Il n'y a rien de pire que de découvrir que votre site web a été compromis. La zone d'administration de WordPress est le principal point d'entrée pour les pirates, ce qui en fait la partie la plus critique de votre site à protéger.
Nous savons qu'il peut être stressant de penser aux attaques par force brute ou au vol de données. De nombreux propriétaires de sites web craignent de ne pas avoir les compétences techniques nécessaires pour sécuriser correctement leur tableau de bord.
La bonne nouvelle, c'est que vous n'avez pas besoin d'être un expert en sécurité pour avoir un impact énorme. D'après notre expérience dans la gestion de milliers de sites WordPress, nous avons constaté que quelques changements simples suffisent à construire une défense solide.
Dans ce guide, nous vous présenterons les conseils les plus efficaces pour sécuriser votre zone d'administration. Ces étapes simples vous apporteront la tranquillité d'esprit et maintiendront votre site web en sécurité.
Nous couvrirons de nombreux conseils, et vous pouvez utiliser les liens rapides ci-dessous pour naviguer entre eux :
- 1. Utiliser un pare-feu
- 2. Protéger par mot de passe le répertoire d'administration de WordPress
- 3. Toujours utiliser des mots de passe forts
- 4. Utiliser la vérification en deux étapes sur l'écran de connexion WordPress
- 5. Limiter les tentatives de connexion
- 6. Limiter l'accès de connexion aux adresses IP
- 7. Désactiver les indices de connexion
- 8. Exiger des utilisateurs qu'ils utilisent des mots de passe forts
- 9. Réinitialiser le mot de passe de tous les utilisateurs
- 10. Maintenir WordPress à jour
- 11. Créer des pages de connexion et d'inscription personnalisées
- 12. En savoir plus sur les rôles et permissions des utilisateurs WordPress
- 13. Limiter l'accès au tableau de bord WordPress
- 14. Déconnecter les utilisateurs inactifs
- Questions fréquemment posées sur la sécurisation de l'administration WordPress
- Ressources supplémentaires pour la sécurité WordPress
1. Utiliser un pare-feu
Un pare-feu d'application web (WAF) surveille le trafic de votre site et bloque les requêtes suspectes avant qu'elles n'atteignent votre serveur. C'est votre première ligne de défense contre les tentatives de piratage.
Bien qu'il existe plusieurs plugins de pare-feu WordPress, nous recommandons un pare-feu au niveau DNS comme Cloudflare. Les pare-feu au niveau DNS sont plus efficaces car ils bloquent les menaces au niveau du réseau, de sorte que le trafic malveillant n'atteint même pas votre site Web.
Chez WPBeginner, nous utilisons le plan d'entreprise de Cloudflare pour protéger notre site Web contre les tentatives de piratage, les logiciels malveillants et autres activités malveillantes. Pour des instructions de configuration étape par étape, consultez notre article sur la façon de configurer le CDN gratuit Cloudflare pour votre site Web.
Une autre excellente option est Sucuri, que nous avons précédemment utilisé. Pour plus de détails, consultez notre article sur les raisons pour lesquelles nous sommes passés de Sucuri à Cloudflare.
2. Protéger par mot de passe le répertoire d'administration de WordPress
Une autre astuce que nous avons trouvée extrêmement efficace est d'ajouter une protection par mot de passe au répertoire d'administration de WordPress. Cela ajoute une deuxième couche de défense, nécessitant deux mots de passe distincts pour accéder à votre tableau de bord.
Vous pouvez le faire depuis le panneau de configuration de votre hébergement Web WordPress. Voici les étapes pour cPanel :
- Connectez-vous à votre tableau de bord cPanel d'hébergement WordPress et cliquez sur l'icône « Confidentialité du répertoire ».
- Sélectionnez votre dossier
wp-admin, qui est généralement situé dans le répertoire/public_html/. - Cochez la case à côté de « Protéger ce répertoire par mot de passe » et donnez-lui un nom.
- Cliquez sur « Enregistrer », puis revenez en arrière pour créer un utilisateur avec un nouveau nom d'utilisateur et mot de passe.
Désormais, toute personne tentant d'accéder à votre page de connexion administrateur verra d'abord une invite d'authentification.
Cela bloque la plupart des attaques automatisées par bots.
