SĂ©curiser connexion site WordPress | 1 Limit Login | 2 Hide Login

SĂ©curiser connexion site WordPress | 1 Limit Login | 2 Hide Login
10 mn de lecture

Avez-vous pensé à sécuriser la page de connexion de votre site WordPress ?

Je vous entends d’ici me rĂ©pondre : “Oui, pas de souci, j’ai utilisĂ© un mot de passe fort, unique et long”.

Eh bien, je vous rĂ©ponds qu’effectivement, c’est primordial, mais insuffisant.

En effet, comme vous le savez, par dĂ©faut, la page de connexion WordPress est accessible en ajoutant /login/, /admin/, /wp-admin/ ou /wp-login.php Ă  la fin de l’URL d’un site.

Qui plus est, WordPress autorise un nombre illimité de tentatives de connexion.

Le problĂšme est que les hackers le savent aussi. Ainsi, c’est via l’une de ces URL qu’ils tenteront de trouver votre mot de passe pour pirater votre site WordPress.

Afin de la protéger, installez 2 extensions légÚres : WPS Hide Login et WPS Limit Login.

Ainsi, vous pourrez :

  • Cacher l’URL de la page de connexion Ă  l’administration WordPress
  • Limiter les tentatives de connexion au site

Dans cet article, vous découvrirez les avantages de WPS Hide Login et WPS Limit Login et comment les paramétrer.

WPS Hide Login pour sĂ©curiser/masquer l’URL de connexion au site WordPress

WPS Hide Login extension pour sécuriser l'URL site WordPress

WPS Hide Login est une extension gratuite de WPServeur, sociĂ©tĂ© spĂ©cialisĂ©e dans l’hĂ©bergement des sites WordPress. Elle a une note de 5 Ă©toiles et dĂ©tient plus d’un million d’installations actives.

Le but de cette extension est de renforcer la sécurité de votre site WordPress en masquant son URL de connexion.

Ainsi, les pirates qui essaieront de trouver votre mot de passe de connexion via l’URL de connexion WordPress par dĂ©faut seront redirigĂ©s vers une autre page.

WPS Hide Login est une extension qui :

  • Fonctionne sur n’importe quel site WordPress (multisite, avec sous-domaines ou sous dossiers)
  • Est compatible avec BuddyPress, bbPress, Limit Login Attempts et User Switching plugins
  • Ne modifie pas les fichiers de WordPress
  • N’ajoute pas de rĂšgles de rĂ©Ă©criture

Installation et paramétrage de WPS Hide Login

Pour commencer, allez dans Extensions/Ajouter et indiquez le mot-clĂ© “WPS Hide Login”. Puis, installez et activez l’extension.

Ensuite, cliquez sur “RĂ©glages” soit en passant par les extensions installĂ©es, soit par RĂ©glages/WPS Hide Login.

RĂ©glages WPS Hide Login

Vous accédez alors aux réglages généraux de WordPress. WPS Hide Login se trouve tout en bas.

WPS Hide Login changer URL de connexion pour sécuriser le site WordPress

Le paramĂštre se divise en deux parties : l’URL de connexion et l’URL de redirection.

Dans URL de connexion, vous voyez l’URL de connexion par dĂ©faut pour WordPress qui se termine par login. Remplacez login par un mot de votre choix sans espace ni accent. Votre URL de connexion sera alors changĂ©e et deviendra votre URL secrĂšte.

Pour vous connecter Ă  votre tableau de bord, il vous faudra dorĂ©navant saisir la nouvelle URL. Par exemple, si vous avez indiquĂ© “motchoisi” Ă  la place de “login”, il faudra que vous saisissiez https://votredomaine/motchoisi/.

Juste en dessous de l’URL de connexion se trouve l’URL de redirection. C’est la page qui s’affichera lorsque quelqu’un essaiera d’accĂ©der Ă  la page de connexion via une autre URL que celle que vous avez paramĂ©trĂ©e.

Par dĂ©faut, il s’agit de la page erreur 404 indiquant que cette page n’existe plus. Si vous le dĂ©sirez, vous pouvez crĂ©er une page spĂ©cifique et indiquer son URL ici.

Une fois les rĂ©glages terminĂ©s, n’oubliez pas d’enregistrer les modifications et de mĂ©moriser la nouvelle URL pour vous connecter Ă  la page d’administration de WordPress.

Si vous souhaitez revenir Ă  l’URL par dĂ©faut, dĂ©sactivez simplement le plugin.

⚠ ​​ DĂšs l’enregistrement de l’URL de connexion personnalisĂ©e effectuĂ©, vous ne pourrez plus vous connecter via l’URL par dĂ©faut.

💡 Solution de dĂ©blocage si vous avez oubliĂ© votre URL de connexion WPS Hide Login et ne pouvez plus accĂ©der Ă  l’admin de votre tableau de bord WordPress (page 404).

WPS Limit Login pour sécuriser/limiter le nombre de connexions au site WordPress

WPS Limit Login extension de sécurité pour limiter les connexions au site WordPress

WPS Limit Login est également une extension gratuite qui, de surcroit, complÚte parfaitement WPS Hide Login. Elle a une note de 5 étoiles et détient plus de 60 000 installations actives.

Le but de cette extension est de renforcer la sécurité de votre site WordPress en bloquant les attaques par force brute.

En bref, l’attaque par force brute (bruteforce attack) est une mĂ©thode de piratage d’un site trĂšs utilisĂ©e par les hackers. Elle consiste Ă  tester toutes les combinaisons possibles de nom d’utilisateur et de mot de passe jusqu’Ă  trouver celle qui fonctionne afin de se connecter au site.

