SĂ©curiser connexion site WordPress | 1 Limit Login | 2 Hide Login
Avez-vous pensé à sécuriser la page de connexion de votre site WordPress ?
Je vous entends d’ici me rĂ©pondre : “Oui, pas de souci, j’ai utilisĂ© un mot de passe fort, unique et long”.
Eh bien, je vous rĂ©ponds qu’effectivement, c’est primordial, mais insuffisant.
En effet, comme vous le savez, par dĂ©faut, la page de connexion WordPress est accessible en ajoutant /login/, /admin/, /wp-admin/âou /wp-login.php Ă la fin de lâURL d’un site.
Qui plus est, WordPress autorise un nombre illimité de tentatives de connexion.
Le problĂšme est que les hackers le savent aussi. Ainsi, c’est via l’une de ces URL qu’ils tenteront de trouver votre mot de passe pour pirater votre site WordPress.
Afin de la protéger, installez 2 extensions légÚres : WPS Hide Login et WPS Limit Login.
Ainsi, vous pourrez :
- Cacher l’URL de la page de connexion Ă l’administration WordPress
- Limiter les tentatives de connexion au site
Dans cet article, vous découvrirez les avantages de WPS Hide Login et WPS Limit Login et comment les paramétrer.
WPS Hide Login pour sĂ©curiser/masquer l’URL de connexion au site WordPress
WPS Hide Login est une extension gratuite de WPServeur, sociĂ©tĂ© spĂ©cialisĂ©e dans l’hĂ©bergement des sites WordPress. Elle a une note de 5 Ă©toiles et dĂ©tient plus d’un million d’installations actives.
Le but de cette extension est de renforcer la sécurité de votre site WordPress en masquant son URL de connexion.
Ainsi, les pirates qui essaieront de trouver votre mot de passe de connexion via l’URL de connexion WordPress par dĂ©faut seront redirigĂ©s vers une autre page.
WPS Hide Login est une extension qui :
- Fonctionne sur n’importe quel site WordPress (multisite, avec sous-domaines ou sous dossiers)
- Est compatible avec BuddyPress, bbPress, Limit Login Attempts et User Switching plugins
- Ne modifie pas les fichiers de WordPress
- N’ajoute pas de rĂšgles de rĂ©Ă©criture
Installation et paramétrage de WPS Hide Login
Pour commencer, allez dans Extensions/Ajouter et indiquez le mot-clĂ© “WPS Hide Login”. Puis, installez et activez l’extension.
Ensuite, cliquez sur “RĂ©glages” soit en passant par les extensions installĂ©es, soit par RĂ©glages/WPS Hide Login.
Vous accédez alors aux réglages généraux de WordPress. WPS Hide Login se trouve tout en bas.
Le paramĂštre se divise en deux parties : l’URL de connexion et l’URL de redirection.
Dans URL de connexion, vous voyez l’URL de connexion par dĂ©faut pour WordPress qui se termine par login. Remplacez login par un mot de votre choix sans espace ni accent. Votre URL de connexion sera alors changĂ©e et deviendra votre URL secrĂšte.
Pour vous connecter Ă votre tableau de bord, il vous faudra dorĂ©navant saisir la nouvelle URL. Par exemple, si vous avez indiquĂ© “motchoisi” Ă la place de “login”, il faudra que vous saisissiez https://votredomaine/motchoisi/.
Juste en dessous de l’URL de connexion se trouve l’URL de redirection. C’est la page qui s’affichera lorsque quelqu’un essaiera d’accĂ©der Ă la page de connexion via une autre URL que celle que vous avez paramĂ©trĂ©e.
Par dĂ©faut, il s’agit de la page erreur 404 indiquant que cette page n’existe plus. Si vous le dĂ©sirez, vous pouvez crĂ©er une page spĂ©cifique et indiquer son URL ici.
Une fois les rĂ©glages terminĂ©s, n’oubliez pas d’enregistrer les modifications et de mĂ©moriser la nouvelle URL pour vous connecter Ă la page d’administration de WordPress.
Si vous souhaitez revenir Ă l’URL par dĂ©faut, dĂ©sactivez simplement le plugin.
â ïžâââ DĂšs l’enregistrement de l’URL de connexion personnalisĂ©e effectuĂ©, vous ne pourrez plus vous connecter via l’URL par dĂ©faut.
WPS Limit Login pour sécuriser/limiter le nombre de connexions au site WordPress
WPS Limit Login est également une extension gratuite qui, de surcroit, complÚte parfaitement WPS Hide Login. Elle a une note de 5 étoiles et détient plus de 60 000 installations actives.
Le but de cette extension est de renforcer la sécurité de votre site WordPress en bloquant les attaques par force brute.
En bref, l’attaque par force brute (bruteforce attack) est une mĂ©thode de piratage d’un site trĂšs utilisĂ©e par les hackers. Elle consiste Ă tester toutes les combinaisons possibles de nom d’utilisateur et de mot de passe jusqu’Ă trouver celle qui fonctionne afin de se connecter au site.
