Il n'y a rien de pire que de découvrir que votre site web a été compromis. La zone d'administration de WordPress est le principal point d'entrée pour les pirates, ce qui en fait la partie la plus critique de votre site à protéger.
Nous savons qu'il peut être stressant de penser aux attaques par force brute ou au vol de données. De nombreux propriétaires de sites web craignent de ne pas avoir les compétences techniques nécessaires pour sécuriser correctement leur tableau de bord.
La bonne nouvelle, c'est que vous n'avez pas besoin d'être un expert en sécurité pour avoir un impact énorme. D'après notre expérience dans la gestion de milliers de sites WordPress, nous avons constaté que quelques changements simples suffisent à construire une défense solide.
Dans ce guide, nous vous présenterons les conseils les plus efficaces pour sécuriser votre zone d'administration. Ces étapes simples vous apporteront la tranquillité d'esprit et maintiendront votre site web en sécurité.
Nous couvrirons de nombreux conseils, et vous pouvez utiliser les liens rapides ci-dessous pour naviguer entre eux :
- 1. Utiliser un pare-feu
- 2. Protéger par mot de passe le répertoire d'administration de WordPress
- 3. Toujours utiliser des mots de passe forts
- 4. Utiliser la vérification en deux étapes sur l'écran de connexion WordPress
- 5. Limiter les tentatives de connexion
- 6. Limiter l'accès de connexion aux adresses IP
- 7. Désactiver les indices de connexion
- 8. Exiger des utilisateurs qu'ils utilisent des mots de passe forts
- 9. Réinitialiser le mot de passe de tous les utilisateurs
- 10. Maintenir WordPress à jour
- 11. Créer des pages de connexion et d'inscription personnalisées
- 12. En savoir plus sur les rôles et permissions des utilisateurs WordPress
- 13. Limiter l'accès au tableau de bord WordPress
- 14. Déconnecter les utilisateurs inactifs
- Questions fréquemment posées sur la sécurisation de l'administration WordPress
- Ressources supplémentaires pour la sécurité WordPress
1. Utiliser un pare-feu
Un pare-feu d'application web (WAF) surveille le trafic de votre site et bloque les requêtes suspectes avant qu'elles n'atteignent votre serveur. C'est votre première ligne de défense contre les tentatives de piratage.
Bien qu'il existe plusieurs plugins de pare-feu WordPress, nous recommandons un pare-feu au niveau DNS comme Cloudflare. Les pare-feu au niveau DNS sont plus efficaces car ils bloquent les menaces au niveau du réseau, de sorte que le trafic malveillant n'atteint même pas votre site Web.
Chez WPBeginner, nous utilisons le plan d'entreprise de Cloudflare pour protéger notre site Web contre les tentatives de piratage, les logiciels malveillants et autres activités malveillantes. Pour des instructions de configuration étape par étape, consultez notre article sur la façon de configurer le CDN gratuit Cloudflare pour votre site Web.
Une autre excellente option est Sucuri, que nous avons précédemment utilisé. Pour plus de détails, consultez notre article sur les raisons pour lesquelles nous sommes passés de Sucuri à Cloudflare.
2. Protéger par mot de passe le répertoire d'administration de WordPress
Une autre astuce que nous avons trouvée extrêmement efficace est d'ajouter une protection par mot de passe au répertoire d'administration de WordPress. Cela ajoute une deuxième couche de défense, nécessitant deux mots de passe distincts pour accéder à votre tableau de bord.
Vous pouvez le faire depuis le panneau de configuration de votre hébergement Web WordPress. Voici les étapes pour cPanel :
- Connectez-vous à votre tableau de bord cPanel d'hébergement WordPress et cliquez sur l'icône « Confidentialité du répertoire ».
- Sélectionnez votre dossier
wp-admin, qui est généralement situé dans le répertoire/public_html/. - Cochez la case à côté de « Protéger ce répertoire par mot de passe » et donnez-lui un nom.
- Cliquez sur « Enregistrer », puis revenez en arrière pour créer un utilisateur avec un nouveau nom d'utilisateur et mot de passe.
