Améliorer la sécurité dans WordPress


Niveau:3

Comment lutter contre les « attaques force brute « :

L’attaque force brute  s’effectue avec des robots ou des programmes, qui essaient de découvrir l’identifiant et le mot de passe du compte administrateur de votre site. Si par malheur, un essai s’avère concluant votre site sera utilisé ou modifié, voir détruit…

La méthode des robots est assez simple. Il recherche l’identifiant puis ils essaient, réessaient des dizaines, centaines de mots de passe…

Installation du plugin pour sécuriser votre site:

Aller dans le menu Extension=>Ajouter.

Wordpress_secu

Faire une recherche en tapant: Login Security Solution. Puis faire un clique sur installer.

Wordpress_secu1

Activer le plugin et aller dans les réglages. Vous pouvez laisser les réglages par défaut. Mais entrez votre email pour avoir les avertissements lors d’un attaque.

Voici un exemple de message:

Votre site, DOMOTRONIC, subi une attaque de type brute force.

Au moins 50 tentatives infructueuses de connexion au cours des dernières 120 minutes ont utilisées les données suivantes:


Composant                   Nombre     Valeur de la tentative courante
------------------------     -----     --------------------------------
Réseau IP                        1     76.186.95.*
Identifiant                     50     xxxxxxxxx
MD5 du mot de passe              1     c509472fb7d061133a586cf33925sqcvf

La tentative la plus récente provenant de l'adresse IP suivante: 76.186.95.27

L'extension Login Security Solution (0.55.0) pour WordPress pare l'attaque en ralentissant la réponse à chaque tentative échouée.
Cet attaquant se verra également refusé l'accès dans le cas où ils tombent sur des informations d'identification valides.

Ce plugin bloquera le compte et demandera de réinitialiser le mot de passe via l’émail du compte.

Bref je l’ai testé et c’est très efficace.

Cacher votre identifiant:

Les noms d’utilisateurs de WordPress peuvent être facilement devinés. Cela rend la vie plus facile aux attaquants, car il ne reste plus que le mot de passe à deviner. Il suffit de taper le nom du site suivi de ?author=1,par exemple:

http://www.example.com/?author=1

Si l’auteur est valide, ils seront redirigés vers l’URL de l’auteur, par exemple:

http://www.example.com/author/admin

les noms des utilisateurs WordPress peuvent également être trouvés dans la source des messages de votre site. C’est pour cela qu’ il est impératif de masquer le nom de l’utilisateur, et d’éviter de publier des articles avec le compte d’administrateur.

Procédure:

La procédure suivante explique étape par étape comment masquer le nom de l’utilisateur.

Ouvrir votre base de données SQL via l’outil phpMyAdmin.

Cliquez sur votre base de données WordPress et cliquez sur la table wp_users.
Cliquez sur le bouton Edit de l’utilisateur souhaité.

Wordpress_secu2

Modifier le user_nicename et le display_name.

Wordpress_secu3

Cliquez sur Go pour enregistrer les modifications.

Maintenant votre login est différent lors de l’affichage de vos articles.

Modifier l’url de connexion à l’administration wordpress:

Pour cela nous allons utiliser le plugin WPS Hide Login.

WPS Hide Login est un plugin très léger qui vous permet facilement et en toute sécurité de modifier l’URL de connexion.

Ce plugin ne renomme pas et ne modifie pas de fichiers dans le noyau de WordPress, il n’ajoute pas non plus de règles de réécriture. Il intercepte tout simplement les demandes de page et fonctionne sur n’importe quel site WordPress.

La page wp-login.php et le répertoire wp-admin deviennent donc inaccessibles, vous devrez donc noter le lien. Si vous désactivez ce plugin votre site reviendra à son état initial.

Si vous aviez installé sur votre WordPress le plugin Rename wp-login.php, vous pouvez le supprimer et le remplacer avantageusement par WPS Hide Login.

Compatibilité : Nécessite WordPress 4.1 ou supérieur.
Nota : Si vous utilisez un plugin de cache, vous devrez ajouter la nouvelle URL de connexion à la liste des pages à ne pas mettre en cache.