Pour des instructions plus détaillées, consultez notre guide sur comment protéger par mot de passe le répertoire d'administration WordPress (wp-admin). Veuillez noter que ces étapes s'appliquent aux hébergeurs utilisant cPanel. Si vous utilisez un panneau de contrôle différent, consultez la documentation de votre hébergeur.
3. Toujours utiliser des mots de passe forts
Vous devez utiliser des mots de passe forts et complexes pour tous vos comptes WordPress. Les mots de passe faibles sont l'une des raisons les plus courantes pour lesquelles les sites Web sont piratés.
Un mot de passe fort utilise une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux (!, #, @, %, etc.). Plus il est long, plus il sera sécurisé.
Il est presque impossible de se souvenir de dizaines de mots de passe complexes. C'est pourquoi toute notre équipe chez WPBeginner utilise une application de gestion de mots de passe comme 1Password pour générer et stocker en toute sécurité des mots de passe uniques pour chaque service.
Pour plus d'informations sur ce sujet, consultez notre guide sur la meilleure façon de gérer les mots de passe pour les débutants WordPress.
4. Utiliser la vérification en deux étapes sur l'écran de connexion WordPress
La vérification en deux étapes, également connue sous le nom d'authentification à deux facteurs (2FA), ajoute une autre couche de sécurité critique. Nous utilisons la 2FA non seulement sur nos sites Web WordPress, mais sur tous nos comptes en ligne où l'option est disponible.
Après avoir saisi votre mot de passe, vous devez également fournir un code sensible au temps généré par une application sur votre téléphone, comme 1Password ou Authenticator. Même si un pirate informatique vole votre mot de passe, il ne pourra pas se connecter sans votre téléphone.
Pour des instructions détaillées étape par étape, consultez notre guide sur la façon de configurer la vérification en 2 étapes dans WordPress en utilisant Google Authenticator.
5. Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs d'essayer de se connecter autant de fois qu'ils le souhaitent. Cela permet aux pirates informatiques d'utiliser des scripts automatisés pour essayer des milliers de combinaisons de mots de passe dans ce qui est connu sous le nom d'« attaque par force brute ».
Vous pouvez facilement arrêter cela en installant le plugin Limit Login Attempts Reloaded. Après activation, allez dans Paramètres » Tentatives de connexion limitées pour configurer le nombre de tentatives échouées autorisées avant qu'une adresse IP ne soit temporairement bloquée.
Pour des instructions détaillées, consultez notre guide sur pourquoi vous devriez limiter les tentatives de connexion dans WordPress.
Pour en savoir plus sur le plugin, vous pouvez également consulter notre examen détaillé de Limit Login Attempts.
6. Limiter l'accès de connexion aux adresses IP
Attention : Il s'agit d'une technique avancée et ne doit être utilisée que si vous avez une adresse IP statique (fixe). La plupart des connexions Internet domestiques utilisent des adresses IP dynamiques qui changent régulièrement. Si vous utilisez cette méthode avec une adresse IP dynamique, vous vous bloquerez vous-même hors de votre propre site Web.
Si vous avez une adresse IP fixe, vous pouvez restreindre l'accès à votre zone d'administration à cette seule adresse. Ajoutez simplement ce code à votre fichier .htaccess :
N'oubliez pas de remplacer les valeurs 'xx' par votre propre adresse IP. Vous pouvez facilement trouver votre adresse IP actuelle en recherchant « quelle est mon adresse IP » sur Google. Si vous utilisez plus d'une adresse IP, assurez-vous de les ajouter également.
Pour des instructions détaillées, consultez notre guide sur la façon de limiter l'accès à l'administration WordPress à l'aide de .htaccess.
7. Désactiver les indices de connexion
Lorsqu'une connexion échoue, WordPress vous indique si le nom d'utilisateur ou le mot de passe était incorrect. Bien qu'utiles pour les utilisateurs, ces indices confirment également un nom d'utilisateur valide à un attaquant, lui facilitant ainsi la tâche.
Vous pouvez masquer ces astuces en ajoutant le code suivant au fichier functions.php de votre thème. Cependant, nous vous recommandons d'utiliser un plugin d'extraits de code comme WPCode. C'est une méthode beaucoup plus sûre pour gérer le code personnalisé sans risquer d'erreurs sur le site.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Pour plus de détails, consultez notre guide sur comment ajouter du code personnalisé dans WordPress sans casser votre site.
