Pourquoi une politique de mot de passe forte est si importante pour votre site Web WordPress
Si vous gérez un site WordPress depuis un certain temps, vous vous demandez peut-être pourquoi une politique de mot de passe forte est si importante. Les utilisateurs savent-ils qu’ils doivent utiliser des mots de passe forts? Malheureusement, de nombreux utilisateurs utilisent sciemment des mots de passe faibles, ce qui met votre site WordPress en danger.
Il existe différentes raisons pour lesquelles cela continue de se produire. Certains ne veulent pas avoir à se souvenir d’un mot de passe complexe. Alors que d’autres aiment réutiliser le même mot de passe sur plusieurs sites. Dans tous les cas, l’application d’une politique de mot de passe forte vous protège contre les mauvais choix de mot de passe des utilisateurs, tels que mot de passe123.
Dans cet article, nous expliquerons pourquoi la sécurité par mot de passe est si vitale et comment vous pouvez garantir que tous les utilisateurs choisissent un mot de passe fort en quelques clics. Mais d’abord, examinons comment vous pouvez garantir que tous les utilisateurs choisissent un mot de passe fort à l’aide d’un gestionnaire de mots de passe.
Pourquoi devriez-vous utiliser un gestionnaire de mots de passe
Un peu moins de 75% des utilisateurs de sites Web ont du mal à se souvenir de leurs mots de passe. Cela entraîne des comportements à risque, tels que la réutilisation de mots de passe sur plusieurs sites ou le stockage de mots de passe sensibles dans des fichiers en ligne susceptibles d’être compromis. C’est pour cette raison précise que de nombreux administrateurs WordPress ne parviennent pas à appliquer des politiques de mot de passe strictes. Ils craignent que leurs utilisateurs ne soient rebutés s’ils sont obligés de se souvenir de mots de passe compliqués.
Cependant, le fait qu’un utilisateur puisse se souvenir de son mot de passe ou non ne devrait pas entrer dans l’équation. En utilisant un gestionnaire de mots de passe, vous pouvez utiliser des mots de passe très forts, difficiles à deviner et distincts sans avoir à vous en souvenir.
Qu’est-ce qu’un gestionnaire de mots de passe?
Un gestionnaire de mots de passe est un logiciel ou un service en ligne qui stocke vos informations d’identification pour différents comptes en ligne en toute sécurité. Toutes les informations du gestionnaire de mots de passe sont protégées par un mot de passe principal. Beaucoup facilitent également l’authentification à deux facteurs, ce qui la rend encore plus sécurisée.
En promouvant l’utilisation d’un gestionnaire de mots de passe, vos utilisateurs WordPress n’auront qu’à se souvenir d’un mot de passe principal. Ainsi, il leur devient beaucoup plus facile de se conformer à votre politique de mot de passe stricte. Nous recommandons 1Password ou KeePass, car nous les utilisons tous les deux régulièrement.
Qu’est-ce qu’une politique de mot de passe fort (et une sécurité par mot de passe)?
La mise en œuvre d’une stratégie de mot de passe fort nécessite plusieurs étapes. De nombreux administrateurs WordPress pensent pouvoir se fier uniquement au compteur de sécurité des mots de passe de WordPress. Cela ne fonctionne pas car il recommande uniquement aux utilisateurs d’utiliser des mots de passe plus forts, mais cela ne les oblige pas à le faire, comme expliqué dans comment forcer des mots de passe forts sur WordPress. Et une simple politique de longueur de mot de passe minimale ne suffit pas pour empêcher une faille de sécurité.
Alors que la longueur du mot de passe est un facteur important; il doit être accompagné des politiques de mot de passe supplémentaires suivantes:
L’approche de votre politique de mot de passe doit être multidimensionnelle. Sinon, les mots de passe ne seront pas assez forts pour éradiquer le potentiel de violation de votre site WordPress.
Pourquoi une politique de mot de passe fort est-elle si importante?
La mise en œuvre d’une politique de mot de passe fort est si importante car elle protège contre une gamme d’attaques. Les robots automatisés de devinettes de mots de passe sont devenus sophistiqués. Si les pirates ont réussi à trouver l’e-mail associé à un compte WordPress, ils pourraient utiliser ce logiciel pour se frayer un chemin brutalement dans le compte.
