Plusieurs blogs et site professionnels sur la sécurité recommandent aux administrateurs WordPress de changer l’URL de connexion de leur site. Il y a un bon nombre de plugin de sécurité disponibles qui vous permettent de modifier automatiquement l’URL de connexion avec le clic d’un bouton.
Est-ce que la modification de l’URL de connexion (par défaut : / wp-admin ou /wp-login.php ) peut vraiment améliorer la sécurité de vos blogs et sites WordPress? Ou est-ce un autre mythe de WordPress? Cet article se penche sur cette solution de sécurité recommandée pour voir si cela améliore vraiment la sécurité de vos blogs WordPress et les sites Web.
Pourquoi changer l’URL de connexion de WordPress?
Les principales raisons pour lesquelles les administrateurs WordPress voudraient changer l’URL de la page de connexion sont:
- Cacher le fait qu’ils utilisent WordPress
- Si vos visiteurs savent que vous utilisez WordPress, ils peuvent facilement trouver la page de connexion, ce qui fait de votre site une cible facile
- Protéger votre site WordPress des attaques par force brute
- Les attaquant gaspillent la bande passante et vos ressources WordPress en utilisant l’URL de connexion par défaut,
- Protéger votre site WordPress des attaques de vulnérabilité Zero Day
Pour être franc, tout ce qui précède n’a rien à voir avec des questions de sécurité proprement dites, ou mieux ne crée pas de risques pour la sécurité de votre site WordPress comme nous allons le voir ci-dessous.
Cacher l’utilisation de WordPress
Cacher le fait que vous utilisez WordPress ne va pas améliorer la sécurité de votre site, et n’empêchera pas qu’il soit moins une cible. Les pirates utilisent des scanners automatisés pour identifier leur cible et ne ciblent pas votre site WordPress spécifiquement, donc cacher le fait que vous utilisez WordPress pour votre site n’aide pas vraiment.
Et même si votre installation WordPress est ciblée, il existe de nombreux outils de sécurité disponibles gratuitement que les attaquants peuvent utiliser pour identifier le backend de votre site web.
Les pirates peuvent facilement trouver votre page de connexion
Si vous utilisez des identifiants forts, dans le nom d’utilisateur et le mot de passe, vous ne devriez pas vous soucier que quelqu’un sache où se trouve votre page de connexion. Par exemple, en renommant l’administrateur par défaut (admin) en quelque chose de long et de complexe, vous avez déjà une longueur d’avance sur les pirates, les outils automatisés généralement utilisés essayent seulement de forcer des comptes ayant un nom d’utilisateur typiques comme admin, administrateur, root, etc…
Vous pouvez également utiliser un plugin tels que WP Password Manager pour veiller à ce que tous les utilisateurs de votre site WordPress utilisent des mots de passe forts.
D’autres outils automatisés utilisent des noms d’utilisateur faibles contenus dans une liste, donc en modifiant l’identifiant du compte Administrateur de WordPress les chances qu’une personne puisse deviner votre nom d’administrateur sont extrêmement faibles, ou alors l’attaque durera suffisamment longtemps pour que vous ou hébergeur puissent identifier l’attaque et la bloquer.
Protéger WordPress contre les attaques par Force Brute
Pour protéger votre site WordPress des attaques par force brute il existe une solution simple et efficace, qui consiste à mettre en œuvre une couche d’authentification supplémentaire (Authentication HTTP) afin d’accéder à la page de connexion WordPress .
Les pirates utilisent les ressources du serveur pour attaquer la page de connexion WordPress
Compte tenu que l’URL de la page de connexion de WordPress est connue des pirates, ceux-ci vont utiliser beaucoup de bande passante et de ressources de votre serveur en lançant des attaques par force brute.
Même si vous avez modifié le nom d’utilisateur par défaut (admin) ou que votre page de connexion s’exécute avec le protocole HTTPS, la meilleure solution reste celle suggérée plus haut, à savoir ajouter un deuxième niveau d’authentification en modifiant le fichier .htaccess.
