Selon une étude menée en 2013, à l’époque déjà environ 30 000 sites étaient piratés chaque jour, il va sans dire qu’aujourd’hui le chiffre a grandement augmenté. Pour éviter que votre site fasse partie de ce nombre, vous avez besoin de prendre des mesures restrictives pour protéger votre site WordPress contre le piratage. L’une d’entre elles est de restreindre l’accès à votre page de connexion WordPress.
Sécuriser vos données est important, mais indiquer à vos visiteurs que leurs données sont en sécurité est encore plus important. Un site protégé est un site crédible.
Comment restreindre l’accès à la page de connexion?
Il existe plusieurs méthodes que vous pouvez adopter pour réduire les risques de piratage de votre site WordPress. Limiter l’accès de l’administration de votre site à un ensemble prédéfini d’utilisateurs est l’une d’entre elles. Dans cet article, je vais vous guider, étape par étape, pour apprendre à restreindre l’accès à la page de connexion WordPress à certains utilisateur, c’est à dire à certaines adresses IP.
Avant d’aller plus loin, voyons quelques unes des menaces de sécurité auxquelles votre site WordPress peut-être confronté.
Les menaces contre la sécurité de WordPress
- Tentatives de connexion par Force Brute – Quand un pirate tente d’accéder à votre site en essayant de se connecter grâce à une liste de combinaisons de noms d’ utilisateurs et de mots de passe.
- Divulgation des Informations de Connexion – WordPress informe l’utilisateur quelles sont les informations de connexion incorrectes. Par exemple, si votre nom d’ utilisateur est correct, mais que le mot de passe ne correspond pas, WordPress va en informer l’utilisateur. Cela rend les attaques par force brute beaucoup, beaucoup plus facile.
- Version WordPress – Si un pirate découvre la version de WordPress que vous utilisez il peut utiliser des vulnérabilités spécifiques à la version pour accéder à votre site, c’est pourquoi lorsqu’une mise à jour sécuritaire est disponible, vous devez faire la mise à jour immédiatement.
- Accès aux Thèmes et aux Plugin – Les propriétaires de sites WordPress autorisent l’accès aux fonctionnalités d’édition, ce qui peut se révéler un problème de sécurité grave, cet accès est généralement déconseillé.
Voyons à présent quelques étapes préliminaires avant passer aux modifications.
Quelques mesures de sécurité
Dans ce article, nous allons ajouter du code `PHP`au fichier `.htaccess` . Par mesure de précaution, la première étape consiste à sauvegarder ce fichier dans un endroit simple à mémoriser, comme par exemple le bureau de votre système d’exploitation.
Certains d’entre vous pourraient également vouloir sauvegarder l’ ensemble du site avant de se lancer. Faites des sauvegardes régulières de votre site est une bonne habitude à prendre et devrait être fait avant toutes modifications. BackupBuddy est probablement l’un des meilleurs plugin de sauvegarde, et il vous aidera à réaliser facilement des sauvegardes.
IP statique ou IP dynamique
Je vais vous expliquer comment restreindre l’accès au tableau de bord de votre site WordPress en fonction du type d’adresses IP utilisées, IP statiques ou IP dynamiques.
La partie concernant l’adresse IP statique est à lire, si vous modifiez votre site à partir de votre ordinateur de bureau ou de quelque autres endroits réguliers. Dans ce cas, votre adresse IP ne change pas, c’est à dire qu’elle est statique.
La partie concernant l’adresse IP dynamique est à lire, si votre site peut être édité à partir de plusieurs endroits, pouvant varier.
Votre adresse IP est dynamique quand:
- D’autres membres de l’équipe peuvent accéder au site, pour le modifier, à partir de différents endroits
- Vous utilisez un appareil mobile pour modifier votre site WordPress
- Vous voyagez régulièrement et vous avez besoin d’un accès à votre site depuis différents endroits
Maintenant que les bases sont posées, commençons.
Restreindre l’accès à la page de connexion
La première étape pour restreindre l’accès à la page de connexion de votre site est de connaître votre adresse IP. Si vous ne la connaissez pas, vous pouvez le vérifier sur des sites comme monip.com.
Comme nous l’ avons mentionné plus haut, nous allons modifier le fichier de configuration `.htaccess`.
La deuxième étape est de localiser le fichier `.htaccess` de votre site. Le fichier `.htaccess`se trouve dans le répertoire racine de votre site. Toutefois, si vous ne disposez pas d’un fichier `.htaccess`pour une raison quelconque , vous pouvez le créer vous-même.
Une fois que vous avez trouvé votre fichier `.htaccess`, la troisième étape est de trouver un éditeur de texte approprié afin de pouvoir ajouter du code dans le fichier. Je vous recommande d’ utiliser soit l’éditeur de texte livré avec votre système d’exploitation (comme le bloc-notes), ou si vous êtes sous Windows, Notepad++, pour modifier le fichier `.htaccess` de votre site.
