Aujourd’hui WordPress est un système de gestion de contenus incontournable dans la création de sites web. Open-Source, libre, gratuit, il a de nombreuses raisons d’occuper la place du leader mondial. Mais il en devient par conséquent une cible privilégiée pour les cyber-attaques. Il est donc primordial de savoir se protéger de ces tentatives d’intrusion.
Comment faire ? De nombreuses solutions existent, mais toutes impliquent une action : sécuriser le back-office !
Bien choisir son identifiant
Dans WordPress, le rôle des administrateurs est crucial. Il permet une emprise totale sur l’ensemble du back-office : gestion des pages et des articles, création des menus, accès aux widgets, à la liste des utilisateurs, aux différentes configurations et extensions de votre site, … En somme, il ouvre droit à la gestion de l’ensemble du site. Il est donc capital que l’accès au compte du site soit imperméable. D’où l’importance du choix d’un identifiant complexe.
Que doit-on éviter et pourquoi ? Évitons dans un premier temps :
- Le mot « admin » ou « administrateur »
- Votre nom ou votre prénom
- Le nom de votre site
- Votre pseudonyme
Ces quelques identifiants seront les premiers à être essayés par tout pirate informatique. Pour éviter cela, une solution accessible à tous : choisir un mot de passe complexe. S’il est inutile de mettre des majuscules à un identifiant (puisque celles-ci sont automatiquement considérées comme des minuscules) ont peut toutefois utiliser des chiffres et des caractères spéciaux pour le composer. Variez les combinaisons et notez votre identifiant dans un lieu sûr.
Aussi, il est important de savoir que sur WordPress il est impossible de modifier l’identifiant d’un compte existant. Nonobstant, rien ne vous empêche de créer un nouveau compte administrateur dans lequel vous transférez le contenu de votre ancien compte. Une fois cette étape accomplie vous n’aurez plus besoin de votre compte précédent et pourrez le supprimer.
Utiliser un mot de passe complexe
Si utiliser un identifiant complexe est un premier pas vers plus de sécurité, il faut que celui-ci soit accompagné d’un mot de passe qui l’est tout autant. Il y a quelques critères simples à respecter pour créer un mot de passe difficilement attaquable. Les voici :
- Ne pas utiliser un mot
- Ne pas utiliser un nom ou un prénom
- Choisir un mot de passe qui fait minimum 8 caractères
- Créer un mot de passe qui comporte des majuscules, des minuscules, des chiffres et des caractères spéciaux.
Globalement, le but et d’éviter qu’il soit possible de relier votre mot de passe à quelque chose de concret.
Si vous ne souhaitez pas le créer vous-même, vous pouvez toujours conserver le mot de passe proposé par WordPress lors de la création de votre compte ou vous tourner vers un générateur automatique de mots de passe forts. Dans tous les cas, s’il y a un doute ou une activité suspecte sur votre site, changez les mots de passe de tous les utilisateurs ayant un accès au back-office. Par ailleurs, il est recommandé de modifier ses mots de passe de manière régulière, notamment si votre site est très visité et donc très exposé.
Limiter le nombre d’administrateurs
En suivant notre raisonnement, si on limite le nombre d’administrateurs, on limite également l’exposition aux risques de piratage. Il suffit qu’un seul administrateur n’applique pas les conseils mentionnés plus haut pour que votre site ne soit plus en sécurité. Posez-vous d’abord la question : Ai-je vraiment besoin d’avoir plusieurs administrateurs pour mon site ? Très souvent, il suffit d’un seul administrateur pour un site web. Vous pouvez si besoin donner des droits d’éditeur, auteur ou contributeur aux autres utilisateurs. S’il est parfois nécessaire de créer un compte administrateur à une personne de confiance, pour une intervention particulière, est-il nécessaire de garder ce compte ouvert après ladite intervention ? Si la réponse est non, supprimez-le. Si toutefois vous êtes dans l’obligation d’utiliser plusieurs comptes administrateur assurez-vous auprès de leurs utilisateurs que leurs mots de passe, tout comme leurs identifiants soient complexes. Puis finalement prenez l’habitude de supprimer les comptes non utilisés, qu’ils soient ou non administrateurs, car ils peuvent tous être une porte d’entrée vers votre site.
Un back-office bien protégé est essentiel tant pour la sécurité de votre site, comme pour votre tranquillité d’esprit.