8. Exiger des utilisateurs qu'ils utilisent des mots de passe forts
Si vous gérez un site WordPress multi-auteurs, un seul utilisateur avec un mot de passe faible peut créer une vulnérabilité pour tout le monde. Vous pouvez imposer une politique de mots de passe forts pour éviter cela.
Pour ce faire, vous pouvez installer et activer le plugin Solid Security (anciennement connu sous le nom de iThemes Security), créé par l'équipe de SolidWP.
Ensuite, vous pouvez suivre les étapes de notre guide complet sur comment forcer les mots de passe forts pour les utilisateurs dans WordPress.
9. Réinitialiser le mot de passe de tous les utilisateurs
Pour les sites WordPress multi-utilisateurs, vous pouvez améliorer la sécurité en obligeant tous les utilisateurs à réinitialiser leurs mots de passe. Ceci est particulièrement utile si vous suspectez une violation de sécurité ou si vous souhaitez simplement appliquer une nouvelle politique de mots de passe.
Tout d'abord, installez et activez le plugin Emergency Password Reset. Après activation, allez sur la page Utilisateurs » Emergency Password Reset et cliquez sur le bouton « Réinitialiser tous les mots de passe ».
Pour des instructions détaillées, consultez notre guide sur comment réinitialiser les mots de passe de tous les utilisateurs dans WordPress.
10. Maintenir WordPress à jour
WordPress publie fréquemment de nouvelles versions pour ajouter des fonctionnalités et corriger les vulnérabilités de sécurité. Utiliser une version obsolète de WordPress, de vos plugins ou de votre thème est l'un des plus grands risques de sécurité que vous puissiez prendre.
Assurez-vous toujours d'utiliser la dernière version du logiciel WordPress, ainsi que de tous vos plugins et thèmes. Pour en savoir plus à ce sujet, consultez notre guide sur pourquoi vous devriez toujours utiliser la dernière version de WordPress.
11. Créer des pages de connexion et d'inscription personnalisées
Pour les sites qui nécessitent l'inscription d'utilisateurs, tels que les sites d'adhésion ou les boutiques en ligne, vous devriez créer des pages de connexion et d'inscription personnalisées.
Cela empêche les utilisateurs non administrateurs d'avoir à voir ou à accéder à l'écran de connexion WordPress par défaut. Cela offre une expérience utilisateur plus professionnelle et vous permet de verrouiller complètement l'accès standard à wp-admin sans affecter vos membres ou clients.
La façon la plus simple de faire cela est d'utiliser un plugin comme WPForms, qui dispose d'un puissant module complémentaire d'enregistrement d'utilisateurs. Pour des instructions détaillées, consultez notre guide sur la façon de créer des pages de connexion et d'inscription personnalisées dans WordPress.
12. En savoir plus sur les rôles et permissions des utilisateurs WordPress
WordPress dispose d'un système de gestion d'utilisateurs intégré avec différents rôles et capacités. L'attribution d'un mauvais rôle peut donner à un utilisateur beaucoup plus de permissions que nécessaire, créant un risque de sécurité potentiel.
Il est important de comprendre ce que chaque rôle peut faire avant d'ajouter des utilisateurs à votre site. Voici les 5 rôles par défaut :
- Administrateur : A un accès complet à tous les paramètres et contenus du site.
- Éditeur : Peut publier et gérer tous les articles, y compris ceux des autres utilisateurs.
- Auteur : Peut publier et gérer ses propres articles uniquement.
- Contributeur : Peut écrire et gérer ses propres articles, mais ne peut pas les publier.
- Abonné : Peut uniquement se connecter et gérer son propre profil.
Pour une explication complète, consultez notre guide pour débutants sur les rôles et permissions d'utilisateurs WordPress.
13. Limiter l'accès au tableau de bord WordPress
Sur certains sites, certains utilisateurs n'ont peut-être pas du tout besoin d'accéder au tableau de bord WordPress. Par défaut, tout utilisateur peut se connecter et voir la zone d'administration, même si ses capacités sont limitées.
Pour résoudre ce problème, installez et activez le plugin Remove Dashboard Access. Après activation, allez dans Paramètres » Accès au tableau de bord et sélectionnez les rôles d'utilisateurs qui peuvent accéder à la zone d'administration. Les autres peuvent être redirigés vers la page d'accueil ou une autre URL.
