Sécuriser connexion site WordPress | 1 Limit Login | 2 Hide Login
Avez-vous pensé à sécuriser la page de connexion de votre site WordPress ?
Je vous entends d’ici me répondre : “Oui, pas de souci, j’ai utilisé un mot de passe fort, unique et long”.
Eh bien, je vous réponds qu’effectivement, c’est primordial, mais insuffisant.
En effet, comme vous le savez, par défaut, la page de connexion WordPress est accessible en ajoutant /login/, /admin/, /wp-admin/ ou /wp-login.php à la fin de l’URL d’un site.
Qui plus est, WordPress autorise un nombre illimité de tentatives de connexion.
Le problème est que les hackers le savent aussi. Ainsi, c’est via l’une de ces URL qu’ils tenteront de trouver votre mot de passe pour pirater votre site WordPress.
Afin de la protéger, installez 2 extensions légères : WPS Hide Login et WPS Limit Login.
Ainsi, vous pourrez :
- Cacher l’URL de la page de connexion à l’administration WordPress
- Limiter les tentatives de connexion au site
Dans cet article, vous découvrirez les avantages de WPS Hide Login et WPS Limit Login et comment les paramétrer.
WPS Hide Login pour sécuriser/masquer l’URL de connexion au site WordPress
WPS Hide Login est une extension gratuite de WPServeur, société spécialisée dans l’hébergement des sites WordPress. Elle a une note de 5 étoiles et détient plus d’un million d’installations actives.
Le but de cette extension est de renforcer la sécurité de votre site WordPress en masquant son URL de connexion.
Ainsi, les pirates qui essaieront de trouver votre mot de passe de connexion via l’URL de connexion WordPress par défaut seront redirigés vers une autre page.
WPS Hide Login est une extension qui :
- Fonctionne sur n’importe quel site WordPress (multisite, avec sous-domaines ou sous dossiers)
- Est compatible avec BuddyPress, bbPress, Limit Login Attempts et User Switching plugins
- Ne modifie pas les fichiers de WordPress
- N’ajoute pas de règles de réécriture
Installation et paramétrage de WPS Hide Login
Pour commencer, allez dans Extensions/Ajouter et indiquez le mot-clé “WPS Hide Login”. Puis, installez et activez l’extension.
Ensuite, cliquez sur “Réglages” soit en passant par les extensions installées, soit par Réglages/WPS Hide Login.
Vous accédez alors aux réglages généraux de WordPress. WPS Hide Login se trouve tout en bas.
Le paramètre se divise en deux parties : l’URL de connexion et l’URL de redirection.
Dans URL de connexion, vous voyez l’URL de connexion par défaut pour WordPress qui se termine par login. Remplacez login par un mot de votre choix sans espace ni accent. Votre URL de connexion sera alors changée et deviendra votre URL secrète.
Pour vous connecter à votre tableau de bord, il vous faudra dorénavant saisir la nouvelle URL. Par exemple, si vous avez indiqué “motchoisi” à la place de “login”, il faudra que vous saisissiez https://votredomaine/motchoisi/.
Juste en dessous de l’URL de connexion se trouve l’URL de redirection. C’est la page qui s’affichera lorsque quelqu’un essaiera d’accéder à la page de connexion via une autre URL que celle que vous avez paramétrée.
Par défaut, il s’agit de la page erreur 404 indiquant que cette page n’existe plus. Si vous le désirez, vous pouvez créer une page spécifique et indiquer son URL ici.
Une fois les réglages terminés, n’oubliez pas d’enregistrer les modifications et de mémoriser la nouvelle URL pour vous connecter à la page d’administration de WordPress.
Si vous souhaitez revenir à l’URL par défaut, désactivez simplement le plugin.
⚠️ Dès l’enregistrement de l’URL de connexion personnalisée effectué, vous ne pourrez plus vous connecter via l’URL par défaut.
WPS Limit Login pour sécuriser/limiter le nombre de connexions au site WordPress
WPS Limit Login est également une extension gratuite qui, de surcroit, complète parfaitement WPS Hide Login. Elle a une note de 5 étoiles et détient plus de 60 000 installations actives.
Le but de cette extension est de renforcer la sécurité de votre site WordPress en bloquant les attaques par force brute.
En bref, l’attaque par force brute (bruteforce attack) est une méthode de piratage d’un site très utilisée par les hackers. Elle consiste à tester toutes les combinaisons possibles de nom d’utilisateur et de mot de passe jusqu’à trouver celle qui fonctionne afin de se connecter au site.