Il ne faut pas oublier que par défaut WordPress permet des tentatives de connexion illimitées et occasionne ainsi une faille de sécurité.

Alors pour contrer ces attaques, WPS Limit Login :

  • Limite le nombre de tentatives de connexion pour chaque IP
  • Limite le nombre de tentatives de connexion en utilisant des cookies d’authentification
  • Informe l’utilisateur sur les tentatives restantes ou le temps de verrouillage sur la page de connexion
  • Autorise la mise en liste blanche / liste noire d’adresses IP
  • ProtĂšge la passerelle XMLRPC
  • ProtĂšge la page de connexion WooCommerce

Il est Ă  noter que WPS Limit Login est compatible avec le pare-feu Sucuri ainsi qu’avec les multisites.

Installation et paramétrage de WPS Limit Login

Pour commencer, allez dans Extensions/Ajouter et indiquez le mot-clĂ© “WPS Limit Login”. Puis, installez et activez l’extension.

Ensuite, cliquez sur “RĂ©glages” soit en passant par les extensions installĂ©es, soit par RĂ©glages/WPS Limit Login.

AccÚs réglages WPS Limit Login

Vous aurez alors accĂšs Ă  4 onglets :

1 – Configuration

WPS Limit Login configuration sécurité connexion site WordPress

La configuration est dĂ©jĂ  prĂ©remplie, mais rien ne vous empĂȘche de la modifier.

Soit, vous laissez en l’Ă©tat ou bien, vous indiquez :

  • Le nombre de tentatives autorisĂ©es de connexion avant le blocage d’une adresse IP
  • La durĂ©e de blocage en minute(s)
  • Le nombre d’heures avant la rĂ©initialisation des tentatives de connexion
  • Le nombre de blocages supplĂ©mentaires d’une adresse IP ainsi que son temps de blocage

D’autre part, si vous souhaitez que l’administrateur du site WordPress reçoive un email d’alerte aprĂšs un certain nombre de blocages, il vous faudra cocher la case prĂ©vue Ă  cet effet.

Et si vous ne dĂ©sirez pas afficher le lien vers le crĂ©dit de WPS Limit Login, alors dĂ©cochez la case “Afficher le lien de crĂ©dit”.

2 – Liste blanche

WPS Limit Login liste blanche d'IP pour connexion site WordPress

Ici, vous pouvez indiquer une liste blanche d’adresses IP qui ne subiront aucune limite de tentatives de connexion.

WPS Limit Login trouve automatiquement la vĂŽtre, ainsi, vous pourrez l’ajouter Ă  la liste blanche simplement en cliquant sur le bouton ” Ajouter mon IP xxxx”.

Par ailleurs, si d’autres personnes ont des comptes sur votre site, demandez-leur leur adresse IP afin de les ajouter Ă©galement.

3 – Liste noire

WPS Limit Login liste noire d'IP pour sécuriser la connexion site WordPress

Si vous remarquez des adresses IP non autorisĂ©es essayant d’accĂ©der Ă  votre site WordPress, vous pouvez complĂštement les bloquer en les inscrivant sur la liste noire.

Ainsi, ces adresses IP ne pourront plus jamais accéder à la page de connexion.

4 – Journal de blocage

Journal de blocage IP connexion site WordPress WPS Hide Login

WPS Limit Login propose un journal de blocage des adresses IP.

Ici, vous verrez :

  • Le nombre de blocages depuis la derniĂšre rĂ©initialisation
  • Les adresses IP qui ont Ă©tĂ© bloquĂ©es
  • Le ou les comptes via lesquels la personne a tentĂ© de se connecter
  • La date des blocages

Vous pouvez rĂ©initialiser le compteur en cliquant sur le bouton associĂ© et aussi dĂ©bloquer toutes les adresses IP en cliquant sur “Tout dĂ©bloquer”.

Pour dĂ©bloquer une seule adresse, cliquez sur “BloquĂ©” de la ligne concernĂ©e et l’adresse IP passera en “DĂ©bloquĂ©”.

Aperçu de la connexion sécurisée avec WPS Limit Login

Voici un aperçu de ce que voit un utilisateur lorsqu’il tente de se connecter une fois WPS Limit Login mis en place avec :

  • Trois tentatives de connexion avant blocage
  • Un temps de blocage d’une minute
  • L’affichage du lien de crĂ©dit
Aperçu de la sécurité de la connexion avec WPS Limit Login

SĂ©curiser la page de connexion au site WordPress au final…

Pour conclure, il faut que vous vous disiez que pour accĂ©der Ă  l’admin d’un site WordPress, il n’y a qu’une porte Ă  franchir et qu’elle est la mĂȘme pour tous les sites WordPress.

Alors, n’oubliez pas de changer cette porte et d’y mettre un cadenas afin de dĂ©courager les pirates.

Dans cet article, je vous ai prĂ©sentĂ© deux extensions qui servent Ă  protĂ©ger la connexion Ă  l’administration d’un site WordPress : WPS Hide Login et WPS Limit Login. Celles-ci apportent un dĂ©but de sĂ©curitĂ©. Mais, pour protĂ©ger un site WordPress, d’autres actions sont bien Ă©videmment Ă  mettre en place… La suite dans un prochain article… 😉

Utilisez-vous déjà WPS Hide Login et WPS Limit Login ou les découvrez-vous ?

Soumettre un commentaire 💬

guest
0 Commentaires
Commentaires en ligne
Afficher tous les commentaires