Protéger le back-office de WordPress contre les intrusions

Publié le
Mis à jour le

Auteur

Pierre Ripka

Installé sur près d’un site sur cinq, WordPress est à ce jour le CMS le plus utilisé au monde. Cette forte popularité a des avantages indéniables (mises à jour régulières, nombreuses extensions, communauté active) mais aussi des inconvénients : il s’agit d’une cible de choix pour les pirates qui en connaissent les moindres failles. Parmi les différentes « portes d’entrées » du site, la première qu’il faut sécuriser est le back-office. Quelques bons réflexes permettent de contrer la grande majorité des tentatives d’intrusion.

Choisir un identifiant difficile à deviner

Lors de l’installation de WordPress, l’une des premières étapes consiste à créer un compte administrateur. Il faut bien avoir conscience que ce compte permet un contrôle total sur le back-office et donc sur les pages et articles, les menus, les widgets, la liste des utilisateurs, la configuration des extensions… Il permet même d’éditer les fichiers de votre site et donc d’exécuter des requêtes très facilement ! Il est donc primordial que ce compte ne soit pas accessible à n’importe qui, car une intrusion réussie pourrait provoquer des dégâts irréversibles sur votre site.

Pour limiter les risques, assurez-vous de choisir un identifiant difficile à trouver. Bannissez à tout prix « admin » qui est le premier identifiant testé par les pirates ! De même, n’utilisez ni votre nom/prénom, ni votre pseudo, ni le nom de votre site. L’idéal est de créer une combinaison de caractères complexe et difficile à retenir (notez votre identifiant dans un endroit sûr). Inutile de mettre des majuscules, elles seront interprétées comme des minuscules. Vous pouvez en revanche utiliser des chiffres et des caractères spéciaux comme les tirets (-) ou underscores (_) en plus des lettres.

NB : Il est impossible de modifier l’identifiant d’un compte utilisateur déjà existant. En revanche, vous pouvez créer un nouveau compte administrateur et supprimer l’ancien si celui-ci avait un identifiant non sécurisé. N’oubliez pas de transférer tout le contenu de ce compte vers le nouveau (le choix vous est proposé lors de la suppression du compte). Pensez à vous connecter avec votre nouveau compte pour supprimer l’ancien administrateur : vous ne pouvez pas supprimer votre propre compte !

Utiliser un mot de passe fort

Un identifiant compliqué n’est pas suffisant s’il n’est pas couplé à un mot de passe solide. Depuis la version 4.3 de WordPress, un mot de passe fort est proposé d’office lors de la création d’un nouvel utilisateur. Il est évidemment impossible à retenir mais vous pouvez le noter dans un endroit sûr puis le mémoriser dans votre navigateur (pensez à utiliser un mot de passe principal pour plus de sécurité).

Si vous préférez choisir votre mot de passe vous-même, assurez-vous de ne pas utiliser un mot ou un nom, ces mots de passe sont les premiers à être trouvés en cas d’attaque par force brute. Votre mot de passe doit être suffisamment long (au moins 8 caractères), comporter des majuscules, des minuscules, des chiffres et des caractères spéciaux. Vous pouvez également utiliser des espaces.

Pour générer automatiquement un mot de passe fort, nous vous recommandons le site www.generateurdemotdepasse.com. Cochez la case « Avec des caractères spéciaux » et augmentez le nombre de caractères. Avec 15 caractères, votre mot de passe résistera pendant des dizaines voire des centaines d’années à une attaque continue par force brute, le nombre de combinaisons possibles étant gigantesque (7815 soit 2.4 x 1028).

En cas de doute ou d’activité suspecte sur votre site, changez systématiquement votre mot de passe. Cela ne prend qu’une minute et pourrait vous éviter bien des ennuis. Nous vous recommandons de le modifier assez régulièrement, surtout si votre site est très visité et potentiellement plus exposé aux attaques.

Dissimuler l’interface de connexion au back-office

L’URL du back-office de WordPress est bien connue des pirates : il suffit de rajouter /wp-admin ou /wp-login.php au nom de domaine pour arriver sur l’interface de connexion. Vous pouvez réduire de manière importante les tentatives d’intrusion en modifiant cette URL. Pour cela, il vous faut ajouter cette ligne à votre fichier .htaccess (présent à la racine de votre FTP) :

RewriteRule ^(/)?customlogin/?$ /wp-login.php [QSA,L]

La nouvelle interface de connexion au back-office sera alors http://www.votresite.com/customlogin. Remplacez le slug « customlogin » par celui de votre choix pour personnaliser votre URL de connexion et ainsi être sûr de bien cacher votre back-office.