Désormais, toute personne tentant d'accéder à votre page de connexion administrateur verra d'abord une invite d'authentification.
Cela bloque la plupart des attaques automatisées par bots.
Pour des instructions plus détaillées, consultez notre guide sur comment protéger par mot de passe le répertoire d'administration WordPress (wp-admin). Veuillez noter que ces étapes s'appliquent aux hébergeurs utilisant cPanel. Si vous utilisez un panneau de contrôle différent, consultez la documentation de votre hébergeur.
3. Toujours utiliser des mots de passe forts
Vous devez utiliser des mots de passe forts et complexes pour tous vos comptes WordPress. Les mots de passe faibles sont l'une des raisons les plus courantes pour lesquelles les sites Web sont piratés.
Un mot de passe fort utilise une combinaison de lettres majuscules et minuscules, de chiffres et de caractères spéciaux (!, #, @, %, etc.). Plus il est long, plus il sera sécurisé.
Il est presque impossible de se souvenir de dizaines de mots de passe complexes. C'est pourquoi toute notre équipe chez WPBeginner utilise une application de gestion de mots de passe comme 1Password pour générer et stocker en toute sécurité des mots de passe uniques pour chaque service.
Pour plus d'informations sur ce sujet, consultez notre guide sur la meilleure façon de gérer les mots de passe pour les débutants WordPress.
4. Utiliser la vérification en deux étapes sur l'écran de connexion WordPress
La vérification en deux étapes, également connue sous le nom d'authentification à deux facteurs (2FA), ajoute une autre couche de sécurité critique. Nous utilisons la 2FA non seulement sur nos sites Web WordPress, mais sur tous nos comptes en ligne où l'option est disponible.
Après avoir saisi votre mot de passe, vous devez également fournir un code sensible au temps généré par une application sur votre téléphone, comme 1Password ou Authenticator. Même si un pirate informatique vole votre mot de passe, il ne pourra pas se connecter sans votre téléphone.
Pour des instructions détaillées étape par étape, consultez notre guide sur la façon de configurer la vérification en 2 étapes dans WordPress en utilisant Google Authenticator.
5. Limiter les tentatives de connexion
Par défaut, WordPress permet aux utilisateurs d'essayer de se connecter autant de fois qu'ils le souhaitent. Cela permet aux pirates informatiques d'utiliser des scripts automatisés pour essayer des milliers de combinaisons de mots de passe dans ce qui est connu sous le nom d'« attaque par force brute ».
Vous pouvez facilement arrêter cela en installant le plugin Limit Login Attempts Reloaded. Après activation, allez dans Paramètres » Tentatives de connexion limitées pour configurer le nombre de tentatives échouées autorisées avant qu'une adresse IP ne soit temporairement bloquée.
Pour des instructions détaillées, consultez notre guide sur pourquoi vous devriez limiter les tentatives de connexion dans WordPress.
Pour en savoir plus sur le plugin, vous pouvez également consulter notre examen détaillé de Limit Login Attempts.
6. Limiter l'accès de connexion aux adresses IP
Attention : Il s'agit d'une technique avancée et ne doit être utilisée que si vous avez une adresse IP statique (fixe). La plupart des connexions Internet domestiques utilisent des adresses IP dynamiques qui changent régulièrement. Si vous utilisez cette méthode avec une adresse IP dynamique, vous vous bloquerez vous-même hors de votre propre site Web.
Si vous avez une adresse IP fixe, vous pouvez restreindre l'accès à votre zone d'administration à cette seule adresse. Ajoutez simplement ce code à votre fichier .htaccess :
N'oubliez pas de remplacer les valeurs 'xx' par votre propre adresse IP. Vous pouvez facilement trouver votre adresse IP actuelle en recherchant « quelle est mon adresse IP » sur Google. Si vous utilisez plus d'une adresse IP, assurez-vous de les ajouter également.
Pour des instructions détaillées, consultez notre guide sur la façon de limiter l'accès à l'administration WordPress à l'aide de .htaccess.
