Trusted WordPress tutorials, when you need them most.
Beginner’s Guide to WordPress
Coupe WPB
25 Million+
Websites using our plugins
16+
Years of WordPress experience
3000+
WordPress tutorials
by experts

14 Astuces vitales pour protéger votre zone d’administration WordPress (mise à jour)

Vous cherchez des moyens de protéger votre zone d’administration WordPress ?

Protéger la zone d’administration contre les accès non autorisés vous permet de bloquer de nombreuses menaces de sécurité courantes. Cela peut s’avérer utile si vous constatez de nombreuses attaques sur votre site WordPress.

Dans ce tutoriel, nous allons vous afficher quelques-unes des astuces vitales et des hacks pour protéger votre zone d’administration WordPress.

Tips and hacks to protect WordPress admin area

Nous allons aborder de nombreuses astuces, et vous pouvez utiliser les liens rapides ci-dessous pour passer de l’une à l’autre :

1. Utiliser un pare-feu

Un pare-feu surveille le trafic du site web et empêche les demandes suspectes d’atteindre votre site web.

Bien qu’il existe plusieurs plugins de pare-feu WordPress, tels que Wordfence, nous recommandons d’utiliser Sucuri. Il s’agit d’un service de sécurité et de surveillance de sites web qui offre un pare-feu basé sur le cloud pour protéger votre site web.

Website Application Firewall

Tout le trafic de votre site web passe d’abord par le proxy en nuage de Sucuri, qui analyse chaque requête et bloque les requêtes suspectes pour qu’elles n’atteignent jamais votre site web. Votre site est ainsi protégé contre les tentatives de piratage, le phishing, les logiciels malveillants et autres activités malveillantes.

Une autre option intéressante est Cloudflare, que nous utilisons maintenant sur WPBeginner. Pour plus de détails, consultez notre article sur les raisons pour lesquelles nous sommes passés de Sucuri à Cloudflare.

2. Protéger par mot de passe le répertoire d’administration de WordPress

Votre zone d’administration WordPress est déjà protégée par votre mot de passe WordPress. Cependant, l’ajout d’une protection par mot de passe à votre répertoire d’administration WordPress ajoute un calque de sécurité supplémentaire à votre page de connexion.

Tout d’abord, vous devez vous connecter au tableau de bord cPanel de votre hébergeur WordPress, puis cliquer sur l’icône  » Protection des répertoires par mot de passe  » ou  » Confidentialité des répertoires « .

Directory privacy

Ensuite, vous devrez sélectionner votre dossier wp-admin, qui est normalement situé dans le répertoire /public_html/.

Sur l’écran suivant, vous devez cocher la case située à côté de l’option « Protéger ce répertoire par un mot de passe » et fournir un nom pour le répertoire protégé.

Cliquez ensuite sur le bouton « Enregistrer » pour définir les droits.

Password protect directory settings

Ensuite, vous devez appuyer sur le bouton « retour » et créer un utilisateur. Il vous sera demandé de fournir un identifiant et un mot de passe, puis de cliquer sur le bouton « Enregistrer ».

Désormais, lorsque quelqu’un essaiera de visiter le répertoire d’administration de WordPress ou wp-admin sur votre site, il lui sera demandé de saisir le nom d’utilisateur et le mot de passe.

Enter password

Pour des instructions plus détaillées, consultez notre guide sur la protection par mot de passe du répertoire d’administration de WordPress (wp-admin).

3. Toujours utiliser des mots de passe forts

Always use strong passwords

Utilisez toujours des mots de passe forts pour tous vos comptes en ligne, y compris votre site WordPress. Nous vous recommandons d’utiliser une combinaison de lettres, de chiffres et de caractères spéciaux dans vos mots de passe. Il est ainsi plus difficile pour les pirates de deviner votre mot de passe.

Les débutants nous demandent souvent comment se souvenir de tous ces mots de passe. La réponse la plus simple est que ce n’est pas nécessaire. Il existe des applications de gestion de mots de passe vraiment géniales que vous pouvez installer sur votre ordinateur et votre téléphone.

