Comment sécuriser votre site WordPress avec une autre URL de connexion ?

WordPress comme CMS pour le site Web de votre entreprise est un choix judicieux.

Mais pour être honnête, WordPress est si populaire et utilisé par tant de sites avec toutes sortes d’extensions qu’il a potentiellement des tonnes de failles de sécurité.

Et cette popularité attire malheureusement aussi les pirates en tout genre.

Ce que nous conseillons à nos clients pour sécuriser leur site :

Si quelqu’un évoque les failles de sécurité autour de WordPress, écoutez-le avec soin. Ces failles sont à prendre très au sérieux.

Si vous avez créé un blog pour votre entreprise, c’est pour gagner des clients. Vous cherchez à croître son trafic. Il est donc naturel de sécuriser votre site le plus possible.

En effet, 73,2 % des failles WordPress sont détectables à l’aide d’outils automatisés gratuits (source WP WhiteSecurity).

Une personne malveillante ne prend que quelques minutes pour exécuter des outils automatisés capables de détecter et d’exploiter de telles vulnérabilités.

Cela montre l’importance de choisir une bonne solution d’hébergement Web et de mettre à jour régulièrement, voire automatiquement, vos extensions et le logiciel WordPress.

Mais en plus, je vous conseille de changer l’URL de votre page de login WordPress.

Évidemment, cette action ne va pas vous protéger pas à 100 %. Mais cela va décourager la plupart des pirates.

Néanmoins, je constate que modifier l’URL de votre page de login WordPress est trop souvent négligée par les propriétaires de site Web sous WordPress.

En glanant sur Internet, j’ai identifié des dizaines d’extensions pour sécuriser l’accès à l’administration de WordPress. Et je recense les plugins plus populaires en bas de cet article.

Pourquoi modifier l’URL de connexion de votre console WordPress ?

Si vous utilisez WordPress, l’URL de connexion à votre interface d’administration à sa valeur est par défaut :

votresite.eu/wp-admin

Pourquoi la changer ?

De la cosmétique, visible seulement par votre équipe, me direz-vous ?

Et non, détrompez-vous.

Les pirates, hackers et autres voyous du Web savent très bien que le site Web de votre entreprise est sous WordPress.

Pour vous en convaincre, utilisez l’une des 3 méthodes suivantes :

  • Visualiser le code source d’une page de votre site Web pour repérer de multiples références à “WP”, soit WordPress,
  • Encore plus simple, regarder dans le footer du site pour voir si un thème WordPress est cité,
  • Ou encore plus simple, avec des outils de détection automatique de la technologie utilisée sur un site, comme Wappalyzer.

Une fois que le hacker sait que votre site est sous WordPress, l’étape suivante consiste à trouver la page d’administration de WordPress.

Ensuite, c’est de l’intrusion par “Force Brute” pour trouver le mot de passe et sûrement d’autres astuces.

Je ne suis pas une spécialiste de ce genre de procédés.

Mais les attaques de type « Force Brute » sont a priori la méthode la plus simple pour accéder à l’administration d’un site Web. Elles consistent, à faire tourner un programme informatique pour essayer des milliers de combinaisons de nom d’utilisateur et de mots de passe, encore et encore, jusqu’à trouver la bonne.

Évidemment, cette tâche est grandement facilitée si les hackers connaissent l’URL de connexion à votre console WordPress.

C’est pourquoi, il est fortement conseillé de ne pas garder l’URL par défaut. Ainsi, vous compliquez grandement leur tâche.

Alors, au minimum, rendez la vie difficile aux hackers en empêchant qu’ils trouvent trop facilement votre page d’accès admin WordPress !

Top Categories

Top Tags