Il ne faut pas oublier que par défaut WordPress permet des tentatives de connexion illimitées et occasionne ainsi une faille de sécurité.
Alors pour contrer ces attaques, WPS Limit Login :
- Limite le nombre de tentatives de connexion pour chaque IP
- Limite le nombre de tentatives de connexion en utilisant des cookies d’authentification
- Informe lâutilisateur sur les tentatives restantes ou le temps de verrouillage sur la page de connexion
- Autorise la mise en liste blanche / liste noire d’adresses IP
- ProtĂšge la passerelle XMLRPC
- ProtĂšge la page de connexion WooCommerce
Il est Ă noter que WPS Limit Login est compatible avec le pare-feu Sucuri ainsi qu’avec les multisites.
Installation et paramétrage de WPS Limit Login
Pour commencer, allez dans Extensions/Ajouter et indiquez le mot-clĂ© “WPS Limit Login”. Puis, installez et activez l’extension.
Ensuite, cliquez sur “RĂ©glages” soit en passant par les extensions installĂ©es, soit par RĂ©glages/WPS Limit Login.
Vous aurez alors accĂšs Ă 4 onglets :
1 – Configuration
La configuration est dĂ©jĂ prĂ©remplie, mais rien ne vous empĂȘche de la modifier.
Soit, vous laissez en l’Ă©tat ou bien, vous indiquez :
- Le nombre de tentatives autorisĂ©es de connexion avant le blocage d’une adresse IP
- La durée de blocage en minute(s)
- Le nombre d’heures avant la rĂ©initialisation des tentatives de connexion
- Le nombre de blocages supplĂ©mentaires d’une adresse IP ainsi que son temps de blocage
D’autre part, si vous souhaitez que l’administrateur du site WordPress reçoive un email d’alerte aprĂšs un certain nombre de blocages, il vous faudra cocher la case prĂ©vue Ă cet effet.
Et si vous ne dĂ©sirez pas afficher le lien vers le crĂ©dit de WPS Limit Login, alors dĂ©cochez la case “Afficher le lien de crĂ©dit”.
2 – Liste blanche
Ici, vous pouvez indiquer une liste blanche d’adresses IP qui ne subiront aucune limite de tentatives de connexion.
WPS Limit Login trouve automatiquement la vĂŽtre, ainsi, vous pourrez l’ajouter Ă la liste blanche simplement en cliquant sur le bouton ” Ajouter mon IP xxxx”.
Par ailleurs, si d’autres personnes ont des comptes sur votre site, demandez-leur leur adresse IP afin de les ajouter Ă©galement.
3 – Liste noire
Si vous remarquez des adresses IP non autorisĂ©es essayant d’accĂ©der Ă votre site WordPress, vous pouvez complĂštement les bloquer en les inscrivant sur la liste noire.
Ainsi, ces adresses IP ne pourront plus jamais accéder à la page de connexion.
4 – Journal de blocage
WPS Limit Login propose un journal de blocage des adresses IP.
Ici, vous verrez :
- Le nombre de blocages depuis la derniÚre réinitialisation
- Les adresses IP qui ont été bloquées
- Le ou les comptes via lesquels la personne a tenté de se connecter
- La date des blocages
Vous pouvez rĂ©initialiser le compteur en cliquant sur le bouton associĂ© et aussi dĂ©bloquer toutes les adresses IP en cliquant sur “Tout dĂ©bloquer”.
Pour dĂ©bloquer une seule adresse, cliquez sur “BloquĂ©” de la ligne concernĂ©e et l’adresse IP passera en “DĂ©bloquĂ©”.
Aperçu de la connexion sécurisée avec WPS Limit Login
Voici un aperçu de ce que voit un utilisateur lorsqu’il tente de se connecter une fois WPS Limit Login mis en place avec :
- Trois tentatives de connexion avant blocage
- Un temps de blocage d’une minute
- L’affichage du lien de crĂ©dit
SĂ©curiser la page de connexion au site WordPress au final…
Pour conclure, il faut que vous vous disiez que pour accĂ©der Ă l’admin d’un site WordPress, il n’y a qu’une porte Ă franchir et qu’elle est la mĂȘme pour tous les sites WordPress.
Alors, n’oubliez pas de changer cette porte et d’y mettre un cadenas afin de dĂ©courager les pirates.
Dans cet article, je vous ai prĂ©sentĂ© deux extensions qui servent Ă protĂ©ger la connexion Ă l’administration d’un site WordPress : WPS Hide Login et WPS Limit Login. Celles-ci apportent un dĂ©but de sĂ©curitĂ©. Mais, pour protĂ©ger un site WordPress, d’autres actions sont bien Ă©videmment Ă mettre en place… La suite dans un prochain article… đ
Utilisez-vous déjà WPS Hide Login et WPS Limit Login ou les découvrez-vous ?