En savoir plus sur ce Sujet, consultez notre guide sur la meilleure façon de gérer les mots de passe pour les débutants sur WordPress.

4. Utiliser la vérification en deux étapes sur l’écran de connexion de WordPress

WordPress login screen with Google Authenticator enabled

La vérification en deux étapes, également appelée vérification à deux facteurs, authentification à deux facteurs ou 2FA, ajoute une calque de sécurité supplémentaire à vos mots de passe. Au lieu d’utiliser le mot de passe seul, elle vous demande de saisir un code de vérification généré par l’application Google Authenticator sur votre téléphone.

Même si quelqu’un parvient à deviner votre mot de passe WordPress, il aura toujours besoin du code Google Authenticator pour entrer.

Pour des instructions détaillées étape par étape, consultez notre guide sur la façon de configurer la vérification en 2 étapes dans WordPress à l’aide de Google Authenticator.

5. Limiter les tentatives de connexion

Limit login attempts

Par défaut, WordPress autorise les utilisateurs/utilisatrices à saisir leur mot de passe autant de fois qu’ils le souhaitent. Cela signifie que quelqu’un peut continuer à essayer de deviner votre mot de passe WordPress en saisissant différentes combinaisons. Cela permet également aux pirates d’utiliser des scripts automatisés pour craquer les mots de passe.

Pour corriger ce problème, vous devez installer et activer l’extension Limit Login Attempts Reloaded. Une fois activé, rendez-vous sur la page Réglages  » Verrouillage de la connexion pour définir les paramètres de l’extension.

Pour des instructions détaillées, consultez notre guide sur les raisons pour lesquelles vous devriez limiter les tentatives de connexion sur WordPress. Pour en savoir plus sur l’extension, vous pouvez également consulter notre avis détaillé sur Limit Login Attempts.

6. Limiter l’accès à la connexion aux adresses IP

Une autre excellente façon de sécuriser la connexion à WordPress est de limiter l’accès à des adresses IP spécifiques. Cette astuce est particulièrement utile si vous ou seulement quelques utilisateurs/utilisatrices de confiance avez besoin d’accéder à la zone d’administration.

Il suffit d’ajouter ce code à votre fichier .htaccess:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
</LIMIT>

N’oubliez pas de remplacer les valeurs xx par votre propre adresse IP. Si vous utilisez plusieurs adresses IP pour accéder à l’internet, veillez à les ajouter également.

Pour des instructions détaillées, consultez notre guide sur la façon de limiter l’accès à l’administration de WordPress à l’aide de .htaccess.

7. Désactiver les conseils de connexion

Disabled login hints

En cas d’échec d’une tentative de connexion, WordPress affiche des erreurs qui indiquent aux utilisateurs/utilisatrices si leur identifiant était incorrect ou le mot de passe. Ces indices de connexion peuvent être utilisés par quelqu’un pour des tentatives malveillantes comme les attaques par force brute.

Vous pouvez facilement masquer ces conseils de connexion en ajoutant le code suivant au fichier functions.php de votre thème ou en utilisant une extension d’extraits de code comme WPCode (recommandé) :

function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

Pour plus de détails, consultez notre guide sur la façon d’ajouter du code personnalisé dans WordPress sans casser votre site.

8. Prérequis pour l’utilisation de mots de passe forts par les utilisateurs/utilisatrices

Si vous gérez un site WordPress à auteurs/autrices multiples, ces auteurs/autrices peuvent modifier leurs comptes d’utilisateurs/autrices et utiliser un mot de passe faible. Ces mots de passe peuvent être déchiffrés et permettre à quelqu’un d’accéder à la zone d’administration de WordPress.

Pour résoudre ce problème, vous pouvez installer et activer le plugin SolidWP. Ensuite, vous pouvez suivre les étapes de notre guide complet sur la façon d’imposer des mots de passe forts aux utilisateurs dans WordPress.

9. Réinitialiser le mot de passe de tous les utilisateurs/utilisatrices

Êtes-vous préoccupé par la sécurité des mots de passe sur votre site WordPress multi-utilisateurs ? Vous pouvez facilement demander à tous vos utilisateurs/utilisatrices de réinitialiser leurs mots de passe.

