Gérer un site WordPress attire presque toujours des tentatives de connexion malveillantes. Les tentatives de force brute pour se connecter sur WordPress sont si communes qu’il y a une page dans le Codex dédié au sujet. Nous vous avons par ailleurs déjà présenté une méthode manuelle dans un précédent tutoriel. Vous pouvez y jeter un coup d’œil.

Il existe de nombreuses stratégies pour faire face à ce problème, et la meilleure stratégie est de déployer des stratégies multiples. Dans ce tutoriel, je vais vous expliquer comment mettre en œuvre l’une des stratégies les plus simples: cacher votre page de connexion de WordPress.

J’ai un site WordPress particulier qui a été installé il y a quelques années. C’est une installation standard de WordPress, fonctionnant avec une série typique de plugins. Pour accéder à la page de connexion tout ce que vous avez à faire est d’aller sur « wp-admin/ » ou « /wp-login.php ».

Ce site ne voit pas une tonne de trafic. En un mois, il génère environ 5000 pages vues. Toutefois, la page de connexion du site subit des tentatives de connexion malveillantes sur une base étonnamment régulière. Le plugin de protection Jetpack est activé sur ce site, et il surveille le nombre de tentatives de connexion malveillantes. Depuis que le module a été ajouté en Mars de l’année dernière, plus de 11.600 tentatives de connexion malveillantes ont été bloquées.

Si vous faites un peu de mathématiques, cela équivaut à près de 800 tentatives de connexion malveillantes par mois, environ 25 par jour, ou une tentative de connexion malveillante toutes les 58 minutes.

Les tentatives de connexion se produisent à un rythme régulier. Des semaines peuvent passer sans une seule tentative de connexion malveillante. Puis, tout à coup, plusieurs tentatives de connexion sont enregistrées en un court laps de temps, tentant de briser la page de connexion de votre site.

Pourquoi devriez-vous cacher la page de connexion de votre site ?

Ce que je peux vous dire avant de commencer. Si votre site demande à d’autres personnes de se connecter, les tentatives de connexion malveillantes sont inévitables. Cette stratégie ne fonctionnera pas pour vous. Dans ce type de situation, vous avez besoin que votre page de connexion soit facile à trouver afin que vos utilisateurs puissent facilement utiliser votre site. Pour lutter contre les tentatives malveillantes, l’une des choses que vous pouvez faire, c’est d’utiliser un plugin qui limite les tentatives de connexion.

Cependant, si votre site n’est pas dédié à l’espace membre, alors dans ce cas, vous pouvez envisager de masquer la page de connexion.

Maintenant, découvrons comment vous pouvez masquer la page de connexion sur votre site WordPress.

Étape 1: Installez WordPress dans son propre répertoire

Vous savez probablement déjà quand et comment installer WordPress dans un sous dossier. Ce n’est pas une tâche trop complexe, et vous pouvez utiliser WordPress à partir d’un sous-répertoire, qu’il s’agisse d’une nouvelle installation ou pas.

Cependant, si vous souhaitez déplacer une installation existante de WordPress, avant de faire quoi que ce soit d’autre, pensez à créer une sauvegarde de votre site.

Étape 2: Cachez la page de connexion URL et Redirigez wp-login.php

Vous savez probablement que le comportement par défaut de WordPress se présente comme suit : WordPress charge la page de connexion lorsque vous accédez à wp-login.php (donc http://www.exemple.com/wp-login.php). Si vous utilisez « /wp-admin » (à la suite de votre nom de domaine dans la barre d’adresse), vous serez automatiquement redirigé vers « wp-login.php » (donc vers www.exemple.com/wp-login.php).

Si vous avez installé WordPress dans un sous-répertoire, alors déjà vous avez fait une partie de ce qu’il faut faire pour masquer votre page de connexion. La vérité cependant est qu’en ce moment, quelqu’un peut toujours trouver votre page de connexion assez facilement.

Sauf si vous avez pris des mesures pour prévenir les comportements standards de WordPress, car même avec WordPress installé dans un sous-répertoire, si quelqu’un essaie d’accéder à http://example.com/wp-login.php, il sera redirigé vers la bonne page de connexion, qui est par exemple similaire à ceci http://example.com/dwiiw/wp-login.php (avec dwiiw pour sous dossier).

L’étape suivante consiste à verrouiller l’accès à wp-login.php et de rediriger vers une page 404 ou vers une page autre que votre page de connexion, et d’utiliser une URL de connexion entièrement personnalisée qui sera difficile à deviner.

Vous devez donc savoir ce que vous choisirez comme nom. Ne prenez pas quelque chose de bien compliqué. Vous verrez dans ce qui suit quelques plugins qui vous aideront à masquer facilement votre page de connexion.

1 – WPS Hide Login

wps-hide-login plugin WordPress

Télécharger

Le slogan dit tout: Vous remplacerez« wp-login.php » par ce que vous souhaitez.

Ce plugin fait juste une chose. Il simplifie d’une URL personnalisée plutôt que d’utiliser l’URL standard. Une fois que ce plugin est installé et activé, « /wp-admin » et « /wp-login.php » sont inaccessibles, remplacés par une URL personnalisée de votre choix.

Avec plus de 50.000 installations actives et une brillante note de 4.7 sur 5 étoiles, WPS Hide Login est une solution fiable si vous souhaitez remplacer rapidement l’URL de connexion.

2 – WP Hide & Security Enhancer

wp-hide plugin WordPress

Télécharger

Le principe de base derrière ce plugin est qu’il masque le fait que vous utilisez WordPress.

Le fait de masquer que votre site utilise WordPress passe par la création d’URL personnalisées et par la désactivation de toutes les URL par défaut. Ce plugin possède plus de 1000 installations actives, ce qui n’est pas écrasant, mais c’est une solution qui vous sera également d’une grande utilité.

3 – Cerber Limit Login Attempts

cerber plugin WordPress

Télécharger

Cerber est un plugin assez populaire qui permet de limiter les tentatives de connexion. Il est actif sur plus de 10.000 sites, et dispose d’une exceptionnelle note de 4.9 sur 5 étoiles.

Comme vous l’avez sûrement deviné, vous aurez probablement besoin de limiter également les tentatives de connexion, même sur la nouvelle page de connexion.

Pour finir

La sécurité n’est pas une chose que vous devez prendre à la légère. Si votre page de connexion n’est pas suffisamment sécurisée, avoir des regrets ne sera pas d’une grande utilité, car vous aurez probablement à réinstaller votre blog (si vous avez pris l’habitude de faire des sauvegardes régulières).

C’est tout pour cette liste. N’hésitez pas à partager cet article avec vos amis sur vos réseaux sociaux préférés.