WordPress étant le CMS le plus populaire, voyez d’innombrables tentatives de connexion malveillantes chaque jour. Il est assez facile pour les pirates de deviner votre ID de connexion et votre mot de passe, surtout si vous utilisez des détails similaires pour la plupart de vos connexions.
Pourquoi leur donner une chance d’essayer quand on peut se cacher…
Que vous le sachiez ou non, votre site Web est un aimant pour les pirates informatiques qui tentent de s’introduire dans votre site et il gère quotidiennement ces tentatives malveillantes. Cependant, vous n’avez pas besoin de donner cette chance aux pirates tandis qu’en quelques étapes simples, vous pouvez masquer votre page de connexion WP.
Dans cet article, on va vous montrer les deux méthodes simples pour empêcher les pirates et les robots malveillants de s’introduire dans votre site. Je vais essayer de le rendre aussi simple que possible pour que vous compreniez comment vous pouvez le faire.
Deux façons d’empêcher les tentatives de connexion malveillantes:
- Changer votre URL de connexion WordPress
- Cachez votre page wp-admin et wp-login
1. Modifiez votre URL de connexion WordPress
Il est simple d’identifier si votre site Web est alimenté par WordPress ou non. Une fois qu’un pirate voit que votre site est propulsé par WordPress, il est assez facile pour lui de trouver votre URL de connexion. la page de connexion WordPress par défaut est trouvée en entrant votre nom de domaine, suivi de /wp-login.php.
La plupart des propriétaires de sites ne modifient pas leur nom d’utilisateur après avoir configuré un blog à partir de son nom d’utilisateur par défaut qui est [ admin ].
Avec suffisamment de visites sur votre site, les pirates peuvent facilement arriver à votre mot de passe correct car les autres détails sont déjà fournis.
Pour empêcher les pirates et les robots malveillants de se retrouver sur la page de connexion de votre site, il est préférable de changer votre URL de connexion de quelque chose de très évident en quelque chose d’imprévisible.
Changer l’URL de connexion WordPress n’empêchera pas les pirates de pénétrer dans votre site, mais cela évitera certainement aux visiteurs malicieux et aux robots aléatoires de se retrouver sur la page de connexion de votre site Web. Une façon de le faire consiste à envisager d’installer WordPress dans un sous-répertoire. Avant de déplacer une installation existante, assurez-vous de créer une sauvegarde complète de votre site et de la stocker quelque part où vous ne la supprimez ni ne la modifiez accidentellement.
Au lieu de choisir des noms prévisibles comme http://example.com/wordpress ou http://example.com/wp, choisissez un nom unique et moins évident que http://example.com/wpid.
2. Masquer la page de connexion de votre site
Il n’est pas recommandé d’utiliser les stratégies indiquées ci-dessous si votre site est un site d’adhésion et que les tentatives de connexion sont ouvertes à un plus large éventail d’utilisateurs.
Il existe deux méthodes de base pour masquer la page de connexion de votre site:
- Utiliser des plugins
- Utilisation du fichier wp-login.php (sans plugins)
1) Modifier la page de connexion à l’aide d’un plugin
WordPress propose une gamme de plugins qui peuvent être utilisés pour masquer l’URL de votre page de connexion. Certains plugins vous permettent également de masquer la page de connexion de votre site Web et de rediriger les utilisateurs de wp-login.php vers une autre page de votre site Web.
Visitez le répertoire des plugins WordPress.org et recherchez «Masquer la connexion WP» pour voir une liste des plugins de sécurité que vous pouvez utiliser.
Voici une liste de plugins qui peuvent être utilisés à cet effet:
Une fois que vous avez téléchargé et installé un plugin, activez-le. Différents plugins ont différentes méthodes pour masquer la connexion.
Utilisation du plugin «WPS Hide Login»
WPS Hide Login est l’un des meilleurs plugins pour masquer votre page de connexion WordPress qui vous permet de spécifier une nouvelle URL de connexion personnalisée et bloque tout le trafic vers les pages par défaut wp-admin et wp-login. C’est le moyen rapide car la configuration prend à peu près deux secondes.