Tout d’abord, vous devez installer et activer l’extension Emergency Password Reset. Une fois activé, rendez-vous sur la page Utilisateurs  » Réinitialisation d’urgence du mot de passe et cliquez sur le bouton  » Réinitialiser tous les mots de passe « .

Reset all passwords

Pour des instructions détaillées, consultez notre guide sur la façon de réinitialiser les mots de passe de tous les utilisateurs/utilisatrices dans WordPress.

10. Maintenir WordPress à jour

WordPress publie régulièrement de nouvelles versions de son logiciel. Chaque nouvelle version de WordPress core contient d’importantes corrections de bugs, de nouvelles fonctionnalités et des correctifs de sécurité.

L’utilisation d’une ancienne version de WordPress sur votre site vous expose à des exploits connus et à des vulnérabilités potentielles. Pour corriger ce problème, vous devez vous assurer que vous utilisez la dernière version de WordPress.

Pour en savoir plus sur ce Sujet, consultez notre guide sur les raisons pour lesquelles vous devriez toujours utiliser la dernière version de WordPress.

De même, les extensions WordPress sont souvent mises à jour pour introduire de nouvelles fonctionnalités ou corriger des problèmes de sécurité ou autres. Confirmez que vos extensions WordPress sont également à jour.

Note : Vous préférez laisser la maintenance de votre site WordPress aux professionnels ? Nos services de maintenance WPBeginner peuvent s’occuper de tout, des mises à jour à la suppression des logiciels malveillants, afin que vous puissiez vous concentrer sur la gestion de votre site web.

11. Créer des pages de connexion et d’inscription personnalisées

De nombreux sites WordPress nécessitent que les utilisateurs/utilisatrices s’inscrivent. Par exemple, les sites d’adhésion, les sites de gestion de l’apprentissage et les magasins en ligne exigent que les utilisateurs/utilisatrices créent un compte.

Cependant, ces utilisateurs/utilisatrices peuvent utiliser leur compte pour se connecter à la zone d’administration de WordPress. Ce n’est pas un gros problème, car ils pourront uniquement faire des choses autorisées par leur rôle d’utilisateur et leurs permissions.

Cependant, cela vous empêche de limiter correctement l’accès aux pages de connexion et d’Inscription, car vous avez besoin de ces pages pour que les utilisateurs/utilisatrices puissent s’inscrire, gérer leur profil et se connecter.

Pour corriger ce problème, il suffit de créer des pages de connexion et d’inscription personnalisées afin que les utilisateurs/utilisatrices puissent s’inscrire et se connecter directement à partir de votre site.

Pour des instructions détaillées étape par étape, consultez notre guide sur la façon de créer des pages de connexion et d’inscription personnalisées dans WordPress.

12. Apprendre à connaître les rôles et droits des utilisateurs/utilisatrices de WordPress

WordPress est doté d’un puissant système de gestion des utilisateurs avec différents rôles du compte et permissions. Lorsque vous ajoutez un nouvel utilisateur à votre site WordPress, vous pouvez sélectionner un rôle du compte. Ce rôle du compte définit ce qu’il peut faire sur votre site WordPress.

Assigner des rôles du mauvais type peut donner aux utilisateurs/utilisatrices plus de permissions qu’ils n’en ont besoin. Pour éviter cela, vous devez comprendre quelles permissions sont associées aux différents rôles du compte de l’utilisateur dans WordPress.

Pour en savoir plus sur ce Sujet, consultez notre guide du débutant sur les rôles et droits des utilisateurs/utilisatrices de WordPress.

13. Limiter l’accès au Tableau de bord WordPress

Certains sites WordPress ont certains utilisateurs qui ont besoin d’accéder au Tableau de bord et d’autres qui n’en ont pas besoin. Cependant, par défaut, ils peuvent tous accéder à la zone d’administration.

