Sécuriser l’adresse de connexion au back-office WordPress

L’interface d’administration de votre site − aussi appelée back-office − est un point névralgique de votre site Internet ; il vous permet d’ajouter/modifier/supprimer des pages, gérer les comptes utilisateurs, gérer votre catalogue/commandes/clients dans le cadre d’un site e-commerce, …

Construit avec WordPress, l’identification à cette interface d’administration est accessible via une adresse normalisée : http://votre-site.com/wp-admin

Quels sont les risques ?

Pratique à retenir, cette adresse /wp-admin cache néanmoins un inconvénient majeur : elle est connue de tous ! Or, avec ses + de 40% de part de marché, WordPress est extrêmement ciblé par les pirates…

Laisser accessible cette porte d’entrée facilite grandement la vie des pirates : ils peuvent alors tenter de se connecter à votre interface d’administration WordPress en utilisant des mots de passe aléatoires. Ce processus est réalisé à l’aide de simples scripts qui travaillent jour et nuit à un rythme effréné – parfois plusieurs tentatives d’identifications par secondes, jusqu’à tomber sur des identifiants corrects. C’est ce qu’on appelle une attaque par force brute.

Dès qu’un accès a été trouvé, le pirate n’a plus qu’à déverser son venin, là encore de manière automatique : suppression de pages, modifications de mots de passe, récupération de données confidentielles, défacement, envoi de spams en votre nom, cryptojacking … l’imaginaire des pirates est sans limite et évolue chaque jour.

Comment s’en prémunir ?

On l’a vu, ce genre d’attaque est facilitée par le fait que l’adresse d’identification soit connue (/wp-admin). Un moyen simple et rapide de s’en protéger consiste donc tout simplement à modifier cette adresse d’identification : remplacez /wp-admin par une adresse personnalisée, voir carrément cryptique ! Par exemple, /admin5ETeQig4aZnTjCEpDGgfr.

En plus de sécuriser votre site, cette modification peut avoir un impact positif indirect sur votre site : en décourageant les attaques par force brute, vous épargnez un grand nombre de requêtes à votre serveur, qui profitera d’avantages de ressources pour vos visiteurs légitimes, et leur affichera donc vos pages plus rapidement.

Cette technique de sécurisation par obfuscation n’est qu’une technique parmi de nombreuses autres. En outre, elle ne remplacera jamais l’application d’une bonne politique de mots de passe ainsi qu’une mise à jour régulière de WordPress.

Contactez l’agence Bazalt pour un audit complet de la sécurité de votre site WordPress.