Protéger WordPress des attaques de vulnérabilité Zero Day
Bien que les vulnérabilités du code de base de WordPress sont assez rares, il y a encore des chances pour qu’une personne découvre une vulnérabilité Zero Day qui contourne la page de connexion WordPress.
Dans ce cas, appliquez la même règle que plus haut et activez l’authentification HTTP.
Faut-il déplacer l’URL de la page de connexion?
Par conséquent, devriez vous déplacer la page de connexion WordPress ? Si vous pouvez, bien sûr, pourquoi pas? Comme nous l’avons vu, si vous souhaitez modifier l’URL de la page de connexion WordPress pour une des raisons mentionnées ci-dessus, cela n’est pas nécessaire.
Bien que vous preniez des mesures de sécurité, ne laissez pas une telle solution vous donner un faux sentiment de sécurité. Même si vous avez modifié l’URL de la page de connexion, cela ne signifie pas que vous pouvez utiliser des informations d’identification faibles, ou qu’il il n’est pas nécessaire d’utiliser l’authentification HTTP ou SSL pour WordPress.
Les pirate malveillant peut toujours utiliser un générateur automatisé qui, en quelques heures devinera la nouvelle URL de votre page de connexion. Mais si vous protégez votre répertoire /wp-admin en utilisant l’authentification HTTP, vous aurez deux niveaux d’authentification, donc l’attaquant devra d’abord s’authentifier auprès du serveur Web pour être en mesure d’accéder à la page de connexion WordPress.
Comment générer une authentification HTTP?
Afin d’utiliser l’authentification HTTP, il faut installer un fichier .htpasswd sur votre site. Ce fichier est un fichier texte contenant les identifiants et mots de passe cryptés pour chaque personne autorisée à accéder au répertoire concerné.
Voici à quoi ressemble le code à insérer dans le fichier .htpasswd:
AdministrateurDuSite:$apr1$mXRaO186$x7I3UwkjpUxNgH84P1MuM0
Le nom d’utilisateur est en clair, mais le mot de passe est crypté, et seul le protocole HTTP peut le décrypter. Le site Aspirine.org vous donnera plus de détails sur l’encodage des mots de passe.
Une fois le fichier .htpasswd créé, vous devez également créer un fichier .htaccess qui doit être téléchargé vers le répertoire wp-admin de votre installation WordPress. S’il n’y a pas de fichier .htaccess dans le répertoire wp-admin de votre site, vous devrez en créer un nouveau. S’il existe déjà un fichier. htaccess, faites une copie de sauvegarde et modifiezl’existant.
Certains systèmes d’exploitation tels que Windows ne vous permet pas de créer un fichier .htaccess. Dans de tels cas, utilisez un éditeur de texte créer un nouveau fichier htaccess.txt. Une fois que vous le nouveau fichier créé , ajoutez le contenu ci-dessous pour votre fichier htaccess.txt:
# enable basic authentication AuthType Basic # this text is displayed in the login dialog AuthName “Acces Interdit” # The absolute path of the Apache htpasswd file. You should edit this AuthUserFile /path/to/.htpasswd # Allows any user in the .htpasswd file to access the directory require valid-user
Enregistrez le fichier et transférez le dans le répertoire WordPress wp-admin. Une fois en place, renommez le fichier htaccess.txt en .htaccess, ensuite toute personne qui tentera d’accéder à l’adresse http://votresite.fr/wp-admin, ou essayera de se connecter au tableau de bord WordPress, devra au préalable s’authentifier avec le serveur Apache avant de pouvoir accéder à votre page de connexion WordPress.
Tout cela semble un peu complexe, mais c’est moins difficile qu’il n’y paraît.
Comment protégez vous l’administration de votre site WordPress ? Avez vous des trucs ? Laissez vos commentaires ci-dessous.
Et n’oubliez pas,
Partagez, c’est comme faire un cadeau, c’est toujours apprécié, Merci!
Publié à l'origine le : 2 octobre 2014 @ 16 h 53 min