Pour corriger cela, vous devez installer et activer le plugin Retirer l’accès au tableau de bord. Une fois activé, rendez-vous sur la page Réglages  » Accès au tableau de bord et sélectionnez les rôles du utilisateurs qui auront accès à la zone d’administration de votre site.

Pour des instructions plus détaillées, consultez notre guide sur la façon de limiter l’accès au tableau de bord dans WordPress.

14. Déconnecter les utilisateurs/utilisatrices non connecté(e)s

Idle user logout

WordPress ne déconnecte pas automatiquement les utilisateurs/utilisatrices tant qu’ils ne se déconnectent pas explicitement ou qu’ils ne ferment pas la fenêtre de leur navigateur. Cela peut être une préoccupation pour les sites WordPress contenant des informations sensibles. C’est pourquoi les sites web et les applis des institutions financières connectent automatiquement les utilisateurs s’ils n’ont pas été actifs.

Pour corriger ce problème, vous pouvez installer et activer l’extension Déconnexion inactive. Une fois le plugin activé, accédez à la page Réglages  » Journalisation inactive et saisissez la durée au terme de laquelle vous souhaitez que les utilisateurs/utilisatrices soient automatiquement déconnectés.

Pour plus de détails, consultez notre article sur la façon de connecter automatiquement les utilisateurs/utilisatrices inactifs dans WordPress.

Nous espérons que cet article vous a aidé à apprendre de nouvelles astuces et hacks pour protéger votre zone d’administration WordPress. Vous pouvez également consulter notre guide ultime de sécurité WordPress étape par étape pour les débutants et nos choix d’experts des meilleures extensions de sécurité WordPress.

Si vous avez aimé cet article, veuillez alors vous abonner à notre chaîne YouTube pour obtenir des tutoriels vidéo sur WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.

Divulgation : Notre contenu est soutenu par les lecteurs. Cela signifie que si vous cliquez sur certains de nos liens, nous pouvons gagner une commission. Consultez comment WPBeginner est financé, pourquoi cela compte et comment vous pouvez nous soutenir. Voici notre processus éditorial.

Avatar

Editorial Staff at WPBeginner is a team of WordPress experts led by Syed Balkhi with over 16 years of experience in WordPress, Web Hosting, eCommerce, SEO, and Marketing. Started in 2009, WPBeginner is now the largest free WordPress resource site in the industry and is often referred to as the Wikipedia for WordPress.

L'ultime WordPress Toolkit

Accédez GRATUITEMENT à notre boîte à outils - une collection de produits et de ressources liés à WordPress que tous les professionnels devraient avoir !

Reader Interactions

133 commentairesLaisser une réponse

  1. Moinuddin Waheed

    Must have tips and tricks for protection of WordPress admin dashboard.
    I have used two factor authentication for admin login and also the login limits for admin access.
    dashboard protection is of utmost importance as it can have serious repurcussions if dashboard gets compromised.
    I didn’t know that we can have these much steps to protect our dashboard.
    Thanks for the exhaustive lists of tips for dashboard protection.

    • WPBeginner Support

      Glad to hear you found our list helpful!

      Administrateur

  2. Theo

    « This plugin has been closed as of November 23, 2020 and is not available for download. This closure is permanent. »

    I know that this is a 3 and a half years old article!

    It would be nice if someone could suggest an alternative! Thank you for your time!

    • WPBeginner Support

      We will certainly take a look at alternatives.

      Administrateur

  3. Raksa Sav

    If I add someone as an administrator of WordPress, can they remove from administrator or stole my WordPress site?

  4. Muchsin

    I want to ask
    I have tried the tutorial directory privacy on this article and it runs smoothly but there is one problem that is when I try the search feature located in the navigation menu on my website as a user and always asked to fill in the username and password of that directory. Then how do I solve the problem?
    I use the newspaper theme from tagdiv.

  5. sherizon

    what is the best advice in starting up an eceommerce website can i use wordpress?

  6. Brenda Donovan

    Good hints and tips here. Does is matter where in the functions.php file one puts the block hints script? Just add it to the bottom?

  7. Joe

    Another really helpful means of protecting your WP site is to use a login that is NOT ADMIN and not your email address. Use a unique login name like WP@#% or something crazy like that.

