Si vous gérez un site WordPress depuis un certain temps, vous vous demandez peut-être pourquoi utiliser un mot de passe long et complexe est important. Il existe de nombreuses raisons à cela et, au moins tout autant de raisons pour lesquelles un utilisateur préfèrera un mot de passe assez "simple".
Certains ne veulent pas avoir à se souvenir d'un mot de passe complexe. Alors que d'autres aiment réutiliser le même mot de passe sur plusieurs sites. Dans tous les cas, l'application d'une politique de mot de passe forte (autre que motdepasse123, donc) vous protège contre les attaques numériques, de plus en plus en vogue.
Dans cet article, nous expliquerons pourquoi la sécurité par mot de passe est si importante et comment vous pouvez faire pour accompagner vos utilisateurs, vers un choix de mot de passe, complexe.
Sommaire
Un peu moins de 75% des utilisateurs de sites Web ont du mal à se souvenir de leurs mots de passe. Cela entraîne des comportements à risque, tels que la réutilisation de mots de passe sur plusieurs sites ou le stockage de mots de passe sensibles dans des fichiers en ligne susceptibles d'être compromis.
C'est pour cette raison précise que de nombreux administrateurs WordPress ne parviennent pas à appliquer des politiques de mot de passe strictes. Ils craignent que leurs utilisateurs ne soient rebutés s'ils sont obligés de se souvenir de mots de passe compliqués.
Cependant, le fait qu'un utilisateur puisse se souvenir de son mot de passe ou non ne devrait pas entrer dans l'équation. En utilisant un gestionnaire de mots de passe, vous pouvez utiliser des mots de passe très forts, difficiles à deviner et distincts sans avoir à vous en souvenir.
Un gestionnaire de mots de passe est un logiciel ou un service en ligne qui stocke vos informations d'identification pour différents comptes en ligne en toute sécurité. Toutes les informations du gestionnaire de mots de passe sont protégées par un mot de passe principal.
Beaucoup proposent également l'authentification à deux facteurs (la 2FA), ce qui la rend encore plus sécurisée. Pour rappel, il s'agit de l'authentification par mot de passe et, le plus souvent, par SMS.
En promouvant l'utilisation d'un gestionnaire de mots de passe, vos utilisateurs WordPress n'auront qu'à se souvenir d'un mot de passe principal. Ainsi, il leur devient beaucoup plus facile de se conformer à votre politique de mot de passe stricte. Nous recommandons 1Password ou KeePass, car nous les utilisons tous les deux régulièrement.
La mise en œuvre d'une stratégie de mot de passe complexe nécessite plusieurs étapes. De nombreux administrateurs WordPress pensent pouvoir se fier uniquement au compteur de sécurité des mots de passe de WordPress.
Cela ne fonctionne pas car il recommande uniquement aux utilisateurs d'utiliser des mots de passe plus forts, mais ne les oblige pas à le faire. Une simple politique de longueur de mot de passe minimale ne suffit pas pour empêcher une faille de sécurité.
Alors que la longueur du mot de passe est un facteur important, il doit être accompagné des politiques de mot de passe supplémentaires suivantes:
L'approche de votre politique de mot de passe doit être multidimensionnelle. Sinon, les mots de passe ne seront pas assez forts pour éradiquer le potentiel de violation de votre site WordPress.
La mise en œuvre d'une politique de mot de passe fort est importante car cela protège contre les attaques numériques. Les robots automatisés devinent aisément des mots de passe. Il sont de plus en plus sophistiqués. Si les pirates ont réussi à trouver l'e-mail associé à un compte WordPress, ils pourraient utiliser ce logiciel pour se frayer un chemin à travers votre compte.
Une attaque par dictionnaire est l'une des techniques les plus couramment utilisées pour entrer par force brute dans le compte d'un utilisateur. Cela fonctionne en essayant des milliers, voire des millions de possibilités, telles que des mots dans un dictionnaire ou des mots de passe précédemment utilisés obtenus à partir de failles de sécurité passées.
C'est pourquoi les mots de passe alphanumériques sont vitaux. Une chaîne de mots du dictionnaire peut être déchiffrée en quelques millisecondes. Même avoir un mot de passe de plus de dix caractères ne suffira pas.
Des politiques de mot de passe strictes protègent également les sites Web contre les tentatives de piratage manuel. Il s'agit d'un scénario dans lequel un cybercriminel a obtenu des informations personnelles (telles que la date de naissance ou l'adresse d'un utilisateur), qui font souvent partie de mots de passe faibles définis par des utilisateurs imprudents.
Que vous utilisiez un générateur de mot de passe automatisé ou que vous créiez le vôtre, il est utile de savoir précisément sur quoi vous devez vous concentrer pour rendre vos mots de passe WordPress aussi sécurisés que possible.
Le premier élément sur lequel vous devriez vous concentrer est la longueur. Les mots de passe plus longs sont presque toujours plus forts. La technologie moderne peut deviner un mot de passe à sept caractères avec seulement des lettres en seulement 0,29 milliseconde.
Un mot de passe de dix caractères prendrait quatre mois. Augmentez cela jusqu'à 12 caractères, et tout à coup votre mot de passe prendrait deux siècles à se déchiffrer. Quelques caractères supplémentaires font donc la différence.
