Sécuriser la page de connexion WordPress

Comment sécuriser la page de connexion (wp-admin) de WordPress ?

PoursécuriserlaconnexionWordPressetprotégervotreback-office,ilestessentieldecombinerplusieursmesures:limiterlestentativesdeconnexion,changerl’URLpardéfautdevotrewp-admin,etsurtout,mettreenplacecorrectementladoubleauthentification(2FA)pourtouslesadministrateursafindebloquerefficacementlesattaquesparforcebrute.

Points clés à retenir

  • Limitezdrastiquementlestentativesdeconnexionpourcontrerlesattaquesparforcebrute.
  • Changezl’URLpardéfautdevotrewp-adminpourdissuaderlesattaquantsautomatisés.
  • Activezladoubleauthentification(2FA)pourtouslescomptesadministrateurs,c’estuneprotectionincontournable.
  • Utilisezdesmotsdepassecomplexesetuniquespourchaqueutilisateur.
  • MaintenezvotreinstallationWordPressàjourenpermanence.

Pourquoiest-ilcrucialdesécuriserl’accèsàvotreadministrationWordPress?

VotresiteWordPressestunecibleprivilégiéepourlescyberattaques.EntantqueCMSleplusutiliséaumonde,ilattirel’attentiondespiratesquicherchentdesfaillespouraccéderàvosdonnées,détournervotretrafic,ouinjecterdesmalwares.Lapagedeconnexion(`wp-login.php`ou`wp-admin`)estlaported’entréeprincipaleversvotreback-office,etdoncversl’ensembledevotresite.Lalaisservulnérable,c’estprendreunrisqueinconsidérépourvotreactivité.

43%
des sites web tournent sous WordPress
30 000
sites web piratés chaque jour
90%
des attaques sont des tentatives de connexion

Lesattaquesparforcebrutesontlaméthodelapluscourantepourtenterdepénétrervotreadministration.Desrobotstententdesmilliersdecombinaisonsd’identifiantsetdemotsdepassechaqueseconde,espéranttrouverlabonne.Sansprotection,c’estunequestiondetempsavantqu’unefaillenesoitexploitée.

«UnsiteWordPressnonsécuriséestuneporteouvertesurvotrebusiness.Nesous-estimezjamaisl’ingéniositédesattaquantsetlavaleurdevosdonnées.»

NicolasBuathierExpertWordPress,StudioMoveOn

💡 Bonàsavoir

Unsitecompromispeutentraînerunepertederéférencement,unedétériorationdevotreimagedemarque,etdescoûtsderemiseenétatconsidérables.Lapréventionesttoujoursmoinschèrequelaguérison.

CommentbloquerlesattaquesparforcebrutesurWordPress?

Lastratégielaplusefficacepourcontrerlesattaquesparforcebruteestdelimitertentativesconnexionwp.CelaconsisteàbloquertemporairementoudéfinitivementuneadresseIPaprèsuncertainnombred’échecsdeconnexion.

Utiliserunplugindesécurité

DespluginscommeWordfenceSecurity,iThemesSecurityouLimitLoginAttemptsReloadedsontexcellentspourcela.Ilssurveillentlestentativesdeconnexionetappliquentdesrèglesdeblocageautomatiques.

  • Wordfence:Permetdedéfinirlenombremaximumdetentativeséchouéesavantunblocagetemporaireoupermanent.
  • LimitLoginAttemptsReloaded:Plussimpleetléger,ilseconcentrespécifiquementsurlalimitationdestentativesdeconnexion.
⚠️ Erreurfréquente

Nepasconfigurercorrectementcespluginspeutentraînerleblocageaccidenteldevospropresaccès.Assurez-voustoujoursd’avoirunesolutionderepli(accèsFTP/cPanel)avanttoutemodificationmajeure.

Protectionparfichier.htaccess(pourexperts)

Pourlesutilisateursplusavancés,ilestpossibled’ajouterdesrèglesdanslefichier`.htaccess`pourrestreindrel’accèsàvotrepagedeconnexionuniquementàcertainesadressesIP.C’estuneméthodetrèsefficacesivosadministrateursseconnectenttoujoursdepuisdesIPstatiques. 

# BLOQUERL'ACCÈSAUWP-LOGINSAUFPOURCERTAINESIP
<Files wp-login.php>
  Order Deny,Allow
  Deny from all
  Allow from XXX.XXX.XXX.XXX # RemplacezparvotreadresseIP
  Allow from YYY.YYY.YYY.YYY # Ajoutezd'autresIPsinécessaire
</Files>

Faut-ilchangerl’URLdevotrepagedeconnexionWordPress(wp-admin)?

Pardéfaut,l’URLdeconnexionWordPressesttoujours`votresite.com/wp-login.php`ou`votresite.com/wp-admin`.C’estuneinformation