Pour des instructions plus détaillées, consultez notre guide sur comment limiter l'accès au tableau de bord dans WordPress.
14. Déconnecter les utilisateurs inactifs
Les utilisateurs connectés qui s'éloignent de leur ordinateur peuvent présenter un risque de sécurité. Si leur ordinateur est public ou partagé, quelqu'un d'autre pourrait accéder à leur compte.
Vous pouvez résoudre ce problème en installant le plugin Inactive Logout. Allez dans Paramètres » Déconnexion automatique et définissez un délai. Après cette période d'inactivité, les utilisateurs seront déconnectés automatiquement.
Pour plus de détails, consultez notre article sur comment déconnecter automatiquement les utilisateurs inactifs dans WordPress.
Questions fréquemment posées sur la sécurisation de l'administration WordPress
Quelle est l'étape la plus importante pour sécuriser ma zone d'administration WordPress ?
L'utilisation d'un pare-feu d'application Web (WAF) est la première étape la plus critique. Un bon pare-feu, comme Cloudflare ou Sucuri, bloque le trafic malveillant avant qu'il n'atteigne votre site, empêchant ainsi un large éventail d'attaques.
Faut-il vraiment protéger par mot de passe le répertoire wp-admin ?
Bien que non obligatoire, c'est très efficace. Cela ajoute une deuxième couche d'authentification qui arrête presque tous les bots automatisés qui tentent de forcer votre page de connexion par force brute. C'est un changement simple qui améliore considérablement la sécurité.
Puis-je être bloqué hors de mon propre site en suivant ces conseils ?
Oui, si vous ne faites pas attention. Le conseil de limiter l'accès à la connexion à des adresses IP spécifiques est destiné aux utilisateurs avancés ayant une adresse IP statique uniquement. Si vous utilisez une adresse IP normale et dynamique, vous vous bloquerez vous-même. Sauvegardez toujours votre site avant de modifier des fichiers comme .htaccess.
Ressources supplémentaires pour la sécurité WordPress
Nous espérons que cet article vous a aidé à découvrir de nouveaux conseils et astuces pour protéger votre zone d'administration WordPress.
Vous voudrez peut-être aussi consulter nos autres guides d'experts pour garder votre site en sécurité :
- Le guide ultime de la sécurité WordPress – Étape par étape
- Meilleurs plugins de sécurité WordPress pour protéger votre site (comparés)
- Comment scanner votre site WordPress à la recherche de code potentiellement malveillant
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Danang Sukma
Merci pour votre publication.
J'utilise la protection par mot de passe pour mon dossier wp-admin dans cPanel, est-ce suffisant ?
mby
euh quelle info utile les gars, ça peut sûrement aider !!
merci pour la publication ! ^_^
anthony
C'est une excellente information que je vais mettre en œuvre dès que possible ! J'ai déjà eu mon blog piraté, j'étais donc inquiet à ce sujet. Merci beaucoup !!
shoaib hussain
Je passe d'un article à l'autre sur votre blog et j'adore ça. Merci beaucoup. Je suppose que je vais devoir m'abonner maintenant.
tzutzu
Article génial !! Merci pour cette information
Marlin
Merci Belle liste, cela aidera sûrement à sécuriser le panneau d'administration de WordPress.
Abhilash Thekkel
Conseils très utiles. Merci
Jessica
J'apprends actuellement le développement WP. Je veux créer un site e-commerce avec WordPress en utilisant le plugin WP e-Commerce. Quelqu'un sait si ces conseils permettront de sécuriser mon site e-commerce.
Personnel éditorial
Assurez-vous d'avoir la protection SSL sur votre site e-commerce pour toutes les transactions. Ceci est uniquement pour protéger votre zone d'administration.
Admin
Ursula Comeau
Wow – c'est un article génial ! Merci beaucoup de partager toutes ces informations – et quelques excellents plugins aussi !
In a world where security has become top priority, these are very important things to be aware of with a WordPress installation. Really appreciate your transparency and willingness to share this information! I’ll be tweeting this one.
Lilia
Le problème avec les plugins, c'est qu'ils ne sont pas toujours compatibles avec toutes les versions, et qu'ils ne sont pas toujours mis à jour.