Ensuite, assurez-vous d'inclure à la fois des caractères alphabétiques et numériques pour ajouter une autre couche de complexité. Un mot de passe de "123456789 ″ pourrait être craqué des centaines de fois par seconde. Mais en ajoutant la lettre A à l'avant pour faire "A23456789 ″, vous pouvez profiter de décennies de protection contre les techniques de piratage.
Assurez-vous d'inclure un caractère spécial ainsi que des lettres majuscules et minuscules, pour augmenter davantage la complexité. "Mot de passe" pourrait être fissuré en millisecondes. Mais "P @ ssw0rD " prendrait 14 ans.
La technologie impliquée dans le piratage des mots de passe progresse à un rythme de plus en plus rapide. Ainsi, plus vous laissez un mot de passe en place, plus il devient vulnérable.
Ainsi, le changer régulièrement est impératif. Il protège également vos comptes contre les prises de contrôle malveillantes lorsque d'anciens mots de passe sont collectés à partir de failles de sécurité sur d'autres sites.
Selon le type de site WordPress que vous exploitez, il peut y avoir beaucoup de risques à avoir un mot de passe faible. Par exemple, si vous exploitez une boutique de commerce électronique, un utilisateur peut risquer ses informations de paiement s'il a un mot de passe non sécurisé.
De plus, un pirate informatique pourrait accéder au compte d'un acheteur et commencer à placer un code sur votre site Web pour collecter les informations de divers détails de la carte. Les cybercriminels vendent ensuite ces informations sur le dark web. Vous pourriez vous retrouver du mauvais côté et écoper d'une amende salée.
Ceux qui ont d'autres intentions en tête (comme les hacktivistes) peuvent choisir de dégrader votre site avec des slogans politiques ou des abus racistes. Encore une fois, ébranler la confiance de vos visiteurs et ternir la réputation de votre entreprise.
N'oubliez pas qu'un logiciel de piratage de pointe peut deviner 10 milliards de combinaisons de mots de passe en quelques secondes. Les mots de passe faibles sont souvent responsables des scénarios mentionnés ci-dessus.
Une étude réalisée en 2016 par Verizon a révélé que 63% des violations de données confirmées impliquent l'utilisation de mots de passe faibles, par défaut ou volés. Des recherches menées par Bitglass ont révélé que 25% de toutes les violations du secteur des services financiers depuis 2006 pourraient être attribuées à des appareils perdus ou volés (et aux mots de passe volés).
Ces deux cas illustrent parfaitement les dangers associés à la fois aux mots de passe faibles et aux politiques de mot de passe qui n'appliquent pas le changement de mot de passe régulier. C'est pourquoi il est si crucial d'administrer une politique de mot de passe forte.
Mais vous vous demandez peut-être exactement comment vous pouvez obtenir ce résultat pour votre site WordPress. Heureusement, il existe un plugin facile à utiliser qui peut protéger votre site Web contre les mots de passe faibles en quelques minutes.
Le plugin Password Policy Manager for WordPress vous permet d'appliquer une politique de mot de passe forte comprenant:
Pour commencer, téléchargez et installez simplement Password Policy Manager. Rendez-vous ensuite sur le nœud «Politiques de mot de passe» dans le menu des paramètres de votre tableau de bord WordPress.
Ici, vous pouvez configurer les politiques de mot de passe de votre site Web et forcer vos utilisateurs à utiliser des mots de passe WordPress forts. Vous pouvez stipuler les règles régissant les mots de passe comme indiqué ci-dessus ainsi que la mise en œuvre d'une politique d'expiration des mots de passe. Cette politique garantira que les utilisateurs changent fréquemment leurs mots de passe et s'abstiennent de réutiliser les anciens.
Le gestionnaire de politique de mot de passe permet également aux administrateurs WordPress de:
En cas de piratage WordPress, cette dernière fonctionnalité peut vous aider à reprendre le contrôle de vos comptes utilisateurs en évitant tous les utilisateurs et en leur demandant de réinitialiser leurs mots de passe.
Enfin, dans les paramètres de ce plugin, vous pouvez également choisir de désactiver les comptes inactifs à l'aide de la politique des utilisateurs WordPress inactifs. Les comptes inactifs sont particulièrement vulnérables car ils ont probablement été configurés il y a des années, avant que vous n'imposiez une politique de mot de passe forte. Les pirates les ciblent précisément pour cette raison. Assurez-vous donc de verrouiller les utilisateurs inactifs pour empêcher ces intrus malveillants de détourner ces comptes.
J'espère que vous devriez maintenant pleinement comprendre pourquoi une politique de mot de passe forte est si importante pour la sécurité de votre site Web WordPress. Les logiciels de piratage automatisés peuvent facilement déchiffrer des mots de passe faibles, et les conséquences d'une violation de compte utilisateur pourraient être catastrophiques.
Par conséquent, il est logique d'utiliser le Gestionnaire de politique de mot de passe plugin afin que vous puissiez:
Installez l'authentification à deux facteurs pour rendre votre site Web presque impénétrable avec le plugin WP 2FA pour WordPress.
En mettant en œuvre l'authentification à deux facteurs, vous demandez aux utilisateurs de s'identifier avec un autre mot de passe, un autre appareil ou une information biométrique. Par conséquent, cette couche de sécurité supplémentaire peut protéger les comptes d'utilisateurs même si un pirate informatique possède la bonne combinaison de nom d'utilisateur et de mot de passe. Un élément important, notamment si vous réalisez des devis sur votre site WordPress !