  8. Dragos

    You should also change where you install the default folder of wp-admin.

  9. Abhinav S Thakur

    Can anyone fix this?
    How shall I force SSL only for admin and rest of the site should be http.
    Like wp beginner has non SSL site!
    Running wordpress, cPanel

  10. Pinkey

    Hi,

    I just started a content based website and unfortunately my site got hacked. Please advice us with suitable solutions (software/certificates etc) to avoid any future hacks being done.

    Thanks & best Regards,

    Pinkey

  11. Lucy Barret

    The tips that you added are so helpful. But for securing WordPress, you need to give more emphasis to the security of your login area. You need to pay more attention on strengthening your admin login area.

  12. John

    Any idea why deleting wp-login.php does not prevent brute force attacks? I thought it was a quick fix for a site that only requires my login, therefore only replace the file when needed?

    Help please!

  13. Craig

    Great advice apart from the removal of admin messages, if you’re lessening the user experience because of security then you’re not doing it right.

  14. Talha

    Thanks a lot. I have a website . I will set up there.

  15. Pat Fortino

    This plugin no longer exists: Stealth Login

    Can you recommend an alternative?

    Thanks

  16. Lori

    I’ve also been told to « remove links to the admin page from the site so that the hacking robots can’t just follow a link. » I’m not sure what this means, or how I would do it… Anyone know what this means and could point me to step-by-step directions to do so?

    (I don’t see links to an admin page anywhere on my website, nor do I remember there ever being any. The only way I access the admin page is by going to the /wp-admin address.)

  17. Emily Johns

    Great information!

    For non expert bloggers and coders, I suggest installing a WordPress plugin, to make things easier.
    From the ones you mentioned, I found “Wordfence Security” plugin a free solution to secure blogs and make them faster.
    Tested and happy with it!

  18. Barry Richardson

    I was under the impression that the original username (e.g. « admin ») of a WP site cannot be deleted, so even if we did add a new username, the original « admin » would still be available for a potential hacker to exploit.

    • WPBeginner Support

      If you create a new user account with the administrator role, then you can safely delete admin user.

      Administrateur

  19. Sandeep Jinagal

    Hyy WPBeginner first of All u are Doing Best OF Best???
    And m want to Know m Want to Set my login Page Like urs. bcoz when m trying to open ur login page. it shows a popup for login. can u give me that tool.

  20. Kheti

    Thanks for this educative material. Very helpful. Thanks for the good work and support.

  21. ifaheem

    great article but needs to be updated. There are a few great plugins which do all of the above task by one plugin install!

    My site was under heavy attacks, fake google bot were always there. I noticed up to 300 Hits from a single IP. the most visited area was wp-admin :(

    After performing above steps (update them by some research), feeling secure a little.

    Don’t Install a plugin without reading Min. of 5 reviews. They tell you the truth (Go for a bad review and see what he/she says; they have suffered something bad!

  22. Prince Jain

    Thank you for such a great post. :)

    But please update that Stealth Login Plugin do not create customize URL for Login Window, instead it add up an authorization code below username and password at login window of Wordpress.
    Also can you please suggest a plugin to create custom URL for login window.

  23. Mitchell Miller

    Stealth Login was removed from WP Plugin repository.

    But changing wp-login.php link is the first step to protecting a WordPress site.

  24. laya rappaport

    What happens when you give your login details to someone to work on your website and they change the login details so you can no longer access your word press account?

    • James Campbell

      I’m not sure if there’s a way for you to retrieve your sites information necessarily, but if you’re able to, always create a new user and give other people access through that particular user. This allows you to restrict access to certain areas and you can also delete their access when it’s no longer needed. Giving up your access to your site let’s them block you out.

  25. user4574

    One other helpful item not mentioned is database permissions. The Wordpress db user generally doesn’t need to be granted all permissions. In the vast majority of cases it only needs ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE.

    So if you’re doing it directly in mysql, it would be:
    GRANT ALTER, CREATE, CREATE TEMPORARY TABLES, DELETE, DROP, INDEX, INSERT, LOCK TABLES, SELECT, UPDATE ON .* TO  »@’localhost’;

    If doing it in cPanel or whatnot, just tick the appropriate boxes when granting permissions to the db_user.