Tout ce que vous devez faire est de spécifier votre nouvelle URL de connexion en allant dans Paramètres -> WPS Hide Login et le plugin s’occupe du reste.
Utilisation du plugin «Defender»
Defender fonctionne un peu différemment en termes d’interface mais utilise à peu près la même méthode. Une fois que vous avez activé le plugin et terminé la configuration, le plugin Defender vous permet d’accéder à ses options d’outils avancés.
Suivez les étapes simples pour masquer votre URL de connexion:
- Dans la section URL de masquage de l’écran de l’outil avancé, vous pouvez entrer un nouveau slug URL où les utilisateurs de votre site iront pour se connecter ou s’inscrire sur votre site.
- Enregistrez vos modifications et déconnectez-vous de votre site WordPress.
- Maintenant, reconnectez-vous via la page de connexion par défaut sur votredomaine.com/wp-login.php. Vous verrez que le défenseur bloque l’utilisateur qui n’a pas accès à l’URL masquée. Quiconque essaie de visiter la page de connexion WordPress par défaut (c’est-à-dire wp-login.php) sera accueilli avec un message d’erreur («Cette fonctionnalité est désactivée»). Les utilisateurs qui ont accès à l’URL masquée ne pourront accéder qu’à la page de connexion.
Redirigez les utilisateurs vers une autre page de votre site Web
Les plugins ont également une fonction de redirection du trafic qui peut être utilisée pour envoyer des visiteurs vers une autre page de votre site Web. Vous pouvez le faire en revenant à l’écran de l’outil avancé du Defender. Activez la redirection 404 dans la section Rediriger le trafic, entrez le slug de la page vers laquelle vous souhaitez envoyer des visiteurs, puis cliquez sur Enregistrer les modifications pour mettre à jour vos paramètres.
2) Cachez votre URL de connexion sans plugin
Vous pouvez facilement cacher votre page de connexion sans utiliser de plugin. Cela peut être fait en utilisant vos fichiers d’installation et votre éditeur de texte.
Il est préférable de faire une sauvegarde de votre fichier wp-login.php. Cela évitera tout dommage que vous feriez lors de sa modification. Une fois que vous avez terminé, ouvrez votre fichier wp-login.php et copiez tout dans votre presse-papiers.
Créez un nouveau fichier à l’aide de votre éditeur de texte. Collez le code de votre fichier wp-login.php existant dans votre nouveau fichier et enregistrez. Vous pouvez également ouvrir votre fichier wp-login.php et «enregistrer sous» votre nouveau nom de fichier.
Recherchez et remplacez chaque instance de ‘wp-login.php’ dans le code par votre nouveau nom de fichier de connexion (exemple newlogin.php). Enregistrez à nouveau le fichier.
Connectez-vous à votre serveur et envoyer le nouveau fichier de connexion dans le dossier racine ou le répertoire où vous avez installé WordPress. Supprimez le fichier wp-login.php d’origine de votre serveur.
Testez l’URL de votre nouvelle page de connexion. Toute personne visitant la page par défaut wp-login.php rencontrera une erreur.
Conclusion
Il est préférable que vous installiez plusieurs barrières de sécurité sur votre site WP afin qu’il devienne difficile pour les pirates de pénétrer dans votre site. Comprendre et mettre en œuvre diverses pratiques de sécurité WP est la clé pour protéger votre site contre les attaques par force brute et les pirates.
Assurez-vous que la stratégie d’obscurcissement de votre URL fait partie de votre stratégie de sécurité plus complète. Masquer simplement l’URL n’est pas toujours efficace, il est donc préférable de suivre ce guide et de modifier votre URL et de rediriger la configuration pour les visiteurs indésirables à partir de votre page de connexion wp.
Si vous n’êtes pas un expert en codage et que vous ne savez pas vraiment ce que vous faites, il est préférable d’éviter de jouer avec les codes et d’utiliser un plugin à la place.
Laisser un commentaire