7. Désactiver les indices de connexion
Lorsqu'une connexion échoue, WordPress vous indique si le nom d'utilisateur ou le mot de passe était incorrect. Bien qu'utiles pour les utilisateurs, ces indices confirment également un nom d'utilisateur valide à un attaquant, lui facilitant ainsi la tâche.
Vous pouvez masquer ces astuces en ajoutant le code suivant au fichier functions.php de votre thème. Cependant, nous vous recommandons d'utiliser un plugin d'extraits de code comme WPCode. C'est une méthode beaucoup plus sûre pour gérer le code personnalisé sans risquer d'erreurs sur le site.
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Pour plus de détails, consultez notre guide sur comment ajouter du code personnalisé dans WordPress sans casser votre site.
8. Exiger des utilisateurs qu'ils utilisent des mots de passe forts
Si vous gérez un site WordPress multi-auteurs, un seul utilisateur avec un mot de passe faible peut créer une vulnérabilité pour tout le monde. Vous pouvez imposer une politique de mots de passe forts pour éviter cela.
Pour ce faire, vous pouvez installer et activer le plugin Solid Security (anciennement connu sous le nom de iThemes Security), créé par l'équipe de SolidWP.
Ensuite, vous pouvez suivre les étapes de notre guide complet sur comment forcer les mots de passe forts pour les utilisateurs dans WordPress.
9. Réinitialiser le mot de passe de tous les utilisateurs
Pour les sites WordPress multi-utilisateurs, vous pouvez améliorer la sécurité en obligeant tous les utilisateurs à réinitialiser leurs mots de passe. Ceci est particulièrement utile si vous suspectez une violation de sécurité ou si vous souhaitez simplement appliquer une nouvelle politique de mots de passe.
Tout d'abord, installez et activez le plugin Emergency Password Reset. Après activation, allez sur la page Utilisateurs » Emergency Password Reset et cliquez sur le bouton « Réinitialiser tous les mots de passe ».
Pour des instructions détaillées, consultez notre guide sur comment réinitialiser les mots de passe de tous les utilisateurs dans WordPress.
10. Maintenir WordPress à jour
WordPress publie fréquemment de nouvelles versions pour ajouter des fonctionnalités et corriger les vulnérabilités de sécurité. Utiliser une version obsolète de WordPress, de vos plugins ou de votre thème est l'un des plus grands risques de sécurité que vous puissiez prendre.
Assurez-vous toujours d'utiliser la dernière version du logiciel WordPress, ainsi que de tous vos plugins et thèmes. Pour en savoir plus à ce sujet, consultez notre guide sur pourquoi vous devriez toujours utiliser la dernière version de WordPress.
11. Créer des pages de connexion et d'inscription personnalisées
Pour les sites qui nécessitent l'inscription d'utilisateurs, tels que les sites d'adhésion ou les boutiques en ligne, vous devriez créer des pages de connexion et d'inscription personnalisées.
Cela empêche les utilisateurs non administrateurs d'avoir à voir ou à accéder à l'écran de connexion WordPress par défaut. Cela offre une expérience utilisateur plus professionnelle et vous permet de verrouiller complètement l'accès standard à wp-admin sans affecter vos membres ou clients.
La façon la plus simple de faire cela est d'utiliser un plugin comme WPForms, qui dispose d'un puissant module complémentaire d'enregistrement d'utilisateurs. Pour des instructions détaillées, consultez notre guide sur la façon de créer des pages de connexion et d'inscription personnalisées dans WordPress.
12. En savoir plus sur les rôles et permissions des utilisateurs WordPress
WordPress dispose d'un système de gestion d'utilisateurs intégré avec différents rôles et capacités. L'attribution d'un mauvais rôle peut donner à un utilisateur beaucoup plus de permissions que nécessaire, créant un risque de sécurité potentiel.
Il est important de comprendre ce que chaque rôle peut faire avant d'ajouter des utilisateurs à votre site. Voici les 5 rôles par défaut :
- Administrateur : A un accès complet à tous les paramètres et contenus du site.
