Services sécurité WordPress

Comment créer des mots de passe anti-piratage

La sécurité de votre site WordPress est aussi forte que votre mot de passe le plus faible

Chaque année, SplashData publie le classement des pires mots de passe les plus utilisés par les utilisateurs sur Internet.
Pour la sixième année consécutive (2018), le mot de passe le plus utilisé est « 123456 ».
Voici le classement des 10 premiers mots de passe extraits du classement de 2018, avec une indication des changements de position dans le classement par rapport à celui de l’année précédente (2017).

Les pires mots de passe 2018

Règles de base pour la création et la gestion de mots de passe sécurisés

Les règles de base pour créer et gérer des mots de passe sécurisés sont en effet 3 :

  1. Utilisation de mots de passe complexes
  2. Utiliser des mots de passe différents pour chaque site/service
  3. Les changer régulièrement

1) Utilisation de mots de passe complexes

Comme le montre le classement des mots de passe fourni par SplashData, de nombreux utilisateurs, inconscients des risques qu’ils pourraient courir, souvent par paresse ou parce qu’ils ne connaissent pas les outils appropriés pour créer et gérer des mots de passe complexes, préfèrent utiliser des mots de passe faciles à retenir et qu’ils notent ensuite peut-être dans un cahier ou pire encore sur un « post-it » collé sur l’écran de leur ordinateur !

Pour résoudre le problème de la création de mots de passe complexes, il existe des applications de « génération de mots de passe » qui, en définissant quelques paramètres et en cliquant sur un bouton de confirmation, vous permettent d’avoir des mots de passe aléatoires chaque fois différents, à utiliser sur des sites web et sur tout appareil électronique utilisé pour accéder à des services à distance.

Les applications de génération de mots de passe se trouvent soit dans des logiciels de gestion de mots de passe, soit sur des sites Internet en ligne.

Dans cette dernière catégorie, on trouve deux excellents sites : RoboForm et Password Generator Plus.

2) Utiliser des mots de passe différents

En plus de l’utilisation de mots de passe faibles, une autre erreur qui est souvent commise consiste à utiliser le même mot de passe pour plusieurs sites ou services sur Internet.

Dans ce cas également, la meilleure solution est d’utiliser une application de gestion des mots de passe qui vous permet de sauvegarder tous les mots de passe dans un seul logiciel où vous pouvez classer et organiser tous vos mots de passe.
L’archive des mots de passe est protégée par un seul mot de passe (« mot de passe principal »), et l’ensemble de l’archive est en outre protégé par un chiffrement fort (AES-256 ou similaire).

L’archive peut ensuite être sauvegardée sur le disque dur de votre ordinateur ou sur un serveur en nuage distant .
Entre les deux options, la plus sûre est de la sauvegarder sur un ordinateur local.
Si vous préférez utiliser un service en nuage, il est toujours plus sûr d’utiliser un système privé, c’est-à-dire non accessible aux utilisateurs qui ne font pas partie de votre organisation.

Si vous ne pouvez pas utiliser un système privé en nuage (coûts plus élevés) et que vous devez utiliser un service public (Dropbox, Google Drive ou similaire), il est conseillé d’ajouter une couche de protection supplémentaire, en chiffrant l’archive des mots de passe avec un logiciel de « chiffrement de bout en bout » tel que Tresorit, Sookasa, Boxcryptor ou similaire.

3) Les changer régulièrement

La dernière règle est que vous devez changer vos mots de passe à intervalles réguliers, en les changeant plus souvent sur les systèmes hautement critiques (contenant des données confidentielles).
Dans ce cas également, les applications de gestion des mots de passe sont utiles, car nombre d’entre elles disposent de fonctionnalités permettant de définir des règles pour obliger les utilisateurs à changer leurs mots de passe à intervalles réguliers.

WordPress et gestion des mots de passe des utilisateurs

Étant donné que WordPress est un système basé sur le Web qui offre également la possibilité à différents utilisateurs d’accéder au tableau de bord, les 3 règles ci-dessus doivent être appliquées de manière précise et systématique.

Pour faciliter cette tâche, il existe quelques extensions qui offrent un certain nombre de fonctionnalités pour aider les administrateurs de sites à mettre en place des règles de gestion des mots de passe en fonction des différents rôles des utilisateurs d’un site WordPress.

Une bonne extension que je conseille est Password Policy Manager for WordPress (plus d’informations sur le site du développeur WP WhiteSecurity).

Comment vérifier si vos mots de passe ont été compromis

Lors d’un piratage d’un site web, les attaquants cherchent à obtenir les données personnelles des utilisateurs, afin de les utiliser pour des campagnes de spam, pour l’accès à des systèmes confidentiels (en cas de vol des mots de passe des utilisateurs) ou, dans les cas les plus extrêmes, pour le vol d’identité.

Troy Hunt, un expert américain en sécurité informatique, fournit un excellent service par l’entremise de son site web « Have I Been Pwned » où il garde la trace de tous les vols de données personnelles qui ont eu lieu ces dernières années contre de nombreux sites Internet.
Le site offre la possibilité de vérifier si une adresse électronique a été compromise ou non.

Pour vérifier, il suffit de se rendre sur la page d’accueil de son site, entrer l’adresse courriel que vous voulez vérifier et cliquer sur le bouton « pwned? »

Si rien n’est trouvé dans les archives, la phrase « Good news – no pwnage found! » sur fond vert sera affichée sur la même page d’accueil.

Sinon, vous verrez la phrase « Oh no – pwned ! » sur fond rouge, et la liste des compromis dans les archives du site où l’adresse électronique a été trouvée.

Il est également possible de rechercher un domaine de messagerie entier (utile pour les entreprises) sur la page « Domain Search », qui ne peut être effectuée qu’après une vérification de la propriété réelle du même domaine.
Enfin, vous pouvez vous inscrire sur le site (« Notify Me ») pour recevoir une notification si votre adresse courriel ou votre domaine sont découverts lors d’une future violation de données.

Partager sur facebook
Partager sur twitter
Partager sur linkedin
Partager sur email
Roberto Jobet
Roberto Jobet

Je suis un ingénieur systèmes Linux, expert en infosécurité spécialisé dans la sécurité WordPress. J'offre des services professionnels de sécurité pour protéger la confidentialité, l'intégrité et la disponibilité de sites WordPress.

Tous les articles

D'autres articles qui pourraient vous intéresser !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.