Masquer les messages d’erreur de connexion WordPress (sécurité)
Pour renforcer la sécurité de votre site, avez-vous pensé à masquer ou à modifier les messages d’erreur de connexion de WordPress qui s’affichent par défaut ?
Oui, je parle bien des conseils qui s’affichent sur la page de connexion WordPress lorsque vous essayez de vous connecter avec des informations d’identification erronées.
Il est indéniable que pour une personne bien intentionnée, ces messages donnent des indices sur ce qui empêche la connexion. En effet, ils indiquent si vous trompez d’identifiant, d’adresse e-mail ou de mot de passe. Mais le problème est qu’ils sont un peu trop explicites. Ainsi, ces informations peuvent s’avérer très utiles pour des pirates informatiques ou des robots qui tentent de pénétrer sur votre site.
Dans cet article, nous allons donc voir :
- ce que sont les messages d’erreurs de connexion,
- en quoi ils constituent un problème de sécurité,
- comment donner du fil à retordre aux pirates en masquant ou en modifiant les messages d’erreur de connexion WordPress
Que sont les messages d’erreur de connexion WordPress et pourquoi sont-ils un problème de sécurité ?
Par défaut, WordPress souhaite aider les utilisateurs qui se trompent dans leur combinaison identifiant ou adresse e-mail/mot de passe en indiquant l’erreur qu’ils ont commise sur la page de connexion.
Je suis sûre que cela vous est déjà arrivé de faire une erreur de saisie et de voir ces indices ! Mais, je vais vous les montrer de nouveau pour que vous compreniez bien en quoi ils posent un problème de sécurité. 😉
Messages d’erreur de connexion WordPress pour un identifiant ou une adresse e-mail erroné
Pour l’exemple, je vais partir du fait que votre identifiant de connexion est testwp et que l’identifiant testwp! ne correspond à aucun utilisateur du site.
Ainsi, lorsque vous essayez de vous connecter avec l’identifiant testwp!, comme celui-ci n’existe pas, WordPress vous informe que vous trompez d’identifiant. Ni une, ni deux, vous recevez un message d’erreur indiquant : ” L’identifiant testwp! n’est pas inscrit sur ce site. Si vous doutez de votre identifiant, essayez plutôt votre adresse e-mail “.
Ensuite, si vous essayez de vous connecter en saisissant une adresse e-mail incorrecte, vous aurez alors le message : “Adresse e-mail inconnue. Vérifiez l’orthographe ou essayez avec votre identifiant.“
Dans ces conditions, un potentiel attaquant saura que l’identifiant ou l’adresse e-mail n’est pas valide. Il en testera d’autres jusqu’à ce qu’il en trouve un ou une qui existe sur le site. Ensuite, il ne lui restera plus qu’à essayer différents mots de passe.
Messages d’erreur de connexion WordPress pour un mot de passe erroné
Lorsque c’est le mot de passe qui est erroné, les messages d’erreur de connexion WordPress changent.
Ainsi, si vous saisissez l’identifiant testwp qui est correct, mais que vous vous trompez de mot de passe, le message d’erreur qui s’affiche est : “ce mot de passe ne correspond pas à l’identifiant testwp”.
De la même façon, si vous essayez de vous connecter avec une adresse e-mail correspondant à votre compte WordPress, mais avec le mauvais mot de passe, le message d’erreur est : “le mot de passe que vous avez saisi pour l’adresse e-mail xxxx est incorrect. Mot de passe oublié ? “.
Là, le pirate est content, car il sait que l’identifiant testwp ou l’adresse e-mail correspond bien à un utilisateur du site. Il a donc trouvé la moitié de votre login et il ne lui reste plus qu’à trouver votre mot de passe.
La bonne nouvelle est que vous pouvez modifier ou masquer les messages d’erreur par défaut pour rendre la tâche plus difficile aux pirates.
Comment modifier ou masquer les messages d’erreur de connexion WordPress sans plugin ?