- Éditeur : Peut publier et gérer tous les articles, y compris ceux des autres utilisateurs.
- Auteur : Peut publier et gérer ses propres articles uniquement.
- Contributeur : Peut écrire et gérer ses propres articles, mais ne peut pas les publier.
- Abonné : Peut uniquement se connecter et gérer son propre profil.
Pour une explication complète, consultez notre guide pour débutants sur les rôles et permissions d'utilisateurs WordPress.
13. Limiter l'accès au tableau de bord WordPress
Sur certains sites, certains utilisateurs n'ont peut-être pas du tout besoin d'accéder au tableau de bord WordPress. Par défaut, tout utilisateur peut se connecter et voir la zone d'administration, même si ses capacités sont limitées.
Pour résoudre ce problème, installez et activez le plugin Remove Dashboard Access. Après activation, allez dans Paramètres » Accès au tableau de bord et sélectionnez les rôles d'utilisateurs qui peuvent accéder à la zone d'administration. Les autres peuvent être redirigés vers la page d'accueil ou une autre URL.
Pour des instructions plus détaillées, consultez notre guide sur comment limiter l'accès au tableau de bord dans WordPress.
14. Déconnecter les utilisateurs inactifs
Les utilisateurs connectés qui s'éloignent de leur ordinateur peuvent présenter un risque de sécurité. Si leur ordinateur est public ou partagé, quelqu'un d'autre pourrait accéder à leur compte.
Vous pouvez résoudre ce problème en installant le plugin Inactive Logout. Allez dans Paramètres » Déconnexion automatique et définissez un délai. Après cette période d'inactivité, les utilisateurs seront déconnectés automatiquement.
Pour plus de détails, consultez notre article sur comment déconnecter automatiquement les utilisateurs inactifs dans WordPress.
Questions fréquemment posées sur la sécurisation de l'administration WordPress
Quelle est l'étape la plus importante pour sécuriser ma zone d'administration WordPress ?
L'utilisation d'un pare-feu d'application Web (WAF) est la première étape la plus critique. Un bon pare-feu, comme Cloudflare ou Sucuri, bloque le trafic malveillant avant qu'il n'atteigne votre site, empêchant ainsi un large éventail d'attaques.
Faut-il vraiment protéger par mot de passe le répertoire wp-admin ?
Bien que non obligatoire, c'est très efficace. Cela ajoute une deuxième couche d'authentification qui arrête presque tous les bots automatisés qui tentent de forcer votre page de connexion par force brute. C'est un changement simple qui améliore considérablement la sécurité.
Puis-je être bloqué hors de mon propre site en suivant ces conseils ?
Oui, si vous ne faites pas attention. Le conseil de limiter l'accès à la connexion à des adresses IP spécifiques est destiné aux utilisateurs avancés ayant une adresse IP statique uniquement. Si vous utilisez une adresse IP normale et dynamique, vous vous bloquerez vous-même. Sauvegardez toujours votre site avant de modifier des fichiers comme .htaccess.
Ressources supplémentaires pour la sécurité WordPress
Nous espérons que cet article vous a aidé à découvrir de nouveaux conseils et astuces pour protéger votre zone d'administration WordPress.
Vous voudrez peut-être aussi consulter nos autres guides d'experts pour garder votre site en sécurité :
- Le guide ultime de la sécurité WordPress – Étape par étape
- Meilleurs plugins de sécurité WordPress pour protéger votre site (comparés)
- Comment scanner votre site WordPress à la recherche de code potentiellement malveillant
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Olaf
La sécurité est tout simplement fondamentale, et la zone d'administration est la partie la plus importante de WordPress car elle contrôle l'ensemble du site. Cela rend les tentatives de piratage visant l'administration de plus en plus courantes, ce qui est logique étant donné que WordPress alimente des dizaines de millions de sites Web. Par conséquent, les efforts des pirates deviennent de plus en plus prononcés. Voici une liste d'éléments clés vraiment excellents. Bien qu'il ne soit pas nécessaire de tous les mettre en œuvre, même quelques-uns peuvent améliorer considérablement la sécurité du site Web. La combinaison d'un mot de passe fort, d'une authentification à deux facteurs et de la limitation des tentatives de connexion semble si robuste que la zone d'administration serait pratiquement incassable.