Remarque: Tout le code sera ajouté au début du fichier `.htaccess` afin d’éviter d’abîmer les paramètres existants du site.
Comment restreindre l’accès à des adresses IP statiques
Si votre adresse IP ne change pas souvent ou si vous accédez à votre site à partir de plusieurs adresses IP connues, vous pouvez restreindre l’accès à la page de connexion en définissant les adresse IP statiques autorisées.
Je vais vous expliquer comment créer une liste d’adresses IP sécurisées pour les utilisateurs (adresses IP) qui sont autorisés à accéder à la page de connexion de votre site WordPress.
Restreindre l’accès à certaines adresses IP statiques
Ouvrez votre fichier `.htaccess`dans votre éditeur de texte, et ajoutez le code suivant dans la partie supérieure du fichier:
RewriteEngine on RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteCond %{REMOTE_ADDR} !^12\.345\.678\.90 RewriteCond %{REMOTE_ADDR} !^IP Address InsertTwo$ RewriteCond %{REMOTE_ADDR} !^IP Address InsertThree$ RewriteRule ^(.*)$ - [R=403,L]
Enregistrez les modifications faites au fichier `.htaccess`.
Modification du code
Tout ce que vous avez à faire à présent, est de modifier les lignes 4 et 5 et d’insérer les adresses IP autorisées à accéder à la page de connexion WordPress.
Pour ce faire, remplacez `IP Address InsertTwo$` et `IP Address InsertThree$` par les adresses IP auxquelles vous souhaitez accorder un accès à la page de connexion. L’adresse IP utilisée doit être dans le format spécifié de la ligne 3.
N’oubliez pas de remplacer, dans la ligne 3, l’adresse 12\.345\.678\.90
par votre propre adresse IP.
Ajout ou suppression d’utilisateurs autorisés
Si vous souhaitez autoriser l’ accès à la page de de connexion à d’autres adresses IP , vous pouvez simplement faire un copier-coller de `RewriteCond% {REMOTE_ADDR}! ^ IP Address Insert$`et d’insérer l’adresse IP autorisée à la place du texte `IP Adress Insert$`.
De même, si vous souhaitez seulement accorder l’ accès à deux personnes, retirez la ligne `RewriteCond %{REMOTE_ADDR} !^IP Address InsertThree$`
Que se passe-t-il quand un utilisateur non autorisé accède à la page?
A présent que vous avez défini quelles adresses IP pouvait accéder à la page de connexion, lorsqu’un utilisateur non autorisé veut accéder à cette page ou à la page `wp-admin`, il verra s’afficher la page `Erreur 404` de votre thème.
Comment restreindre l’accès avec des adresses IP dynamiques
Certains d’entre vous peuvent avoir besoin d’accorder un accès à plusieurs utilisateurs, si votre site a de nombreux contributeurs ou parce que vous utilisez un réseau multi-sites. De fait plusieurs adresses IP, qui évoluent dynamiquement, auront besoin de se connecter au tableau de bord de votre site.
Restreindre l’accès à des adresses IP dynamiques
Ouvrez le fichier `.htaccess` de votre site dans votre éditeur de texte. Ajoutez le code ci-dessous dans la partie supérieure du fichier `.htaccess` , et enregistrez le fichier.
RewriteEngine on RewriteCond %{REQUEST_METHOD} POST RewriteCond %{HTTP_REFERER} !^http://(.*)?votre-domaine.fr [NC] RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR] RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ RewriteRule ^(.*)$ - [F]
Modification du code
Pour rendre le code applicable à votre site, remplacez `votre-domaine.fr` de la ligne 3 par le nom de domaine de votre site WordPress.
Fonctionnalité de code
Ce code restreint l’ accès aux pirates qui utilisent des attaques par force brute pour tenter d’accéder à votre site WordPress avec des robots. Les pirates tentent d’accéder à votre site depuis l’extérieur.
L’ ajout de ce code au fichier `.htaccess` fait que seuls les personnes qui accéderont d’abord à votre site, seront en mesure d’accéder à la page de connexion ou au `wp-admin`du site.
Pour finir
Aucune solution ne garantira la protection totale de votre site contre toutes les menaces possibles. Restreindre l’accès à la page de connexion WordPress, en n’autorisant l’accès qu’à certaines adresses IP, vous permettra de protéger votre site, entre autres, des attaques par force brute.
Est-ce que votre site WordPress a déjà fait face à une menace de sécurité? Est-ce-que pour vous, restreindre l’accès à la page de connexion est une mesure efficace? Quelles mesures avez vous pris pour protéger votre site contre les pirates? Dites nous comment vous protégez votre site dans la section commentaires ci-dessous.
Si cet article vous a intéressé, Partagez le! Il intéressera d’autres personnes, Merci!
Publié à l'origine le : 20 avril 2016 @ 13 h 51 min