La sécurité est un élément important de la gestion de tout type de site Web. Malheureusement, il est probable que quelqu’un finira par essayer d’accéder à votre tableau de bord sans votre consentement. C’est à vous de mettre en place des défenses suffisantes pour qu’il n’y parvienne pas.
Il existe de nombreuses façons de protéger votre site Web WordPress. Dans la plupart des cas, vous voudrez vous concentrer sur la sécurisation de votre page de connexion et de votre tableau de bord, car ce sont les cibles les plus probables des attaques. Dans cette optique, cet article vous apprendra à établir une liste blanche d’adresses IP pour l’accès à votre tableau de bord. Mettons-nous au travail !
Ce qu’est la liste blanche (et pourquoi c’est une mesure de sécurité efficace)
Lorsque vous mettez une adresse IP sur une liste blanche pour l’accès à une page spécifique, cela signifie que personne d’autre que les ordinateurs ayant cette adresse ne peut y accéder. Par exemple, si vous êtes un homme-orchestre, vous pouvez demander à WordPress de bloquer l’accès à toute adresse IP qui n’est pas la vôtre, afin que personne d’autre que vous ne puisse accéder au tableau de bord.
le « blacklistage », quant à lui, consiste à empêcher des adresses IP spécifiques d’accéder à une page. Cette méthode est tout aussi efficace, mais pas aussi performante que la liste blanche. Après tout, il est plus facile de mettre sur liste blanche une poignée d’adresses que de mettre sur liste noire des centaines d’attaquants potentiels. Parlons un peu plus des autres avantages de la liste blanche :
- Vous avez un contrôle total sur les personnes qui ont accès à vos pages. Nous n’avons parlé que de votre tableau de bord jusqu’à présent, mais vous pouvez mettre en œuvre cette fonctionnalité pour n’importe quelle partie de votre site Web.
- Les attaquants ne peuvent pas accéder à votre tableau de bord, même s’ils disposent d’informations d’identification valables. Si quelqu’un parvient à comprendre votre nom d’utilisateur et votre mot de passe, il ne pourra toujours pas accéder à votre tableau de bord sans un accès physique à votre ordinateur.
- Vous pouvez ajouter autant d’adresses IP que vous le souhaitez à votre liste blanche. WordPress vous permet d’ajouter autant d’adresses que vous le souhaitez à votre liste principale.
Dans tous les cas, la mise sur liste blanche des adresses IP est souvent plus difficile à mettre en place si vous faites partie d’une grande équipe. Il peut arriver que vous ou vos coéquipiers ayez besoin de travailler à partir d’un autre ordinateur, ce qui signifie que vous devrez ajouter d’autres adresses à la liste blanche, et ainsi de suite. Du point de vue de la sécurité, il s’agit d’une option fantastique, mais vous devez analyser si elle est viable pour votre site Web avant de la mettre en œuvre.
Comment mettre sur liste blanche une adresse IP pour accéder à votre tableau de bord WordPress (en 2 étapes)
Avant d’aller plus loin, vous devez créer une sauvegarde de votre site Web si vous n’en avez pas une récente disponible. Nous allons modifier l’un des fichiers de base de WordPress dans les sections ci-dessous, vous devez donc vous assurer que vous avez une carte « sortie de prison » sous la forme d’une sauvegarde complète.
Étape 1 : Assurez-vous que vous (et vos collègues) avez une adresse IP statique
Tout le monde n’a pas une adresse IP statique, ce qui peut rendre impossible la création d’une liste blanche sans que cela ne devienne un casse-tête. Avant de mettre en œuvre cette fonctionnalité, vous devez vérifier que tous les membres de votre équipe ont une adresse IP statique (ou savent comment en configurer une sur leur ordinateur).
Si quelqu’un ne parvient pas à s’attribuer une adresse IP statique, ne désespérez pas. Dans certains cas, votre fournisseur d’accès à Internet (FAI) la configurera pour vous. Si tout le reste échoue, vous pouvez utiliser un service de réseau privé virtuel (VPN) qui offre des IP dédiées en tant que fonctionnalité.
Gardez à l’esprit que la plupart des fournisseurs de VPN vous factureront un supplément pour une IP dédiée. Cette option n’a donc de sens que si vous avez besoin d’un tel service pour votre travail. Si vous souhaitez utiliser un VPN avec une IP dédiée en respectant votre budget, vous pouvez toujours configurer le vôtre en utilisant un service de serveur privé virtuel (VPS) tel que Vultr. Il vous suffit ensuite de vous connecter à votre VPN chaque fois que vous voulez accéder à votre site Web, et tout est prêt.