Dennis Muthomi
J'ai été victime d'une tentative de piratage sur mon propre site WordPress. J'apprécie particulièrement l'accent mis sur l'utilisation de mots de passe forts et de l'authentification à deux facteurs. J'aimerais ajouter que sauvegarder régulièrement votre site web est également crucial en cas de violation de sécurité.
Jiří Vaněk
J'ai utilisé plusieurs de vos conseils et, en plus, j'ai également modifié l'URL de l'administration pour prévenir d'éventuelles attaques par force brute. Concernant les mots de passe forts, je recommanderais également de ne pas utiliser l'utilisateur par défaut « admin », car c'est le premier utilisateur qu'un pirate essaiera d'attaquer par force brute. Personnellement, lorsque j'installe WordPress, je n'utilise jamais l'utilisateur « admin » mais je choisis toujours un nom personnalisé. C'est un petit détail, mais il peut aussi contribuer à la sécurité.
Mrteesurez
Je ne pense pas qu'il y aura un moyen pour les pirates informatiques de pénétrer si l'on est capable de mettre en œuvre tous ces conseils et astuces.
J'en ai utilisé certains, limitant les tentatives de connexion et l'accès au tableau de bord, et ils ont bien fonctionné, je vais encore essayer d'en mettre en œuvre d'autres pour une sécurité maximale.
Jiří Vaněk
WordPress est un système complexe, et sécuriser l'administration seule ne suffit pas. Il y a toujours un moyen pour un pirate de vous attaquer. Ils pourraient cibler le FTP pour obtenir des informations sensibles de la base de données, tenter d'exploiter une MySQL mal protégée, ou essayer de tirer parti d'une vulnérabilité nouvellement découverte dans un plugin, un thème ou WordPress lui-même avant que vous ne parveniez à le mettre à jour. Par conséquent, il est toujours bon de penser de manière globale et de ne pas oublier les autres éléments du système tels que MySQL, FTP et les composants WordPress.
Moinuddin Waheed
Conseils et astuces indispensables pour la protection du tableau de bord d'administration WordPress.
J'ai utilisé l'authentification à deux facteurs pour la connexion administrateur ainsi que des limites de connexion pour l'accès administrateur.
La protection du tableau de bord est de la plus haute importance car elle peut avoir de graves répercussions si le tableau de bord est compromis.
Je ne savais pas qu'il y avait autant d'étapes pour protéger notre tableau de bord.
Merci pour la liste exhaustive de conseils pour la protection du tableau de bord.
Support WPBeginner
Heureux d'apprendre que notre liste vous a été utile !
Admin
Theo
« Ce plugin a été fermé le 23 novembre 2020 et n'est pas disponible au téléchargement. Cette fermeture est permanente. »
Je sais que c'est un article vieux de 3 ans et demi !
Ce serait bien si quelqu'un pouvait suggérer une alternative ! Merci de votre temps !
Support WPBeginner
Nous allons certainement examiner les alternatives.
Admin
Raksa Sav
Si j'ajoute quelqu'un comme administrateur de WordPress, peut-il me supprimer de l'administration ou voler mon site WordPress ?
Support WPBeginner
Salut Raksa,
Oui, ils peuvent supprimer d'autres administrateurs et prendre le contrôle de votre site web.
Admin
Muchsin
Je voudrais demander
J'ai essayé la confidentialité du répertoire de tutoriel dans cet article et cela fonctionne sans problème, mais il y a un problème : lorsque j'essaie la fonction de recherche située dans le menu de navigation de mon site Web en tant qu'utilisateur, on me demande toujours de remplir le nom d'utilisateur et le mot de passe de ce répertoire. Comment puis-je résoudre ce problème ?
