Hygiène des mots de passe WordPress : une checklist pratique

Les problèmes de mots de passe restent la première source de compromissions sur WordPress. Les bots qui parcourent le web public lancent des attaques par force brute à chaque minute de la journée, en s’appuyant sur des milliards d’identifiants fuités lors de violations passées. Si votre mot de passe est apparu dans une fuite, où que ce soit, il figure sur une liste. S’il est faible, il peut être deviné. Si vous le réutilisez sur plusieurs services, la violation d’un seul site expose tous les autres.

Cet article est une checklist pratique pour assurer une bonne hygiène des mots de passe sur un site WordPress, en particulier lorsque plusieurs personnes l’utilisent.

Utilisez un gestionnaire de mots de passe. Vraiment.

C’est l’étape la plus importante. Choisissez un gestionnaire de mots de passe réputé et utilisez-le pour tous vos comptes, pas seulement WordPress. 1Password, Bitwarden, Dashlane et KeePassXC sont de bons choix, avec différents compromis entre la commodité de la synchronisation dans le cloud et le contrôle de l’auto-hébergement.

Un gestionnaire de mots de passe vous permet d’utiliser des mots de passe uniques, longs et aléatoires pour chaque service sans jamais avoir à les retenir. Il les remplit aussi automatiquement, ce qui veut dire que vous cessez de les taper et que les pages de phishing ne peuvent plus vous piéger en imitant un vrai formulaire de connexion : le remplissage automatique refuse discrètement d’agir sur un faux domaine.

Rendez chaque mot de passe unique

La plus grosse erreur est de réutiliser le même mot de passe sur plusieurs services. Lorsque l’un d’eux est victime d’une fuite, le mot de passe divulgué est essayé sur tous les autres sites qu’il pourrait déverrouiller. Votre administration WordPress peut être compromise à cause d’une fuite sur un site totalement étranger.

Avec un gestionnaire de mots de passe, c’est simple. Générez un nouveau mot de passe aléatoire pour chaque compte. Enregistrez-le. Passez à autre chose. Vous ne le tapez jamais, vous ne le réutilisez jamais, vous ne le voyez jamais.

La longueur plutôt que la complexité

Pour un mot de passe que vous devez vraiment retenir, comme le mot de passe maître de votre gestionnaire, privilégiez la longueur aux caractères spéciaux. Une phrase de passe de quatre à six mots sans rapport est bien plus robuste qu’une courte chaîne de symboles mélangés, et bien plus facile à mémoriser. Les recommandations actuelles d’organismes comme le NIST et le Centre australien de cybersécurité ont délaissé les règles de complexité au profit de la longueur et de l’unicité.

Vérifiez vos mots de passe dans les bases de fuites

Des services comme Have I Been Pwned tiennent une base de données publique des mots de passe apparus dans des fuites. De nombreux gestionnaires intègrent directement cette vérification. Si un mot de passe que vous utilisez a déjà été exposé, le gestionnaire vous le signalera. Remplacez-le.

C’est particulièrement important pour les anciens mots de passe, qui ont pu être compromis lors d’une violation dont vous n’avez jamais entendu parler.

Renommez le nom d’utilisateur admin par défaut

Les attaques par force brute sur WordPress associent généralement des noms d’utilisateur courants à des mots de passe courants. Si votre compte administrateur s’appelle admin, administrator, le nom de votre entreprise ou votre prénom, l’attaquant a déjà deviné la moitié de l’identifiant. Choisissez un nom d’utilisateur indevinable.

WordPress ne permet pas de renommer un utilisateur, mais vous pouvez créer un nouvel administrateur avec un nom indevinable, puis rétrograder ou supprimer l’ancien. Veillez à réattribuer la paternité des contenus avant toute suppression.

Limitez les accès administrateur

Chaque compte administrateur est un identifiant de plus susceptible d’être compromis. Auditez la liste. Quiconque a seulement besoin de publier des articles devrait être éditeur, pas administrateur. Quiconque a seulement besoin de consulter les statistiques n’a pas besoin d’accès admin du tout. Moins vous avez de comptes administrateur, moins vous avez de surface à défendre.

Supprimez les utilisateurs à leur départ

Lorsqu’un collaborateur ou un prestataire termine sa mission, supprimez son compte WordPress immédiatement. Pas dans une semaine, pas à la fin du projet : le jour même. Son mot de passe peut encore être réutilisé sur des services qui seront violés plus tard, son appareil peut conserver une session active, ou il peut tout simplement se reconnecter pour des raisons que vous préféreriez éviter.

La même logique s’applique aux clés d’API et aux mots de passe d’application liés à son compte. Révoquez-les tous.

Renouvelez les clés et salts de WordPress

WordPress utilise un ensemble de clés secrètes et de salts dans wp-config.php pour signer les cookies et protéger les données de session. Les renouveler une ou deux fois par an invalide toutes les sessions existantes, ce qui constitue une remise à zéro propre face à tout jeton de session qui aurait pu être capturé. Après tout incident ou tout changement de personnel, c’est essentiel.

Le générateur de clés secrètes de WordPress.org en produit un nouveau jeu en quelques secondes. Collez-les dans wp-config.php et le renouvellement est terminé.

Activez la 2FA sur chaque compte administrateur

Même avec tout ce qui précède, un mot de passe seul ne suffit pas. L’authentification à deux facteurs comble la faille lorsque quelque chose fuit. Considérez-la comme non négociable pour tout compte ayant le rôle d’administrateur ou d’éditeur.

Formez votre équipe

L’hygiène des mots de passe n’est pas l’affaire d’une seule personne. Si quelqu’un dans l’équipe se fait piéger par un e-mail de phishing, réutilise un mot de passe d’un service à l’autre ou note un mot de passe sur un post-it, le reste de la politique s’effondre. Une courte séance de formation conviviale tous les six mois permet de garder les bases fraîches.

Abordez le gestionnaire de mots de passe, à quoi ressemble le phishing, pourquoi l’unicité compte et que faire si vous soupçonnez la fuite d’un identifiant. La plupart des gens sont prêts à suivre de bonnes pratiques une fois qu’on les leur explique. Le frein tient généralement à la sensibilisation, pas à la motivation.

Besoin d’un coup de main ?

Si vous souhaitez que Smart Coding audite vos utilisateurs WordPress, mette en place des flux de travail avec gestionnaire de mots de passe pour l’équipe, active la 2FA sur chaque compte administrateur et renouvelle les clés, contactez-nous. C’est une seule après-midi de travail qui élimine l’essentiel du risque lié aux mots de passe sur un site WordPress. Pour échanger sur votre site, l’équipe de Defyn est à votre écoute.