Pour rendre votre site plus sécurisé, vous pouvez soit modifier ou bien supprimer les messages d’erreur de connexion. Quelle que soit la méthode choisie, elle aura pour but de faire en sorte que les pirates ne sachent pas si c’est l’identifiant, l’adresse e-mail ou le mot de passe qui n’est pas valide.
Pour masquer les messages d’erreur de connexion WordPress, vous n’avez pas besoin d’avoir recours à une extension. En effet, il suffit juste d’insérer quelques lignes de code PHP.
⚠️ Comme d’habitude, assurez-vous quand même de faire une sauvegarde de votre site avant de commencer !
Tout d’abord, accédez au fichier functions.php de votre thème enfant qui se trouve sous /wp-content/themes/votre-theme-enfant. Ou bien si vous n’avez pas créé de thème enfant, utilisez une extension qui permet de saisir des extraits de code comme Code snippets.
Dans l’éventualité où vous souhaitez remplacer les messages d’erreur de connexion de WordPress par un message personnalisé plus anonyme tel que “Identifiant ou mot de passe incorrect !”. Alors, copiez le code ci-dessous et n’oubliez pas d’enregistrer vos modifications :
// Modifier les messages d'erreur de connexion
function mfw_wordpress_errors()
{ return 'Identifiant ou mot de passe incorrect !'; }
add_filter( 'login_errors', 'mfw_wordpress_errors' );
Désormais, WordPress n’affichera plus le message par défaut avec les détails sur la partie incorrecte des informations de connexion. À la place, à chaque tentative de connexion échouée, le message d’erreur personnalisé “Identifiant ou mot de passe incorrect !” apparaitra.
(Vous pouvez bien sûr remplacer “Identifiant ou mot de passe incorrect !” par une autre phrase de votre choix.)
Par contre, si vous préférez supprimer complètement les conseils de connexion/messages d’erreur par défaut de WordPress et ne rien afficher du tout, alors, copiez plutôt ce code :
// Masquer les messages d'erreur de connexion
add_filter('login_errors', '__return_null');
Et voilà le résultat !
💡Pour vérifier la prise en compte des modifications, ouvrez une fenêtre de navigation privée. Puis, essayez de vous connecter via la page d’administration de WordPress avec un identifiant et un mot de passe sortis de votre imagination.
Comment masquer les messages d’erreur de connexion WordPress avec WP Tiger d’o2switch ?
Vous avez pour hébergeur o2switch comme moi ?
Alors, vous avez de la chance parce que vous n’aurez même pas besoin d’insérer du code.
Pour supprimer les messages d’erreur de connexion en un clic, rendez-vous sur votre espace technique o2switch (cPanel) via l’adresse communiquée dans le mail de bienvenue.
Ensuite, cliquez sur WP Tiger qui se trouve dans les outils exclusifs d’o2switch. Là, trouvez le site pour lequel vous souhaitez masquer les messages d’erreur de connexion WordPress et cliquez sur “Gérer le site“.
Cliquez alors sur l’onglet “Sécurité“. Puis, faites défiler jusqu’aux Snippets et enfin, activez “Masque le message d’erreur de connexion”.
Cela ajoutera automatiquement la règle hideLoginErr dans un plugin sous /wp-content/plugins/o2s-wp-tiger :
// o2s WpTiger - hideLoginErr
// Masque le message d'erreur de connexion
add_filter('login_errors', '__return_null');
Autres moyens de sécuriser la page de connexion WordPress
Lorsqu’un site WordPress est attaqué, le point d’entrée principal est la page de connexion. Il est donc obligatoire de la sécuriser pour vous protéger contre les attaquants potentiels.
Aujourd’hui, vous avez appris à désactiver ou modifier les messages d’erreurs de connexion WordPress.
Mais attention, masquer les erreurs de connexion n’est qu’une étape pour protéger la connexion à votre site WordPress. En effet, cela ne vous met pas à l’abri de tentatives de piratage plus sophistiquées ou des attaques par force brute.
Alors, n’oubliez pas également d’utiliser un mot de passe fort, de déplacer l’URL de connexion et de limiter le nombre de tentatives de connexion et encore mieux d’activer une authentification à deux facteurs (2FA).
Soumettre un commentaire 💬