PROTÉGER SON ADMINISTRATION DE WORDPRESS

 

I. QU’EST CE QU’UNE ADMINISTRATION DE WORDPRESS ?

L’administration de WordPress est la partie du site où vous pouvez gérer et modifier votre site. Les administrateurs ont accès à tous les paramètres du site. Selon l’opération effectuée, vous pouvez  créer différents comptes avec différents rôles avec un accès limité au site.

Chaque jour, vous entendez parler de piratage de sites Web, d’espionnage de données réseau et de vol de mots de passe. La sécurité est devenue un aspect incontournable de la gestion d’un site de toute taille ou de tout public.

L’administration de WordPress comprend 3 parties : 

• La barre d’outils : le menu horizontal se trouvant en haut de l’écran, 
• Le menu principal : le menu vertical se trouvant au centre de l’écran,  
• L’espace de travail : au centre de l’écran. 

Il existe plusieurs façons de protéger votre site. Aujourd’hui, nous allons vous présenter les différents types de protection.  

II. GÉNÉRER UN CERTIFICAT SSL

Tout d’abord, créer un certificat SSL pour authentifier la connexion. Ces certificats sont généralement obtenus auprès d’une autorité de certification qui délivre des certificats que la plupart des navigateurs reconnaissent (100 $ à 500 $ par an). Peu d’utilisateurs ont accès à la partie administrateur du site Web, donc aucune autorité de certification n’est nécessaire ici. Vous pouvez créer votre certificat gratuitement.

III. CHOISIR UNE IDENTIFICATION DIFFICILE À DEVINER

L’une des premières étapes lors de l’installation de WordPress consiste à créer un compte administrateur. Ce compte vous donne un contrôle total sur le back-office, vous donnant un contrôle total sur la configuration des pages et des articles, des menus, des widgets, des listes d’utilisateurs et des extensions. Il est donc important de s’assurer que personne n’a accès à ce compte, car une intrusion réussie pourrait causer des dommages irréversibles au site. 

Pour éviter tous risques, “admin” est absolument interdit. Il s’agit du premier identifiant testé par les hackers. Votre nom, prénom, votre pseudo, le nom de votre site sont des identifiants à éviter. Cependant, en plus des lettres, vous pouvez également utiliser des chiffres et des caractères spéciaux tels que des traits d’union et des traits de soulignement.

 

IV. PARAMÉTRAGE DU NAVIGATEUR 

Lorsque vous accédez à votre page de connexion, vous verrez un avertissement de certificat non reconnu traditionnel. Dans tous les cas, acceptez le certificat (faites lui confiance car il vous appartient et vous venez de le créer). Chaque navigateur utilisé pour gérer le site web doit accepter le certificat. 

Si un jour vous recevez à nouveau l’avertissement lorsque vous vous connectez, faites attention! Cela signifie que le serveur fournit un certificat différent de celui que vous avez sélectionné et qu’il y a un problème de configuration ou qu’une personne ou bien un ordinateur altère la connexion.

Conseil: Évitez de vous connecter à votre site web pour protéger votre administrateur. L’attaquant cible également les connexions à tous les autres sites web, pas seulement aux blogs, ce qui pourrait entraîner une déconnexion complète du réseau.   

V. UTILISER UN MOT DE PASSE FORT

Tout au début on a parlé d’un identifiant difficile mais cela ne suffit pas s’il n’est pas accompagné d’un mot de passe robuste. A partir de la version 4.3, des mots de passe forts sont fournis automatiquement lors de la création de nouveaux utilisateurs. Évidemment, il sera impossible de s’en souvenir, mais vous pouvez l’écrire dans un endroit sûr, ensuite le mémoriser dans votre navigateur (pour la sécurité de votre administration, n’oubliez pas d’utiliser le mot de passe initial pour plus de sécurité). 

N’utilisez pas de mots, de noms ou de prénoms, si vous voulez choisir votre propre mot de passe. Car ces genres de mot de passe sont les premières choses à être trouvées en cas d’attaque par force brute. Le mot de passe doit être assez long par exemple 8 caractères ou plus et doit contenir des lettres majuscules et minuscules, des chiffres et même des caractères spéciaux. vous pouvez également ajouter des espaces. 

Pour créer des mots de passe robustes, vous pouvez utiliser  les sites de générateur de mot de passe.  

Changez toujours votre mot de passe si vous avez une activité suspecte sur votre site. vous pouvez économiser beaucoup de tracas en seulement une minute. C’est une bonne idée de le changer assez régulièrement, surtout si votre site a beaucoup de trafic et peut être plus vulnérable aux attaques. 

VI. PARAMÉTRAGE D’APACHE

L’activation de SSL dans Apache va vous permettre de renforcer encore plus la sécurité de l’administration de WordPress. 

Les versions non sécurisées rédigent les versions sécurisées de wp-login.php et wp-admin. Ces directives se chevauchent avec FORCE_SSL_ADMIN qui gère directement les redirections, mais gérer SSL au plus près du rôle Apache se protège d’éventuelles surprises dans les erreurs de configuration de WordPress.

La version sécurisée comprend des directives pour activer SSL et 3 commandes:

1. La première commande est la désactivation SSLv2 qui n’est plus valide. vous ne pouvez utiliser que la dernière version du protocole, TLSv1, en ajoutant “SSLv3” uniquement lors de la connexion à l’aide de Firefox, Opera ou Internet Explorer. attention: ceci n’est toujours pas pris en charge par Chrome.
2. La deuxième amène le client (navigateur) à utiliser l’algorithme dicté par le serveur (souvent le client choisit un algorithme faible).
3.  La dernière choisit un ensemble d’algorithmes suffisamment faibles à l’heure actuelle.

 

VII. LIMITER LE NOMBRE D’ADMINISTRATEURS

Plus un site a d’administrateurs, plus le risque d’être piraté est élevé. Après tout, il suffit que les autres administrateurs ne prennent pas ces précautions, car même avoir un nom d’utilisateur et un mot de passe difficiles à deviner peut compromettre la sécurité du site.   

Pour éviter les risques de piratage et bien sécuriser l’administration de WordPress, adoptez de bonnes habitudes:

• Généralement, un administrateur est suffisant pour chaque site donc limitez au maximum le nombre d’administrateurs.
• Si une personne de confiance nécessitant un accès administratif intervient sur votre site, autorisez un accès personnel direct ou créez un compte temporaire avec votre propre mot de passe choisi selon les règles ci-dessus. Une fois terminée, pensez à supprimer le compte et retirer les privilèges d’administrateur.
• Si vous devez utiliser plusieurs comptes d’administrateur, assurez-vous qu’ils ont tous des noms d’utilisateurs et des mots de passe complexes. Nous vous encourageons à respecter ces règles élémentaires de sécurité.
• Prenez aussi l’habitude de supprimer les comptes que vous n’utilisez pas, avec ou sans privilèges administratifs. Chaque compte augmente une attaque supplémentaire sur votre site.

Le but principal de l’administration de WordPress est de vous aider à publier et à gérer votre contenu. Pour la sécurité de votre administration, utilisez un identifiant dont vous êtes sûr que personne ne pourra le deviner ( ni votre nom, ni prénom), créer un mot de passe robuste ou utiliser celui qui a été proposé initialement pour éviter toute sorte d’attaque.