Une attaque par dictionnaire est l’une des techniques les plus couramment utilisées pour entrer par force brute dans le compte d’un utilisateur. Cela fonctionne en essayant des milliers, voire des millions de possibilités probables, telles que des mots dans un dictionnaire ou des mots de passe précédemment utilisés obtenus à partir de failles de sécurité passées. C’est pourquoi les mots de passe alphanumériques sont vitaux. Une chaîne de mots du dictionnaire peut être déchiffrée en quelques millisecondes. Même avoir un mot de passe de plus de dix caractères ne suffira pas.
Des politiques de mot de passe strictes protègent également les sites Web contre les tentatives de piratage manuel. Il s’agit d’un scénario dans lequel un cybercriminel a obtenu des informations personnelles (telles que la date de naissance ou l’adresse d’un utilisateur), qui font souvent partie de mots de passe faibles définis par des utilisateurs imprudents.
Quelles sont les qualités d’un mot de passe fort?
Que vous utilisiez un générateur de mot de passe automatisé ou que vous créiez le vôtre, il est utile de savoir précisément sur quoi vous devez vous concentrer pour rendre vos mots de passe WordPress aussi sécurisés que possible.
Les mots de passe plus longs sont plus forts
Le premier élément sur lequel vous devriez vous concentrer est la longueur. Les mots de passe plus longs sont presque toujours plus forts. La technologie moderne peut deviner un mot de passe à sept caractères avec seulement des lettres en seulement 0,29 milliseconde. Un mot de passe de dix caractères prendrait quatre mois. Augmentez cela jusqu’à 12 caractères, et tout à coup votre mot de passe prendrait deux siècles à se déchiffrer. Pas un mauvais retour pour quelques personnages supplémentaires.
Tous les mots de passe doivent être alphanumériques
Ensuite, assurez-vous d’inclure à la fois des caractères alphabétiques et numériques pour ajouter une autre couche de complexité. Un mot de passe de « 123456789 ″ pourrait être craqué des centaines de fois par seconde. Mais en ajoutant la lettre A à l’avant pour faire « A23456789 ″, vous pouvez profiter de décennies de protection contre les techniques de force brute.
Toujours inclure des caractères spéciaux
Ensuite, assurez-vous d’inclure un caractère spécial ainsi que des lettres majuscules et minuscules, pour augmenter davantage la complexité. « Mot de passe » pourrait être fissuré en millisecondes. Mais « P @ ssw0rD » prendrait 14 ans.
Tous les quelques mois, vous devez changer vos mots de passe
La technologie impliquée dans le piratage des mots de passe progresse à un rythme de plus en plus rapide. Ainsi, plus vous laissez un mot de passe en place, plus il devient vulnérable. Ainsi, le changer régulièrement est impératif. Il protège également vos comptes contre les prises de contrôle malveillantes lorsque d’anciens mots de passe sont collectés à partir de failles de sécurité sur d’autres sites.
Quels sont les dangers d’avoir un mot de passe faible?
Selon le type de site WordPress que vous exploitez, il peut y avoir beaucoup de risques à avoir un mot de passe faible. Par exemple, si vous exploitez une boutique de commerce électronique, un utilisateur peut risquer ses informations de paiement s’il a un mot de passe non sécurisé.
De plus, un pirate informatique pourrait accéder au compte d’un acheteur et commencer à placer un code sur votre site Web pour collecter les informations de divers détails de la carte. Les cybercriminels vendent ensuite ces informations sur le dark web. S’il s’avère que vous avez présidé une violation de données de cette nature, vos clients perdront confiance dans la sécurité de votre site. Pire encore, vous pourriez vous retrouver du mauvais côté d’une amende importante d’un organisme de réglementation national.
Ceux qui ont d’autres intentions en tête (comme les hacktivistes) peuvent choisir de dégrader votre site avec des slogans politiques ou des abus racistes. Encore une fois, ébranler la confiance de vos visiteurs et ternir la réputation de votre entreprise.
