L’accès à la page de connexion de ton interface de modification WordPress qui est toujours la même : “www.monsite.fr/wp-admin”.

De petits robots très malins sont donc entrainés à tester tous les sites qu’ils peuvent trouver en tapant le fameux “/wp-admin” après l’url pour savoir s’il s’agit d’un site WordPress ou non. Il ne leur suffira qu’à “tester” différents identifiants et mots de passe grâce à un logiciel pour “cracker” l’accès à tes données…

Comment résoudre ce problème ?

C’est assez simple, il suffit d’installer une extension du type WPS Hide Login et de changer cet accès en mettant n’importe quel autre nom qui n’a rien à voir : /connexionwordpress OU /monsitedamour…

Si tu as créé ton site “automatiquement” en passant par WordPress ou ton hébergeur web (OVH par exemple). On va t’attribuer un identifiant commençant par “admin” suivi de 4 ou 5 chiffres aléatoires.

Ce qui réduit considérablement le temps de recherche pour les robots qui veulent cracker ton site : au lieu de milliards de combinaisons, il leur suffit de rentrer le admin puis de tester les combinaisons sur les 4 ou 5 prochains chiffres.

Il y a deux solutions pour faire face à ce problème :

– Installer WordPress de façon manuelle ou “personnalisée” pour définir soi-même son identifiant

– Changer son identifiant via son espace personnel : comptes/modifier le profil

Tu peux ensuite choisir le nom que tu veux en faisant attention à ce que ce ne soit pas trop “intuitif” pour les hackeurs (nom de ton entreprise, ton nom et prénom…).

Pour te connecter, tu as le choix entre mettre ton identifiant OU l’adresse mail lié à ton compte (ce qui est pratique quand tu n’as pas noté ton identifiant).

Le souci est que l’adresse mail de ton entreprise est facilement repérable par les robots ou hackeurs et qu’ils vont forcément essayer celle-ci pour se connecter sur ton compte.

Si possible, essaye d’opter pour une adresse mail “perso” ou “secondaire” pour réduire les chances qu’ils la trouvent.

Celui-ci est logique, mais pour rappel un mot de passe “compliqué” mettra plus de temps à être trouvé par les robots ou logiciels malveillants.

N’oublie pas d’inclure des majuscules, des chiffres et de la ponctuation : WordPress t’indique par un code couleur la difficulté de ton mot de passe et te mettra en garde s’il est trop faible en t’obligeant à cocher une case.

Certains fichiers de base de wordpress sont accessible assez facilement et peuvent donner des informations sur ton compte, ta base de donnée ou ton hébergement. Cela informe aussi sur les extensions ou le thème que tu utilises, ainsi que les versions de WordPress et de ton PHP.

Ces informations peuvent être utilisées pour exploiter des “failles” de sécurité. Il est recommandé d’utiliser des fonctions pour bloquer l’accès à ces fichiers ou le faire directement via ton FTP.