Comment sécuriser son site WordPress simplement
Je suis encore tombé sur un site WordPress dernièrement avec comme identifiant « admin » et comme mot de passe « admin » d’où mon envie aujourd’hui d’écrire un petit article comprenant quelques étapes simples que vous pouvez réaliser pour sécuriser votre site WordPress.
L’identifiant et le mot de passe
Ça peut paraître évident, mais la preuve que ça ne l’est pas, car je suis encore tombé sur un site avec comme identifiant « admin » et comme mot de passe « admin » .
Choisissez-vous un identifiant personnalisé, « admin » , « administrateur », etc. sont les premiers mots que quelqu’un de mal intentionné va taper.
Pour votre mot de passe, vous pouvez en générer un via l’interface de votre profil utilisateur dans votre back-office WordPress. Sinon il y a des sites internet qui peuvent vous générer des mots de passe à volonté.
En France, le site de la CNIL vous propose un outil qui permet de le faire.
Changer l’URL d’accès à votre back-office WordPress
Par défaut, WordPress utilise le chemin suivant pour vous permettre l’accès à votre back-office : https://www.votresite.com/wp-admin.
Et si vous changiez la fin de cette URL pour ne pas rendre l’accès au système de connexion facile.
Deux possibilités pour arriver à faire cette démarche :
- l’utilisation d’un plug-in par exemple : HC Custom WP-Admin URL ou Better WP Security
- le faire manuellement, toute la démarche est expliquée dans l’article rédigé sur le site de REIGN
Ajouter un Capcha à votre système de connexion
Par exemple le plug-in Login No Captcha reCAPTCHA par Robert Peake ajoute une case à cocher Google No Captcha ReCaptcha à votre écran de connexion WordPress.
Il refuse l’accès aux scripts automatisés tout en facilitant la connexion des utilisateurs en cochant une case.
Il y a bien sûr plein d’autres manipulations faisables pour protéger votre site internet, mais celles-ci sont déjà un bon début.