m’a signalé un changement de noms avec succès. Sauf que je n’arrive plus à me loguer en tant qu’admin. Il me dit que je n’ai pas les droits d’administrateur. De plus, lorsque j’ouvre la page de connexion, une page m’indique une erreur 500. J’ai pourtant réinitialisé mon mot de passe comme indiqué sur wordpress. Auriez-vous une solution afin que je retrouve mes droits admin. Est ce que cela vient du fait que mes tables soient maintenant en as_ au lieu de wp_ ?
    Par avance merci

  4. Salut, je m’appelle MOHAMMED merci pour ce information très complet. Ne faudrait-il pas préciser que, pour réussir sur les digg-like et les social bookmarks. il vaut mieux avoir une équipe de supporters pour aider tes articles

    Veuillez agréez, Monsieur, mes salutations distinguées.

    Merci pour tes encouragements et merci de votre compréhension.

  5. La sécurité c’est important pour sûr, et même si votre site n’est pas super connu il risque d’être hacké. Je suis le webmaster de plusieurs sites et même si je suis parano, j’ai eu deux sites piratés. Un sous osCommerce et l’autre sous une vieille version de WP alors que le traffic de ce blog était proche de zéro… Le mieux reste de faire des sauvegardes régulières et de surveiller son site tous les jours.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Avant de partir

Abonnez-vous à la mailing list et recevez plein d'infos intéressantes !