  26. Tanmoy Das

    Awesome tips for any newbie ! I want to always change the login URL but dont know how to do it. Thanks for those tips.

  27. Derick

    @Daniel: Hackers now have a tool that enumerates/lists all your usernames including the roles of these, so doing that would not trick the hacker at all.

  28. Thorir

    Just installed the Limit Login Attempts plugin on my WP sites. On one of it I almost instantly noticed a lock out, it was also the only install that was in root. All the others are in a subdirectory and several hours later none of them have registered a lock out.

    Perhaps this is a helpful factor, security wise?

  29. Mary

    Hello, I hope you are well!
    This was a great article but a little complicated for me.

    because I need the easy way right now, the wordpress firewall plugin looked good but

    my fear is losing my login page.
    I have spent a long time trying to work with FTP and have not been able to understand it.

    Will this be a good plugin for a scaredy cat?? Thanks Mary

  30. Ed van Dun

    And what about Bullet Proof Security? It covers some area’s mentioned above and quite a few more.

  31. Prodip

    All of the above tips helped me to make my blog with more secured.

  32. Dr. Sean Mullen

    This is great info but Please update! Thanks

  33. Guest

    I know this article is from way back in ’09, but can you do an updated one, since a lot of these plugins are no longer « officially » compatible with the latest WordPress (3.4.x-3.5)?

    • Editorial Staff

      Yes, it is in the works along with few other things. We are doing the best we can. Thanks for letting us know.

      Administrateur

  34. whoiscarrus

    Just really getting into WP development and can’t say thank you enough! These are great for beggin’n folk like myself!

  35. Bigdrobek

    Great turitorial, but please can you update it?

    Few plug-ins is not exist, are old or are hidden by WordPress.org.

    – Stealth Login

    – Login Lockdown

    – Admin SSL

    I am interested in step 1)Create Custom Login Links – do you have tip for new plugin which do similar job?

  36. mattjwalk

    You could also add to the list, “use second factor authentication” instead of standard passwords. There is a new website authentication method https://www.shieldpass.com where you buy cheap access cards and then install the WordPress plugin. You then place your card onto the screen to see the dynamic login numbers instead of a static password. It is unique in also being able to encode transaction digits for mutual authentication which stops attackers man in the middle tactics, even one with access into your laptop or mobile.

  37. Jermaine

    The issue I have with No: 6 is dynamic ip address, you get locked out every time your ip address changes what the workaround?

  38. Daniel

    Hacker will think he is successful when he logs in with admin username and finds that the role has been set to ‘subscriber’. Isn’t this another form of added security. I don’t want to delete my admin because i put messages etc in forums and the blog and like my users to know that it’s from administration. as well as i use my regular username!

  39. Jonathan K. Cohen

    This article needs to be revisited. A number of the plugins suggested have not been maintained, and may be incompatible with the latest version of WP.

    These include #1, #3, and #5.

    • John

      For #1 ckeck this plugin called WPS Hide Login

    • Greg

      I completely agree with you. I’ve been using the Limit Login Attempts plugin for my WordPress for a while. Today this plugin is outdated. I’ve switched to WP Cerber:

  40. Danang Sukma

    Thanks for your post.
    Im using password protect for my wp-admin folder in cpanel, is it enough?

  41. mby

    uh what a useful info guys, it can help surely!!
    thanks for posting! ^_^

  42. anthony

    This is great information which I will be implementing ASAP!I have already experienced having my blog hacked so have been worried about these issues.Many thanks!!

  43. shoaib hussain

    man m moving from one post to the other in your blog and m loving it it.thnx a lot.guess i’ll have to subscribe now.

  44. Marlin

    Thanks Nice list this will surely help to secure wordpress admin panel.

Laisser une réponse

Merci d'avoir choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés selon notre politique de commentaires, et votre adresse e-mail ne sera PAS publiée. Veuillez NE PAS utiliser de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.