Protéger le formulaire de connexion WordPress en 5 étapes

En matière de sécurité, protéger le formulaire de connexion WordPress est l’une des priorités si l’architecture de votre site internet est basée sur le célèbre CMS. L’authentification est un domaine complexe. C’est la raison pour laquelle nous allons énumérer, dans cet article, une liste de 4 bonnes actions pour vous prémunir des piratages et protéger le formulaire de connexion WordPress.

Utilisez un nom d’utilisateur et un mot de passe fort pour protéger le formulaire de connexion WordPress

En tout premier lieu, on ne le répétera jamais assez mais, choisissez un nom d’utilisateur et un mot de passe fort. Plus précisément, votre nom d’utilisateur devra être différent du titre de votre site. Vous pouvez par exemple choisir la première lettre de votre prénom en majuscule, suivi d’un caractère de ponctuation, votre prénom et ensuite un chiffre.

En ce qui concerne votre mot de passe, nous vous conseillons de respecter les critères suivants :

  • Un minimum de 12 caractères
  • Des caractères en minuscule et majuscule
  • Au moins un chiffre
  • Au moins un symbole

Vous pouvez d’ailleurs utiliser le gestionnaire de mots de passe Dashlane pour générer de puissants mots de passe sécurisés.

Concernant les noms d’utilisateurs, évitez à tout prix d’utiliser le terme « admin ». De même, à propos des mots de passe, en voici une liste non-exhaustive de ceux à éviter :

  • Password
  • Azerty
  • Qwerty
  • 123456
  • 000000
  • Motdepasse
  • Votre prénom
  • Votre date de naissance

En bref, choisir un nom d’utilisateur qui ne soit pas générique, couplé à un mot de passe sécurisé est la première étape pour protéger le formulaire de connexion WordPress.

Cacher le formulaire de connexion WordPress grâce à WPS Hide Login

L'extension WPS Hide Login change l'URL d'authentification pour protéger le formulaire de connexion WordPress

WordPress est utilisé sur 41% des sites du monde entier. Les pirates informatiques connaissent parfaitement son architecture. Votre formulaire de connexion est disponible à l’adresse : votresite.fr/wp-admin ou encore votresite.fr/wp-login.php.

Et si vous connaissez l’emplacement de votre formulaire d’authentification, les pirates informatiques le connaissent également. C’est la raison pour laquelle vous allez devoir cacher cette page pour protéger le formulaire de connexion WordPress. Et c’est possible grâce à l’extension WPS Hide Login.

Une fois l’extension installée et activée, il faut vous rendre dans les réglages généraux de votre site. Vous pourrez désormais changer l’URL de connexion à votre tableau de bord, et ainsi protéger le formulaire de connexion WordPress. Par défaut, le nouveau chemin est /login/. Nous vous invitons également à le changer et à employer une suite de caractères aléatoires.

Paramètres WPS Hide Login pour protéger le formulaire de connexion WordPress

Pensez à sauvegarder les permaliens tout de suite après, pour bien prendre en compte ces nouveaux paramètres.

Limiter le nombre de tentatives de connexion grâce à WPS Limit Login

L'extension WPS Limit Login limite le nombre de tentatives de connexion au formulaire d'authentification WordPress

Une technique très célèbre dans le monde du piratage est l’attaque par « bruteforce ». Cela consiste à essayer plusieurs noms d’utilisateur et de mots de passe sur un formulaire de connexion jusqu’à trouver la bonne combinaison. À partir de ce moment, deux cas de figure existent :

  • L’attaque réussit et le pirate a accès à votre tableau de bord WordPress
  • L’attaque échoue, mais crée une surcharge au niveau du serveur et votre site deviendra alors inaccessible.

Dans les 2 cas, cela sera négatif pour vous.

WPS Limit Login va protéger le formulaire de connexion WordPress en limitant le nombre de tentatives d’authentification sur votre formulaire. Vous pouvez, par exemple, bloquer les adresses IP durant 60 minutes après 3 échecs d’authentification. Ainsi, les attaques par « bruteforce » n’auront aucune chance d’aboutir.

Paramètres de WPS Limit Login pour protéger le formulaire de connexion WordPress

Par ailleurs, vous pouvez créer une liste blanche d’adresse IP ainsi qu’une liste noire. Ajoutez donc votre adresse IP dans la liste blanche pour ne jamais être bloqué par votre nouvelle extension. Attention, il s’agit bien de votre adresse IP publique, et non votre adresse IP privée.

Ajouter une extension pour activer la double authentification

La double authentification est une méthode informatique employée pour sécuriser votre formulaire de connexion, en utilisant 2 facteurs d’authentification distincts et indépendants. Contrairement à une connexion simple, à l’aide d’un nom d’utilisateur et un mot de passe, la double authentification va ajouter une étape au processus de connexion. Cela peut être :

  • Un code envoyé par SMS
  • Un code généré par une application
  • Un code envoyé par e-mail.

Dans le but de protéger le formulaire de connexion WordPress, la double authentification s’inscrit donc pleinement dans ce processus. Plusieurs extensions existent d’ailleurs pour l’activer, nous recommandons Google Authenticator.

Si vous souhaitez en savoir plus, nous avons écrit un super article sur la double authentification sur WordPress.

Installer le Google reCaptcha

Vous connaissez cette fonctionnalité, il s’agit de cette petite case « je ne suis pas un robot » à cocher pour prouver votre existence en tant qu’humain. Il est tout à fait possible d’installer cet outil directement sur votre formulaire d’authentification grâce à l’extension Advanced noCaptcha & invisible Captcha. Nous vous conseillons de choisir la version 3 du captcha dans les paramètres de l’extension qui est un captcha invisible.

L’application vous demande le « site key » et la « secret key ». Pour les obtenir, rendez-vous sur le site reCaptcha et cliquez sur « v3 Admin Console ». Renseignez un libellé, le reCaptcha v3, ainsi que votre nom de domaine. Vous aurez accès au 2 clés que vous devrez renseigner directement dans les paramètres de l’extension afin de protéger le formulaire de connexion WordPress à l’aide du reCaptcha v3 de Google.

Alors, protéger le formulaire de connexion WordPress, c’est facile ?

En guise de conclusion, si vous suivez ces 4 étapes, votre formulaire de connexion WordPress sera parfaitement protégé. Par ailleurs, si vous souhaitez aller plus loin en termes de sécurité, rendez-vous sur notre article Comment sécuriser son site WordPress. Certes, vous retrouverez quelques informations similaires à cet article, mais également des pistes sur le choix de votre hébergeur, les mises à jour, et bien d’autres.

Enfin, n’oubliez pas que Divilogy est spécialisé dans la conception de sites internet et nous vous accompagnerons avec plaisir dans tous vos projets digitaux !

Cet article vous a plu ? Partagez-le sur l’un de vos réseaux favoris !

Retrouvez nos articles similaires

Découvrez nos articles en avant première !

Découvrez nos articles en avant première !

Rejoignez nos fidèles lecteurs et soyez averti parmi les PREMIERS de nos prochains tutoriels sur WordPress et le web en général !

Vous faites désormais parti des chanceux 🍀 !