Les mots de passe faibles sont une des principales causes de violations de données
N’oubliez pas qu’un logiciel de piratage de pointe peut deviner 10 milliards de combinaisons de mots de passe en quelques secondes. Les mots de passe faibles sont souvent responsables des scénarios mentionnés ci-dessus. Une étude réalisée en 2016 par Verizon a révélé que 63% des violations de données confirmées impliquent l’utilisation de mots de passe faibles, par défaut ou volés. Des recherches menées par Bitglass ont révélé que 25% de toutes les violations du secteur des services financiers depuis 2006 pourraient être attribuées à des appareils perdus ou volés (et aux mots de passe volés).
Ces deux cas illustrent parfaitement les dangers associés à la fois aux mots de passe faibles et aux politiques de mot de passe qui n’appliquent pas le changement de mot de passe régulier. C’est pourquoi il est si crucial d’administrer une politique de mot de passe forte.
Mais vous vous demandez peut-être exactement comment vous pouvez obtenir ce résultat pour votre site WordPress. Heureusement, il existe un plugin facile à utiliser qui peut protéger votre site Web contre les mots de passe faibles en quelques minutes.
Comment configurer votre propre politique de mot de passe fort à l’aide de Password Policy Manager
Bien que WordPress avertisse les utilisateurs de l’utilisation d’un mot de passe faible, il permet toujours aux utilisateurs de le faire. Tout ce qu’ils ont à faire est de reconnaître qu’ils sont sur le point de définir un mot de passe non sécurisé. Par conséquent, votre seule option pour appliquer une politique de mot de passe forte est d’utiliser un plug-in de sécurité par mot de passe.
Le plugin Password Policy Manager pour WordPress vous permet d’appliquer une politique de mot de passe forte comprenant:
Pour commencer, téléchargez et installez simplement Password Policy Manager. Rendez-vous ensuite sur le nœud «Politiques de mot de passe» dans le menu des paramètres de votre tableau de bord WordPress.
Comment utiliser Password Policy Manager
Ici, vous pouvez configurer les politiques de mot de passe de votre site Web et forcer vos utilisateurs à utiliser des mots de passe WordPress forts. Vous pouvez stipuler les règles régissant les mots de passe comme indiqué ci-dessus ainsi que la mise en œuvre d’une politique d’expiration des mots de passe. Cette politique garantira que les utilisateurs changent fréquemment leurs mots de passe et s’abstiennent de réutiliser les anciens.
Le gestionnaire de politique de mot de passe permet également aux administrateurs WordPress de:
En cas de piratage WordPress, cette dernière fonctionnalité peut vous aider à reprendre le contrôle de vos comptes utilisateurs en évitant tous les utilisateurs et en leur demandant de réinitialiser leurs mots de passe.
Enfin, dans les paramètres de ce plugin, vous pouvez également choisir de désactiver les comptes inactifs à l’aide de la politique des utilisateurs WordPress inactifs. Les comptes inactifs sont particulièrement vulnérables car ils ont probablement été configurés il y a des années, avant que vous n’imposiez une politique de mot de passe forte. Les pirates les ciblent précisément pour cette raison. Assurez-vous donc de verrouiller les utilisateurs inactifs pour empêcher ces intrus malveillants de détourner ces comptes.
Commencez à configurer votre politique de mot de passe fort
J’espère que vous devriez maintenant pleinement comprendre pourquoi une politique de mot de passe forte est si importante pour la sécurité de votre site Web WordPress. Les logiciels de piratage automatisés peuvent facilement déchiffrer des mots de passe faibles, et les conséquences d’une violation de compte utilisateur pourraient être catastrophiques.
Par conséquent, il est logique d’utiliser le Gestionnaire de politique de mot de passe plugin afin que vous puissiez:
Télécharger Password Policy Manager pour WordPress pour commencer.
Astuce bonus: ajoutez 2FA pour une authentification WordPress encore plus forte
Installez l’authentification à deux facteurs pour rendre votre site Web presque impénétrable avec le plugin WP 2FA pour WordPress.
En mettant en œuvre l’authentification à deux facteurs, vous demandez aux utilisateurs de s’identifier avec un autre mot de passe, un autre appareil ou une information biométrique. Par conséquent, cette couche de sécurité supplémentaire peut protéger les comptes d’utilisateurs même si un pirate informatique possède la bonne combinaison de nom d’utilisateur et de mot de passe.