J'utilise le thème Newspaper de tagdiv.
sherizon
Quel est le meilleur conseil pour lancer un site e-commerce, puis-je utiliser WordPress ?
Support WPBeginner
Salut Sherizon,
Oui, vous pouvez. Veuillez consulter notre guide sur comment démarrer une boutique en ligne.
Admin
Brenda Donovan
De bons indices et astuces ici. Est-ce que cela importe où dans le fichier functions.php on place le script d'indices de bloc ? Faut-il simplement l'ajouter à la fin ?
Support WPBeginner
Salut Brenda,
Oui, vous devriez l'ajouter à la fin.
Admin
Joe
Un autre moyen très utile de protéger votre site WP est d'utiliser un identifiant qui n'est PAS ADMIN et qui n'est pas votre adresse e-mail. Utilisez un nom d'utilisateur unique comme WP@#% ou quelque chose d'aussi fou.
Dragos
Vous devriez également changer l'emplacement d'installation du dossier par défaut de wp-admin.
Abhinav S Thakur
Quelqu'un peut-il réparer ça ?
Comment puis-je forcer le SSL uniquement pour l'administrateur et le reste du site doit être en http.
Comme wp beginner a un site non SSL !
Exécution de WordPress, cPanel
Pinkey
Bonjour,
Je viens de lancer un site web basé sur le contenu et malheureusement mon site a été piraté. Veuillez nous conseiller des solutions appropriées (logiciels/certificats, etc.) pour éviter tout piratage futur.
Merci & meilleures salutations,
Pinkey
Lucy Barret
Les conseils que vous avez ajoutés sont très utiles. Mais pour sécuriser WordPress, vous devez accorder plus d'importance à la sécurité de votre zone de connexion. Vous devez porter plus d'attention au renforcement de votre zone de connexion administrateur.
John
Une idée pourquoi supprimer wp-login.php n'empêche pas les attaques par force brute ? Je pensais que c'était une solution rapide pour un site qui ne nécessite que ma connexion, donc je remplace le fichier uniquement lorsque nécessaire ?
Aidez-moi s'il vous plaît !
Craig
Excellents conseils à part la suppression des messages d'administration, si vous réduisez l'expérience utilisateur pour des raisons de sécurité, vous ne le faites pas correctement.
Tahir
Collection intelligente....!!
Talha
Merci beaucoup. J'ai un site web. Je vais le configurer là-bas.
Pat Fortino
Ce plugin n'existe plus : Stealth Login
Pouvez-vous recommander une alternative ?
Merci
Lori
On m'a aussi dit de « supprimer les liens vers la page d'administration du site afin que les robots de piratage ne puissent pas simplement suivre un lien ». Je ne suis pas sûr de ce que cela signifie, ni comment je le ferais... Quelqu'un sait ce que cela signifie et pourrait me donner des instructions étape par étape pour le faire ?
Je ne vois aucun lien vers une page d'administration nulle part sur mon site web, et je ne me souviens pas qu'il y en ait jamais eu. La seule façon d'accéder à la page d'administration est d'aller à l'adresse /wp-admin.
Emily Johns
Excellente information !
Pour les blogueurs et les codeurs non experts, je suggère d'installer un plugin WordPress pour vous faciliter la tâche.
Parmi ceux que vous avez mentionnés, j'ai trouvé le plugin « Wordfence Security », une solution gratuite pour sécuriser les blogs et les rendre plus rapides.
Testé et satisfait !
Barry Richardson
J'avais l'impression que le nom d'utilisateur d'origine (par exemple, « admin ») d'un site WP ne pouvait pas être supprimé, donc même si nous ajoutions un nouveau nom d'utilisateur, l'« admin » d'origine serait toujours disponible pour qu'un pirate potentiel puisse l'exploiter.
Support WPBeginner
Si vous créez un nouveau compte utilisateur avec le rôle d'administrateur, vous pouvez alors supprimer en toute sécurité l'utilisateur admin.
Admin
Sandeep Jinagal
Hyy WPBeginner, tout d'abord, faites-vous le meilleur des meilleurs ???