Personnel éditorial
La plupart des plugins sont compatibles avec les versions plus récentes, et si le développeur décide d'arrêter le développement du plugin, d'autres prennent souvent le relais et créent un plugin avec des correctifs pour les futures versions. Il faut juste rester actif dans la communauté.
Admin
Smashing Themes
Sérieusement les gars, changez le nom de votre site en WP ROCKER, vous déchirez. J'ai installé trois plugins pour protéger mon panneau d'administration après avoir lu cet excellent article.
Dagmar
Il existe également des plugins payants – c'est-à-dire « WP Secure » qui prétend également sécuriser votre WP contre les pirates. Il fonctionne également sur le résumé de certains des principes ci-dessus – c'est-à-dire une page de connexion personnalisée, une confirmation d'un seul IP, etc.
Vaut-il la peine d'acheter ? = quelqu'un sait-il si c'est plus facile à utiliser pour les non-techniciens que certains de ceux mentionnés ci-dessus ?
Personnel éditorial
Si vous pouvez faire le travail gratuitement, quel est l'intérêt de payer ?
Admin
iHacks
Lien vers le plugin WordPress Firewall ?
Personnel éditorial
Ça marche maintenant.
Admin
Kjetil
Salut
Merci beaucoup pour vos conseils.
Concernant le conseil 8, je me demande comment insérer le code
`add_filter(’login_errors’,create_function(’$a’, “return null;”));`
Quelle est la fonction complète à utiliser ?
J'aimerais essayer car j'utilise déjà AskApache Password Protect et ce plugin est incompatible avec Secure Wordpress.
Merci,
Kjetil
– http://www.dolcevita.no
Personnel éditorial
Vous allez dans functions.php et vous insérez ce code. C'est tout si nous avons bien compris votre question. Si cela n'y a pas répondu, veuillez répondre au commentaire et nous y jetterons un œil.
Admin
Robinoz
Merci pour ces informations précieuses. Je viens de subir une attaque de logiciels malveillants qui a mis mon blog hors ligne pendant un jour ou deux pendant que mon programmeur Wordpress s'en occupait. Très gênant.
Je vais mettre en œuvre certaines des suggestions que vous avez faites dans les prochains jours.
Robinoz
http://www.e1jobs-blog.com (Blog « Tout sur les emplois »
serveur sécurisé
bons conseils pour sécuriser wordpress. avec le temps, nous verrons les hébergeurs devenir plus stricts et sécurisés ou les packages CMS devront implémenter à l'installation quelques initiatives de sécurité supplémentaires.
abbie
Salut. Vous avez écrit un très bon article.
I’ve rewrote this great post in Indonesian language.
I really hope you dont mind.
Personnel éditorial
Nous vous avons envoyé un e-mail à ce sujet. Nous n'autorisons pas la traduction complète des articles. Veuillez le résumer et inclure un lien vers notre article si vos utilisateurs souhaitent lire l'intégralité des conseils.
Admin
abbie
Thanks for your response.
I’ll revise my post.
Arie
Salut..
Je veux vous demander quelque chose.
En plus, je dois utiliser askimet, captcha word, mot de passe fort, y a-t-il un autre moyen pour un pirate de saboter notre site web.
C'est ma question, s'il vous plaît répondez à mon e-mail
Cordialement,
Arie
Personnel éditorial
Oui, si votre hébergeur a des vulnérabilités, alors le pirate peut vous faire tomber aussi.
John Macpherson
Il m'a fallu quelques minutes pour comprendre cela, mais vous avez le mauvais type de guillemets autour de cette fonction
add_filter(’login_errors’,create_function(’$a’, “return null;”));
Devrait être :
add_filter(‘login_errors’,create_function(‘$a’, “return null;”));
À part cela, excellent article.
jakesjohn
Ce que vous pouvez faire avec le plugin Wordpress Wp-PreventCopyBlogs
1. Suivre les visiteurs qui essaient de copier votre contenu.
2. Enregistrer l'IP de l'utilisateur qui tente de copier frauduleusement avec son URL d'atterrissage de votre site et son URL de référence. Cela peut vous aider à prendre les mesures nécessaires si vous remarquez quelque chose de mal.
