14 astuces pour protéger vos utilisateurs

La protection des utilisateurs est un point parfois négligé dans la sécurisation d’un site Web, et c’est bien dommage.

Les plugins, les thèmes et les utilisateurs sont les 3 points d’entrées depuis l’extérieur sur votre site, voilà pourquoi il est important de protéger à la fois la page de connexion ainsi que les comptes membres ou comptes clients.

La sécurisation d’un site WordPress passe aussi par ces quelques étapes, en voici quelques unes réalisées grâce au plugin SecuPress.

Ajouter une adresse email de récupération

L’ajout d’une seconde adresse email de récupération est un système déjà utilisé par Google par exemple. Il permet en cas de piratage de la boite principale, de recevoir des instructions de sécurité et récupération de cette première sur la seconde adresse.

Ajouter une limite de tentatives de connexions

Nativement la page de connexion de WordPress laisse la possibilité de faire autant d’essais que vous le voulez, ce qui permet à des robots de tenter de forcer votre mot de passe tout en prenant leur temps.

Je vous conseille en plus de limiter le nombre d’essais à une dizaine, 3 est un peu court, on a tous le droit de se tromper, mais 10 fois, peut-être pas !

Bannissez ces mauvaises tentatives

Une fois les 10 tentatives faites, que faire ? Et bien bannir l’adresse IP de cette personne, ce robot pendant 5 minutes au moins. S’il recommence ensuite, passer à quelques heures ou jours pour le décourager.

Bannissez les tentatives avec des logins inexistants

Si quelqu’un essaie de se connecter à votre site avec un login qui n’existe pas, par exemple admin alors que vous avez supprimé ce compte, pourquoi laisser même 1 seul essai de se connecter ? Inutile, si ce robot tente des noms aléatoires, bannissez de suite son IP comme pour le point précédent.

Empêcher les connexions pendant votre sommeil

Vous savez que vous vous couchez vers 23h et vous levez vers 7h ? Pourquoi laisser la possibilité de se connecter à l’administration pendant ces horaires ? Inutile, fermez la porte entre ce lapse de temps et empêchez ainsi toute tentative d’usurpation.

 

Empêchez les doubles connexions

Si vous êtes connecté sur votre compte d’administration, pourquoi laissez quelqu’un se connecter aussi à votre compte ? Inutile, empêcher toute tentative de connexion à votre compte si vous êtes déjà connecté avec, cela empêche même une personne ayant connaissance de votre mot de passe d’usurper votre compte.

Supprimer les multiples sessions de vos membres

Vous avez des doutes sur un membre qui semble être connecté 5 ou 10 fois à la fois avec son compte ? Vous soupçonnez que quelqu’un puisse être connecté sur votre compte ? Coupez les sessions des utilisateurs ou les votre afin de les forcer à se reconnecter. Vous serez alors certains que ces personnes étaient bel et bien en connaissance du mot de passe du compte et non une usurpation.

Évitez de taper un mot de passe

Imaginez ne plus avoir à retenir ni se cacher pour se connecter à son compte lorsque vous devez taper votre mot de passe. C’est possible en utilisant une méthode de double authentification de type PasswordLess.

SecuPress inclus ce module qui vous permet de n’utiliser que votre login ou email (ou email de récupération), puis vous recevrez dans votre boite mail un lien spécial valide une seul fois qui vous permettra de vous connecter, même si une personne connait le mot de passe de votre compte, cela ne suffit pas car elle aurait besoin d’un accès à vos courriers.

Laissez les robots à la porte

En utilisant un captcha sur la page de connection, vous empêchez les robots de réaliser des tentatives de connection sur votre site, le rendant ainsi imperméable à leurs tests.

Ne laissez pas vieillir les mots de passe

Un mot de passe ça s’entretient, oui oui ! Il est fortement conseillé de changer de temps en temps. Limiter le nombre de jours de vie d’un mot de passe est une solution simple pour réaliser cette tâche.

Utiliser un mot de passe fort

Nous en avons déjà parlé, un mot de passe se doit de tenir le choc lorsque les robots viendront frapper à la porte (ou alors elle est bien fermée ?). Relisez notre article, et forcez l’utilisation des mots de passe fort à vos membres.

Montrer patte blanche

Lorsque vous devez modifier votre mot de passe, WordPress ne vous demande pas l’ancien, il me semble que cela manque de sécurité, c’est pourquoi SecuPress ajoute un champ “Ancien mot de passe”, sans lequel vous ne pourrez pas le modifier. Cela permet par exemple d’empêcher quelqu’un installé à côté de vous de modifier rapidement votre mot de passe si vous vous absentez un instant.

Interdisez les noms d’utilisateurs fantaisistes

Par défaut WordPress autorise tous les noms possibles, mais il serait bien d’éviter d’utiliser des noms comme “www”, “admin”, “administrator” etc Ces noms pourraient être utilisés pour se faire passer pour un membre du staff, ou tromper le système si jamais le nom de la personne se retrouve paramétré comme sous domaine (imaginez www …).

Bloquez l’utilisation et la création d’utilisateur avec ces noms est un point de sécurité à ajouter pour votre site WordPress.

Déplacer la page de connection

Les robots savent parfaitement où trouver la page de connection d’un site WordPress, c’est pourquoi il est conseillé de la déplacer en utilisant le module de SecuPress “Move Login”. Vous avez la possibilité de ne la cacher que pour les robots, ou aussi pour les humains (je vous conseille d’avoir bonne mémoire !).

14 conseils à appliquer, 14 règles de sécurité supplémentaires pour protéger les comptes de vos utilisateurs et à la fois votre site. SecuPress permet de les mettre en place en quelques clics.