Et je veux savoir, je veux configurer ma page de connexion comme la vôtre. parce que quand j'essaie d'ouvrir votre page de connexion. il affiche une fenêtre contextuelle pour la connexion. pouvez-vous me donner cet outil.
Support WPBeginner
Veuillez consulter notre guide sur la façon de protéger par mot de passe le répertoire d'administration WordPress wp-admin.
Admin
Kheti
Merci pour ce matériel éducatif. Très utile. Merci pour le bon travail et le soutien.
ifaheem
excellent article mais il doit être mis à jour. Il existe quelques excellents plugins qui font toutes les tâches ci-dessus avec l'installation d'un seul plugin !
My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin
Après avoir effectué les étapes ci-dessus (mettez-les à jour avec quelques recherches), je me sens un peu en sécurité.
N'installez pas de plugin sans lire au moins 5 avis. Ils vous disent la vérité (allez voir un avis négatif et voyez ce qu'il dit ; ils ont subi quelque chose de grave !
Prince Jain
Thank you for such a great post.
Mais veuillez mettre à jour ce plugin de connexion furtive, ne créez pas d'URL personnalisée pour la fenêtre de connexion, ajoutez plutôt un code d'autorisation sous le nom d'utilisateur et le mot de passe dans la fenêtre de connexion de WordPress.
Pouvez-vous également suggérer un plugin pour créer une URL personnalisée pour la fenêtre de connexion ?
Mitchell Miller
Stealth Login a été retiré du répertoire des plugins WP.
Mais changer le lien wp-login.php est la première étape pour protéger un site WordPress.
laya rappaport
Que se passe-t-il lorsque vous donnez vos identifiants de connexion à quelqu'un pour travailler sur votre site Web et qu'il modifie les identifiants de connexion de sorte que vous ne puissiez plus accéder à votre compte WordPress ?
James Campbell
Je ne suis pas sûr qu'il existe un moyen de récupérer les informations de votre site nécessairement, mais si vous le pouvez, créez toujours un nouvel utilisateur et donnez accès à d'autres personnes via cet utilisateur particulier. Cela vous permet de restreindre l'accès à certaines zones et vous pouvez également supprimer leur accès lorsqu'il n'est plus nécessaire. Renoncer à votre accès à votre site les laisse vous bloquer.
Lisa Wells
Si quelqu'un a modifié vos informations d'utilisateur WordPress, j'espère que vous pouvez toujours vous connecter à votre base de données via, par exemple, phpMyAdmin. À partir de là, vous devriez être en mesure de créer un nouvel utilisateur administrateur directement dans les tables :
https://014.leahstevensyj.workers.dev/wp-tutorials/how-to-add-an-admin-user-to-the-wordpress-database-via-mysql/
user4574
Un autre élément utile non mentionné est les permissions de la base de données. L'utilisateur de la base de données WordPress n'a généralement pas besoin de toutes les permissions. Dans la grande majorité des cas, il n'a besoin que de ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.
Donc si vous le faites directement dans mysql, ce serait :
GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO ”@’localhost’;
Si vous le faites dans cPanel ou autre, cochez simplement les cases appropriées lors de l'octroi de permissions à l'utilisateur de la base de données.
Tanmoy Das
Super conseils pour tout débutant ! Je veux toujours changer l'URL de connexion mais je ne sais pas comment faire. Merci pour ces conseils.
Derick
@Daniel : Les pirates ont maintenant un outil qui énumère/liste tous vos noms d'utilisateur, y compris leurs rôles, donc cela ne tromperait pas le pirate du tout.
Thorir
Je viens d'installer le plugin Limit Login Attempts sur mes sites WP. Sur l'un d'eux, j'ai remarqué un blocage presque instantanément, c'était aussi la seule installation qui était à la racine. Toutes les autres sont dans un sous-répertoire et plusieurs heures plus tard, aucune d'entre elles n'a enregistré de blocage.
Peut-être est-ce un facteur utile, en termes de sécurité ?