3. Activer le message affiché à votre utilisateur selon le choix de l'utilisateur.
4. Désactiver la sélection de votre texte et le clic droit pour les utilisateurs en fonction de l'option.
Srecko Bradic
Je dois féliciter cet excellent article !!! Pour être honnête, je connais quelques astuces mais des informations très importantes m'étaient inconnues jusqu'à présent !
Keep on good work
Soxialize
Excellent post! Will be testing several of the security tips you provided. Thanks for putting all this together!
Heather
Article brillant, je pense que je vais mieux dormir ce soir !
Henry
Concernant le point #6, si vous utilisez le fichier .htaccess suivant, vous pourrez vous connecter depuis d'autres emplacements en deux étapes. Cela nécessite d'ajouter un fichier htpasswd (lisez la documentation de votre serveur).
AuthUserFile ‘un fichier htpasswd’
AuthGroupFile /dev/null
AuthName “Contrôle d'accès administrateur WordPress”
AuthType Basic
ordre refuser,autoriser
refuser de tous
Exiger utilisateur valide
# lister l'adresse IP de Syed
autoriser de xx.xx.xx.xxx
# lister l'adresse IP de David
autoriser de xx.xx.xx.xxx
# lister l'adresse IP d'Amanda
autoriser de xx.xx.xx.xxx
# lister l'adresse IP de Muhammad
autoriser de xx.xx.xx.xxx
# lister l'adresse IP du travail
autoriser de xx.xx.xx.xxx
Satisfaire n'importe lequel
Les lignes « exiger utilisateur valide » et « satisfaire n'importe lequel » forceront le serveur Apache à demander un nom d'utilisateur et un mot de passe avant que vous ne puissiez accéder à l'écran de connexion WordPress. Veuillez NE PAS utiliser le même nom d'utilisateur et mot de passe dans le fichier htpasswd que celui que vous utilisez pour votre accès WordPress, sinon vous annulerez l'objectif du niveau de sécurité supplémentaire.
Personnel éditorial
Thanks for the suggestion. Post updated with a link to this way as well
Admin
Laura
Merci pour ce super article. J'ai hâte de sécuriser mon propre blog.
A.rnaud
I just made a French translation of your article on my blog (http://bit.ly/19V6YU)
thanks for the tips !
Personnel éditorial
Thanks for the translation
Admin
Constantine
Salut, je blogue depuis 3 ans. Mon blog a été piraté en juin 2009 et Google m'a banni pendant 30 jours, mes pages vues ont immédiatement chuté de 800 par jour à moins de 100 par jour.
Je recommande vivement d'installer un plugin de pare-feu WordPress. Le plugin vous enverra un e-mail chaque fois que quelqu'un essaiera de pirater votre blog, ainsi que l'adresse IP du pirate. Le plugin détecte et bloque les requêtes étranges, redirigeant l'attaque vers la page d'accueil.
Lundi, j'ai reçu un e-mail signalant six tentatives de piratage au cours du week-end. Le pirate a essayé la page d'administration trois fois, et lorsque cela a échoué, il a essayé de rechercher le plugin wordspew que je n'utilise pas.
Bonne chance à tous les nouveaux
Personnel éditorial
Thanks for suggesting this one. Its now added in the post
Admin
Renee Fischer
Une fois qu'un piratage est réussi, le bot ou le pirate humain conservera vos données et continuera d'essayer d'accéder aux fichiers de votre site à la recherche d'un moyen de revenir. Ils continueront d'être implacables. S'ils ont réussi à pirater votre e-mail, votre ordinateur ou votre serveur, ils continueront jusqu'à ce qu'ils aient piraté tout ce que vous touchez. Ils sont comme des cafards qui ont trouvé des miettes qui ont mené à votre maison.
Dirk
In reality 2., 7. and 11. (if not hardened) are the most important things. The other things are nearly unnecessary
Typhoon
Vraiment un article très utile. Je l'ai tweeté.
Au fait, je veux demander une chose ; Comment fonctionne Stealth Login pour les auteurs invités ?
Personnel éditorial
Vous leur donnez l'URL spéciale que vous avez créée s'ils vous font assez confiance. Dans la plupart des cas, les auteurs invités ne devraient même pas être autorisés dans le panneau d'administration, sauf s'ils sont des auteurs de votre site. Si quelqu'un a écrit plusieurs articles pour votre site, alors il peut être digne de confiance, vous pouvez donc lui donner l'URL spéciale /login ou /googlogin ou tout ce que vous avez créé.