Il ne faut pas oublier que par défaut WordPress permet des tentatives de connexion illimitées et occasionne ainsi une faille de sécurité.
Alors pour contrer ces attaques, WPS Limit Login :
- Limite le nombre de tentatives de connexion pour chaque IP
- Limite le nombre de tentatives de connexion en utilisant des cookies d’authentification
- Informe l’utilisateur sur les tentatives restantes ou le temps de verrouillage sur la page de connexion
- Autorise la mise en liste blanche / liste noire d’adresses IP
- Protège la passerelle XMLRPC
- Protège la page de connexion WooCommerce
Il est à noter que WPS Limit Login est compatible avec le pare-feu Sucuri ainsi qu’avec les multisites.
Installation et paramétrage de WPS Limit Login
Pour commencer, allez dans Extensions/Ajouter et indiquez le mot-clé “WPS Limit Login”. Puis, installez et activez l’extension.
Ensuite, cliquez sur “Réglages” soit en passant par les extensions installées, soit par Réglages/WPS Limit Login.
Vous aurez alors accès à 4 onglets :
1 – Configuration
La configuration est déjà préremplie, mais rien ne vous empêche de la modifier.
Soit, vous laissez en l’état ou bien, vous indiquez :
- Le nombre de tentatives autorisées de connexion avant le blocage d’une adresse IP
- La durée de blocage en minute(s)
- Le nombre d’heures avant la réinitialisation des tentatives de connexion
- Le nombre de blocages supplémentaires d’une adresse IP ainsi que son temps de blocage
D’autre part, si vous souhaitez que l’administrateur du site WordPress reçoive un email d’alerte après un certain nombre de blocages, il vous faudra cocher la case prévue à cet effet.
Et si vous ne désirez pas afficher le lien vers le crédit de WPS Limit Login, alors décochez la case “Afficher le lien de crédit”.
2 – Liste blanche
Ici, vous pouvez indiquer une liste blanche d’adresses IP qui ne subiront aucune limite de tentatives de connexion.
WPS Limit Login trouve automatiquement la vôtre, ainsi, vous pourrez l’ajouter à la liste blanche simplement en cliquant sur le bouton ” Ajouter mon IP xxxx”.
Par ailleurs, si d’autres personnes ont des comptes sur votre site, demandez-leur leur adresse IP afin de les ajouter également.
3 – Liste noire
Si vous remarquez des adresses IP non autorisées essayant d’accéder à votre site WordPress, vous pouvez complètement les bloquer en les inscrivant sur la liste noire.
Ainsi, ces adresses IP ne pourront plus jamais accéder à la page de connexion.
4 – Journal de blocage
WPS Limit Login propose un journal de blocage des adresses IP.
Ici, vous verrez :
- Le nombre de blocages depuis la dernière réinitialisation
- Les adresses IP qui ont été bloquées
- Le ou les comptes via lesquels la personne a tenté de se connecter
- La date des blocages
Vous pouvez réinitialiser le compteur en cliquant sur le bouton associé et aussi débloquer toutes les adresses IP en cliquant sur “Tout débloquer”.
Pour débloquer une seule adresse, cliquez sur “Bloqué” de la ligne concernée et l’adresse IP passera en “Débloqué”.
Aperçu de la connexion sécurisée avec WPS Limit Login
Voici un aperçu de ce que voit un utilisateur lorsqu’il tente de se connecter une fois WPS Limit Login mis en place avec :
- Trois tentatives de connexion avant blocage
- Un temps de blocage d’une minute
- L’affichage du lien de crédit
Sécuriser la page de connexion au site WordPress au final…
Pour conclure, il faut que vous vous disiez que pour accéder à l’admin d’un site WordPress, il n’y a qu’une porte à franchir et qu’elle est la même pour tous les sites WordPress.
Alors, n’oubliez pas de changer cette porte et d’y mettre un cadenas afin de décourager les pirates.
Dans cet article, je vous ai présenté deux extensions qui servent à protéger la connexion à l’administration d’un site WordPress : WPS Hide Login et WPS Limit Login. Celles-ci apportent un début de sécurité. Mais, pour protéger un site WordPress, d’autres actions sont bien évidemment à mettre en place…
Vous pouvez par exemple cacher les messages d’erreur de connexion WordPress qui s’affichent par défaut. 😉
Utilisez-vous déjà WPS Hide Login et WPS Limit Login ou les découvrez-vous ?
Soumettre un commentaire 💬