Si vous ne souhaitez pas modifier directement votre fichier .htaccess, vous pouvez utiliser iThemes Security, une extension de sécurité gratuite et très complète qui propose cette fonctionnalité ainsi que de nombreuses autres options pour protéger votre site contre les attaques et intrusions. Vous pouvez notamment configurer iThemes Security pour bloquer automatiquement les adresses IP des visiteurs ou robots essayant de se connecter à plusieurs reprises à votre back-office (attaques par force brute). Une option permet même de bloquer immédiatement toute adresse IP tentant une connexion avec l’identifiant « admin ».

Limiter le nombre d’administrateurs

Plus votre site comporte d’administrateurs, plus vous multipliez les risques de piratage. En effet, même si vous avez un identifiant et un mot de passe difficiles à trouver, il suffit qu’un autre administrateur ne prenne pas ces précautions pour que la sécurité du site soit compromise.

Pour éviter cela, prenez de bonnes habitudes :

  • Limitez au maximum le nombre d’administrateurs. Généralement, un seul administrateur par site est suffisant. Vous pouvez donner des droits d’éditeur / auteur / contributeur aux autres utilisateurs selon leurs rôles et leurs besoins sur le site.
  • En cas d’intervention sur votre site d’une personne de confiance ayant besoin d’un accès administrateur, donnez-lui directement vos accès personnels ou créez-lui un compte temporaire dont vous aurez vous-même choisi le mot de passe selon les règles indiquées précédemment. Une fois l’intervention terminée, supprimez le compte ou retirez-lui les droits d’administration.
  • Si vous êtes obligé d’utiliser plusieurs comptes administrateur, assurez-vous que ceux-ci disposent tous d’un identifiant et d’un mot de passe complexes. Insistez auprès des utilisateurs pour qu’ils respectent ces règles essentielles de sécurité.
  • De manière générale, prenez l’habitude de supprimer les comptes non utilisés, qu’ils aient ou non des droits d’administration. Chaque compte est une porte d’entrée supplémentaire sur votre site.

Ne pas dévoiler l’identifiant dans les pages d’auteur

Si vous disposez d’une partie blog sur votre site et que votre thème fait apparaître les pages d’auteur (archives listant tous les articles d’un même utilisateur), soyez très vigilant par rapport à l’URL de ces pages. En effet, WordPress utilise par défaut l’identifiant d’utilisateur comme slug de l’URL. Voici par exemple ma page d’auteur sur le blog d’Oboqo : https://www.oboqo.com/blog/author/pierre/. Vous pouvez voir que « pierre » apparaît dans l’URL : il s’agit de mon identifiant de connexion. Cela donne une précieuse indication aux pirates qui n’ont plus qu’à trouver mon mot de passe.

Pour des raisons évidentes de sécurité, ce compte « pierre » n’est pas un compte administrateur. Il permet simplement de rédiger des pages ou articles, l’intérêt pour un pirate est donc limité. En règle générale, vous ne devriez jamais utiliser votre compte administrateur pour publier des articles à partir du moment où les pages d’auteur sont présentes sur votre site. Le back-office de WordPress vous permet d’attribuer un article à n’importe quel utilisateur lors de sa publication (si l’option n’apparait pas, cochez « Auteur » dans « Options de l’écran »).

Certaines extensions permettent de modifier l’URL des pages d’auteur. Cependant, la meilleure solution est encore d’utiliser un autre type de compte pour la publication d’article, ou de désactiver complètement les pages d’auteur du site quand elles ne sont pas utiles (l’extension Yoast SEO le permet).

Attention : un compte éditeur ou auteur est certes moins intéressant qu’un compte administrateur pour un pirate, mais cela ne dispense pas d’utiliser un mot de passe fort pour ce type de compte également. En cas de piratage d’un compte éditeur, l’intrus pourrait en effet publier, modifier ou supprimer n’importe quel contenu sur votre site.

Source image : Flickr