La plupart des meilleurs blogs acceptent les articles invités par e-mail et ce n'est que si ces auteurs invités deviennent des auteurs réguliers qu'ils sont autorisés dans le panneau d'administration.
Admin
Misao
Merci ! Article très utile. J'essaierai vos astuces et conseils sur certains de mes blogs.
sriganesh
very useful.
:geek: thanks for sharing. i will spred this surely
Yves
Salut
Super liste ! Vous pourriez vouloir ajouter le plugin sympa "One time Password" pour Wordpress :
http://wordpress.org/extend/plugins/one-time-password/
quicoto
Thanks for the tips
Tim
Super conseils.
Pour les lecteurs avertis, il y a une inexactitude dans le #6.
« L'inconvénient de cette astuce est que si vous souhaitez accéder au panneau d'administration depuis un autre endroit, vous ne pourrez pas le faire à moins d'ajouter cet IP supplémentaire dans votre fichier .htaccess. »
Si l'adresse IP que vous autorisez est une machine à laquelle vous pouvez vous connecter via SSH, vous pouvez y accéder via un tunnel SSH (j'utilise foxyproxy, car cela facilite grandement le changement). De plus, si vous utilisez nginx au lieu d'apache, vous pouvez évaluer l'URI avec des expressions régulières pour tout bloquer de wp-app.php à wp-trackback.php (ou choisir sélectivement ceux que vous ne voulez pas bloquer). J'en parle sur http://www.phrison.com/securing-arbitrary-uris/ mais ce n'est pas pour les novices.
J'ai une grande collection de chapeaux en papier d'aluminium.
Personnel éditorial
Vous avez raison.
Attention : les nouveaux utilisateurs ne doivent pas essayer cela du tout. Ceci est réservé aux utilisateurs expérimentés.
Admin
SaigonNezumi(Kevin)
Merci pour cet article. J'attendais un article comme celui-ci. L'ajout de quelques-uns de vos conseils aidera à sécuriser mes sites WP.
Merci encore.
Personnel éditorial
You are welcome
Let us know which one you use and your thoughts on the process of implementing it.
Admin
Dana DeFazio
Je me demande s'il existe quelque chose de comparable pour mon blog car c'est un site WordPress.com et j'ai aussi un nouveau blog sur danaddiamond.BlogSpot.com
Personnel éditorial
WordPress.com ne vous accorde pas beaucoup de privilèges, mais avec leur serveur, vous êtes en grande partie en sécurité.
Admin
Tinh
Excellents conseils et astuces, j'ai appliqué seulement 6 des 11 conseils que vous avez suggérés, je vais essayer le reste
Jo
Ce site est une belle découverte pour moi (FYI, merci à @Problogger sur Twitter), et j'ai hâte de l'explorer davantage. Cet article est le genre d'écriture concise et claire qui est trop rare de nos jours. Merci pour des informations vraiment utiles.
Personnel éditorial
Nous sommes heureux que vous aimiez notre site, et nous sommes également très heureux que Darren ait trouvé l'article suffisamment utile pour le tweeter. Nous espérons que vous nous suivrez sur Twitter afin de rester informé de tous les bons tutoriels.
Admin
Marc
Wow – Je suis assez nouveau sur WP et je n'avais aucune idée qu'il y avait autant de passerelles pour les pirates. Je suis sûr qu'ils ne trouveront pas leur chemin après en avoir ajouté quelques-unes.
Merci.
Roger Duck
La sécurité de WordPress est un problème croissant et ces étapes sont essentielles pour sécuriser un site WordPress. Renforcer la sécurité aide l'ensemble de la communauté ainsi que votre propre site à prendre le temps de mettre en œuvre ces idées. Bien joué.
Rob
Et pour protéger tout votre travail acharné / les fonctionnalités de sécurité de vos clients….
http://wordpress.org/extend/plugins/hide-admin-panels/
James Morrison
Une bonne liste de conseils vitaux pour sécuriser votre site. J'aime particulièrement le n°8. Je ne l'ai jamais fait auparavant, mais je le ferai désormais !
