Cachez la page de connexion de votre site WordPress

Protéger son site WordPress des attaques des pirates du web est un impératif. Si le risque 0 n’existe pas, quelques bonnes pratiques permettent de réduire très fortement les risques. Parmi ces bonnes pratiques, cacher sa page de connexion est une des meilleures précautions à prendre. Voyons pourquoi et comment modifier sa page de connexion.

WordPress est le CMS le plus utilisé au monde pour créer un site web. De fait, c’est donc, aussi, le plus attaqué par les hackers. La sécurité d’un site, sous WordPress, est un sujet récurrent dans l’actualité du CMS. Il existe plusieurs types d’attaques et donc plusieurs types de précautions à prendre. Parmi les bonnes pratiques à avoir, même si vous n’y connaissez rien, vous avez le suivantes:

  • Changer votre identifiant, Admin, par défaut
  • Mettre à jour régulièrement vos plugins et votre thème WordPress
  • Et cacher votre page de connexion, par défaut: https://votresite/wp-admin

Et c’est sur cette dernière précaution à prendre que nous allons nous arrêter. Une des actions primordiales, pour sécuriser son site, est en effet de modifier son adresse de connexion. C’est-à-dire la transformer le /wp-admin par, par exemple, un /cestparici ou /maconnexion.

Pour cela, plusieurs plugins de sécurité WordPress proposent de le faire, comme par exemple SecuPress. Cependant, pour ceux d’entre nous qui pas de plugin sécurité de type “All In One”, il existe une extension, créée, elle aussi, par des français, c’est WPS Hide Login.

Les attaques par force brute

Mais avant de parler de plugin, revenons sur le risque. Une des attaques les plus récurrentes sur les sites WordPress est l’attaque par force brute. Da quoi parlons nous?

Une attaque par force brute est une technique qui utilise, entre autres, des robots. Le hacker va tenter de se connecter à votre site, via sa page de connexion, en utilisant un script. Il va essayer toutes les combinaisons de mots de passe possibles, jusqu’à trouver le bon duo. Si la première chose à faire est de changer son identifiant, d’origine, Admin et changer la page auteur de votre site, cela ne suffira pas. Les hackers disposent de logiciels permettant de multiplier les duos de connexion admin/Mot De passe. Alors sécuriser son site doit être effectué dès la création de son site WordPress.

C’est là qu’interviennent des extension comme SecuPress ou WPS Hide Login. Aujourd’hui, je veux m’intéresser à cette dernière.

WPS Hide Login, modifier son adresse de connexion

Move Login est une extension créée par Grégory Viguier, un développeur web toulousain qui travaille avec WP Media. L’idée de l’extension est de stopper les tentatives de brute-force sur votre page de connexion. Clairement, on a vu que les attaques par force brut sont effectuées par de robots. Ces robots vont tenter de se connecter via l’adresse: http://example.com/wp-login.php. Pour que ce dernier passe son chemin, nous allons changer cette adresse en la remplaçant par http://example.com/login/ ou http://example.com/nimportkoi/. Dans le même temps, l’accès à http://example.com/wp-login.php sera interdit (par défaut, un message d’erreur sera affiché).

Mais l’extension peut aller plus loin et vous propose de modifier d’autres URL’s. Move Login permet de modifier son adresse de connexion, donc, mais aussi les adresse d’enregistrement, de déconnexion, de mots de passe oubliés et de réinitialisation. De quoi mettre un peu le bordel pour un robot, voir un hacker qui voudrait s’y prendre manuellement.

Enfin, l’extension embarque une option de redirection qui permet de renvoyer le visiteur qui tenterait de se connecter sur le site, via l’ancienne adresse, vers de pages 404 ou votre page d’accueil.

D’autres extensions, de type “All in One” propose ce service, comme le très bon plugin SecuPress.

Si vous souhaitez vérifier que votre site WordPress est bien sécurisé, contactez-moi, je regarderai cela avec vous: