From a2e9cfe9401f16e0c8b796da5651eeaeccbeffe2 Mon Sep 17 00:00:00 2001 From: dNicolle Date: Mon, 24 Oct 2022 12:48:43 +0200 Subject: [PATCH] =?UTF-8?q?Update=2016.=20S=C3=A9curiser=20l'acc=C3=A8s=20?= =?UTF-8?q?=C3=A0=20l'administration.md?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit J'ai ajouté des précisions et l'indication du scope sécurité, qui permettra de faire le lien avec les autres fiches (et donc la fiche plus générale) --- ...'acc\303\250s \303\240 l'administration.md" | 18 +++++++++--------- 1 file changed, 9 insertions(+), 9 deletions(-) diff --git "a/best-practices-WordPress/fiches/16. S\303\251curiser l'acc\303\250s \303\240 l'administration.md" "b/best-practices-WordPress/fiches/16. S\303\251curiser l'acc\303\250s \303\240 l'administration.md" index d0657e8d..9abd4b65 100644 --- "a/best-practices-WordPress/fiches/16. S\303\251curiser l'acc\303\250s \303\240 l'administration.md" +++ "b/best-practices-WordPress/fiches/16. S\303\251curiser l'acc\303\250s \303\240 l'administration.md" @@ -7,8 +7,7 @@ responsible: - Code(use·ur) → Développeu·se·r - Low-code → Freelance et développeur Front-End d'agences - No-code → Madame et Monsieur tout le monde -lifecycle: - - 3 - Développement +lifecycle: Mise en ligne priority_implementation: Fort 👍👍👍 environmental_impact: Moyen 🌱🌱 saved_resources: @@ -22,18 +21,18 @@ path: /fiches/16-securiser-l-acces-a-l-administration WordPress est une plateforme internationale et largement utilisée, le chemin d'accès classique à l'administration est `/wp-admin` ou `/wp-login.php`. -N'importe qui peut donc accéder à cette adresse connue. +N'importe qui peut donc accéder à cette adresse connue, surtout en vue d'actes malveillants, et ce, quelque que soit la taille de votre site ou de votre structure. Les avantages d'intrusion dans un site internet sont multiple, les fiches du scope "Sécurité" traitent de cela plus en détail. -De ce fait, les tentatives de connexions malveillantes sont les plus courantes, selon une étude publiée par Wordfence1. Ces connexions ont un impact sur l'ensemble du réseau et le serveur où est hébergé votre site. +De ce fait, les tentatives de connexions malveillantes sont très courantes, selon une étude publiée par Wordfence1. Ces connexions affectent l'ensemble du réseau et le serveur où est hébergé votre site. ## GreenIT vous conseille 1. Modifier le chemin d'accès à l'interface d'administration par une url non standard (ni `/admin`, ni `/administration`). -2. Avoir des identifiants de connexions forts -3. Limiter le nombre de tentatives de connexion à l'administration. +2. Avoir des identifiants de connexions forts (ne pas avoir d'identifiant `admin` avec un mot de passe `1234`) +3. Limiter le nombre de tentatives de connexion à l'administration. Si un robot ne peut pas proposer des couples "identifiant/mot de passe" plus de 3 fois sur votre site avant de ne plus y être autorisé, cela limite fortement les risques de connexions malveillantes. Afin de garantir la sécurité de votre site, nous ne proposerons pas de code. -En effet, plusieurs extensions, epprouvées et sûres, vous permettent de réaliser ces conseils. +En effet, plusieurs extensions, éprouvées et sûres, vous permettent de réaliser ces conseils. ## Exemple @@ -54,6 +53,7 @@ En effet, plusieurs extensions, epprouvées et sûres, vous permettent de réali - des caractères spéciaux - est changé régulièrement + ## Principe de validation | Le nombre | est inférieur ou égal à | @@ -62,9 +62,9 @@ En effet, plusieurs extensions, epprouvées et sûres, vous permettent de réali | de page donnant accès à l'interface d'administration une url simple | 0 | | d'utilisateur ayant un identifiant de connexion simple | 0 | | d'utilisateur ayant un mot de passe de connexion simple | 0 | -| d'utilisateur ayant un couple identifiant / mot de passe déjà utilisé sur d'autres plateformes | 0 | +| d'utilisateur ayant un couple "identifiant / mot de passe" déjà utilisé sur d'autres plateformes | 0 | | d'utilisateur ayant un mot de passe changé il y a plus de 90 jours | 0 | -| de tentative d'accès à l'administration erronné | 3 | +| de tentative d'accès à l'administration erroné | 3 | ## Sources