Mary
Bonjour, j'espère que vous allez bien !
C'était un excellent article mais un peu compliqué pour moi.
car j'ai besoin de la méthode facile en ce moment, le plugin de pare-feu WordPress semblait bien mais
ma peur est de perdre ma page de connexion.
J'ai passé beaucoup de temps à essayer de travailler avec FTP et je n'ai pas réussi à le comprendre.
Sera-ce un bon plugin pour une poule mouillée ?? Merci Mary
Ed van Dun
Et qu'en est-il de Bullet Proof Security ? Il couvre certains domaines mentionnés ci-dessus et bien d'autres encore.
Prodip
Tous les conseils ci-dessus m'ont aidé à sécuriser davantage mon blog.
Dr. Sean Mullen
C'est une excellente information, mais s'il vous plaît, mettez à jour ! Merci
Invité
Je sais que cet article date de 2009, mais pouvez-vous en faire un mis à jour, car beaucoup de ces plugins ne sont plus « officiellement » compatibles avec les dernières versions de WordPress (3.4.x-3.5) ?
Personnel éditorial
Oui, c'est en cours avec quelques autres choses. Nous faisons de notre mieux. Merci de nous avoir informés.
Admin
whoiscarrus
Je commence vraiment le développement WP et je ne vous remercierai jamais assez ! C'est génial pour les débutants comme moi !
abhizz
Super conseils sur WordPress, merci
Bigdrobek
Super tutoriel, mais s'il vous plaît, pouvez-vous le mettre à jour ?
Quelques plugins n'existent pas, sont obsolètes ou sont cachés par WordPress.org.
– Stealth Login
– Login Lockdown
– Admin SSL
Je suis intéressé par l'étape 1) Créer des liens de connexion personnalisés – avez-vous un conseil pour un nouveau plugin qui fait un travail similaire ?
Faizan Elahi ( BestBloggingTools)
This is a great resource. Thanks
mattjwalk
Vous pourriez également ajouter à la liste : « utiliser l'authentification à deux facteurs » au lieu des mots de passe standard. Il existe une nouvelle méthode d'authentification de site web https://www.shieldpass.com où vous achetez des cartes d'accès bon marché, puis installez le plugin WordPress. Vous placez ensuite votre carte sur l'écran pour voir les numéros de connexion dynamiques au lieu d'un mot de passe statique. Il est unique en ce sens qu'il peut également encoder des chiffres de transaction pour une authentification mutuelle, ce qui arrête les tactiques d'attaquants de type « homme du milieu », même ceux qui ont accès à votre ordinateur portable ou à votre mobile.
Jermaine
Le problème que j'ai avec le n° 6 est l'adresse IP dynamique, vous êtes bloqué à chaque fois que votre adresse IP change, quelle est la solution ?
Personnel éditorial
Vous pouvez ajouter une connexion personnalisée si l'IP ne correspond pas.
Admin
vivek
excellent article et bon guide pour les nouveaux blogueurs comme moi
fareed
Excellent article et très utile pour moi, merci
Daniel
Le pirate pensera qu'il a réussi lorsqu'il se connectera avec le nom d'utilisateur admin et découvrira que le rôle a été défini sur « abonné ». N'est-ce pas une autre forme de sécurité supplémentaire ? Je ne veux pas supprimer mon admin car je publie des messages etc. sur les forums et le blog et j'aime que mes utilisateurs sachent que cela vient de l'administration. ainsi que j'utilise mon nom d'utilisateur habituel !
Jonathan K. Cohen
Cet article doit être revu. Un certain nombre des plugins suggérés n'ont pas été maintenus et peuvent être incompatibles avec la dernière version de WP.
Ceux-ci incluent les n° 1, 3 et 5.
John
Pour le n° 1, vérifiez ce plugin appelé WPS Hide Login
Greg
Je suis entièrement d'accord avec vous. J'utilise le plugin Limit Login Attempts pour mon WordPress depuis un certain temps. Aujourd'hui, ce plugin est obsolète. J'ai basculé vers WP Cerber :