Concernant le n°7 – Supprimer le nom d'utilisateur « admin » :
Je ne supprime pas le nom d'utilisateur admin, je crée un nouveau compte administrateur, puis je change le type de compte de l'utilisateur « admin » en abonné.
De cette façon, même si quelqu'un parvient à cracker le mot de passe, c'est un compte inutile. Si vous le supprimez, quelqu'un peut enregistrer ce nom d'utilisateur…
Kathlene
Question pour James Morrison. Pouvez-vous expliquer un peu plus ce que vous dites et comment le faire ?
Pour le personnel, j'ai essayé plusieurs fois d'obtenir un numéro pour le plugin akisnet et je n'arrive pas à en trouver un. Comment en obtient-on un ?
Très bon article. Je vais mettre en œuvre ces conseils directement. J'ai eu l'un de mes blogs piraté deux fois en 30 jours une fois.
Merci pour ces excellentes informations.
James Morrison
Suivez ces étapes :
1.) Créez un nouveau compte utilisateur avec accès administrateur (par exemple, « James »)
2.) Connectez-vous avec le nouveau compte à l'administration WP
3.) Modifiez le compte des utilisateurs « admin » et changez l'accès en abonné
De cette façon, si quelqu'un essaie de compromettre le compte administrateur et réussit, il ne pourra toujours rien faire de mal à votre site.
Pour obtenir une clé akismet, vous devez vous inscrire sur http://www.wordpress.com
J'espère que cela vous aidera !
Mathdelane
Vous pouvez toujours changer le nom d'utilisateur « admin » par défaut pour tout ce que vous souhaitez via la base de données phpMyadmin. Voici mon article à ce sujet ainsi que mon expérience sur le piratage de blogs et la sécurité :
http://softwarecritics.info/open-source/blogosphere-alert-prevent-your-wordpress-blogs-from-being-hacked/
Cheap Sites
Merci pour toutes vos suggestions, je travaille sur quelques gros projets et cela m'aidera certainement une fois que les blogs seront opérationnels.
Première fois ici et j'adore le blog, bon travail !
Dan
Personnel éditorial
Je suis content que vous aimiez cet endroit. N'hésitez pas à faire des suggestions si vous avez une question ou si vous souhaitez qu'un sujet spécifique soit abordé sur WPBeginner.
Admin
Flow Interactive
Bonnes astuces. Vous pouvez également déplacer votre fichier wp_config.php en dehors de la racine web pour offrir une couche de sécurité supplémentaire.
Personnel éditorial
Oui, vous pouvez le faire, mais dans cet article, nous parlions uniquement du panneau d'administration WordPress et non du site entier en général. Il existe de nombreuses autres façons de protéger l'ensemble de votre blog WordPress.
Admin
Shabayek
Mais que se passe-t-il si vous autorisez vos visiteurs de blog à s'inscrire et que vous les obligez à se connecter avant de publier des commentaires ?
Personnel éditorial
Alors vous ne pouvez pas utiliser la protection IP et autres, mais vous devriez toujours utiliser le verrouillage limité, ne pas utiliser de nom d'utilisateur administrateur et une connexion semi-sécurisée.
Admin
Gerald Weber
J'utilise la limitation des requêtes de connexion à mon adresse IP. Cela signifie que quiconque tente d'accéder à http://www.domainname.com/wp-admin qui ne fait pas la requête depuis mon adresse IP obtiendra simplement une page 404.
Blogspot vers WordPress
Hé, article très utile.
MOst INteresting IDeas blog
Article utile pour mon blog.
Dreyer
Une liste utile. Je vais essayer ces astuces. Mieux vaut être paranoïaque que désolé.
Rafi
Hé, c'est une merveilleuse collection de conseils et d'astuces, très utile. Je recommande à tous les blogueurs WP de parcourir la liste et de suivre les étapes ainsi que toutes les autres ressources utiles disponibles ailleurs. Après tout, nous n'avons PAS créé nos blogs pour que quelqu'un prenne le contrôle de nos vies. Bon sang.
Merci pour le partage, WPBeginner.
Sergej Müller
Lien vers la protection antivirus WordPress ?
Personnel éditorial
Peu importe à quel point vous relisez, certaines choses sont toujours manquées. Heureux que nous ayons des utilisateurs comme vous. Lien ajouté. Merci encore.
Admin
Lolic
Qu'en est-il des systèmes aksimet et captcha ?