Étape 2 : Ouvrir et modifier votre fichier .htaccess
Dans cette section, nous allons configurer votre liste blanche d’adresses IP en ajoutant quelques lignes de code à votre fichier WordPress .htaccess . Pour y accéder, vous devrez utiliser un client FTP (File Transfer Protocol), tel que FileZilla.
Tout d’abord, connectez-vous à votre site Web en utilisant vos informations d’identification FTP et allez dans le dossier racine de WordPress, qui peut également être appelé public_html, www ou le nom de votre site Web :
Une fois que vous y êtes, cherchez le fichier .htaccess et cliquez dessus avec le bouton droit de la souris. Sélectionnez maintenant l’option Afficher/Modifier , ce qui ouvrira le fichier à l’aide de votre éditeur de texte local par défaut. Votre fichier .htaccess doit ressembler à l’image ci-dessous. Cependant, certains fournisseurs d’hébergement Web mettent en place des ajustements prêts à l’emploi pour leurs utilisateurs, alors ne paniquez pas si vous y trouvez du code supplémentaire :
Dans tous les cas, ne modifiez pas le code qui s’y trouve si vous n’êtes pas sûr de ce qu’il fait. Pour l’instant, recherchez la ligne # END WordPress et collez le bout de code suivant juste au-dessus :
<IfModule mod_rewrite.c> ;
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin
#13 ;
RéécrireCond %{REMOTE_ADDR} !^FIRST_IP_ADDRESS
#13 ;
RewriteCond %{REMOTE_ADDR} !^SECOND_IP_ADDRESS
#13 ;
RewriteRule ^(.*)$ – [R=403,L]
</IfModule> ;
Vous remarquerez qu’il y a deux espaces réservés pour les adresses IP que vous pouvez ajouter à votre liste blanche. Remplacez simplement les valeurs FIRST_IP_ADDRESS et SECOND_IP_ADDRESS par les adresses IP que vous souhaitez ajouter, et c’est tout.
Si vous voulez ajouter d’autres adresses IP, copiez et collez des lignes supplémentaires dans le code avant la ligne [R=403,L]. Cela indique à WordPress ce qu’il doit faire pour les adresses qui ne figurent pas dans la liste. Dans ce cas, il renvoie l’erreur 403 Forbidden.
Pour sécuriser encore plus votre site web, vous pouvez indiquer à WordPress de bloquer l’accès à votre tableau de bord et à votre page de connexion, pour les adresses qui ne figurent pas dans votre liste blanche. Voici le code dont vous aurez besoin :
<IfModule mod_rewrite.c> ;
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin
#13 ;
RéécrireCond %{REMOTE_ADDR} !^FIRST_IP_ADDRESS
#13 ;
RewriteCond %{REMOTE_ADDR} !^SECOND_IP_ADDRESS
#13 ;
RewriteRule ^(.*)$ – [R=403,L]
</IfModule> ;
Lorsque vous avez fini d’ajouter des adresses IP à votre liste blanche, vous pouvez enregistrer les modifications dans votre fichier .htaccess et le fermer. FileZilla vous demandera alors si vous voulez remplacer la version de votre serveur par la nouvelle. Dites « Oui », et c’est tout – vous venez de faire un grand pas vers la protection de votre site WordPress contre les attaquants !
Conclusion
Lorsque vous mettez une adresse IP sur une liste blanche, vous demandez à WordPress de ne donner à cet ordinateur que l’accès à votre tableau de bord. Cela signifie que toutes les adresses qui ne figurent pas sur votre liste principale ne pourront pas du tout charger le tableau de bord. En d’autres termes, même si quelqu’un réussit à voler vos informations d’identification, cela ne suffira pas pour accéder à votre site Web.
Le plus intéressant est que la mise en œuvre de cette fonctionnalité est assez simple et se fait en deux étapes :
- Assurez-vous que vous et vos collègues avez des adresses IP statiques.
- Ouvrez et modifiez votre fichier .htaccess .
Vous avez des questions sur la façon de mettre une adresse IP sur une liste blanche dans WordPress ? Parlons-en dans la section des commentaires ci-dessous !
