Comment masquer la page wp-login pour sécuriser votre site WordPress

Ajouter /wp-login/ ou /wp-admin/ à l’URL de son site WordPress est une méthode pratique pour accéder facilement à la page de connexion à l’interface d’administration de son site. Cependant, les hackers connaissent aussi cette méthode ! Ainsi, la plupart des attaques WordPress qui ne sont pas spécifiquement ciblées sont causées par des robots qui analysent le web à la recherche de certaines terminaisons d’URL, dont wp-login.

28 septembre, 2021

Pour protéger son site de ces attaques et éviter d’avoir son site wordpress piraté, la meilleure solution consiste à définir des terminaisons personnalisées. Autrement dit, au lieu d’ajouter /wp-login/ ou /wp-admin/ à l’URL de votre site pour trouver la page de connexion, vous ajouterez un morceau d’URL personnalisé que vous aurez configuré et qui ne sera donc pas facilement trouvé par les robots. Découvrez comment faire.

Utiliser le plugin WPS Hide Login

Installer un plugin est la solution la plus facile et la plus rapide pour masquer la page wp-login de son site WordPress en personnalisant son URL. Le plugin WPS Hide Login est notre préféré car il est léger, très simple d’utilisation, et il est compatible avec les plugins qui utilisent le formulaire de connexion comme User Switching, Limit Login Attempts ou BuddyPress. Il est également compatible avec WP Rocket, mais si vous utilisez un autre plugin de mise en cache, il faudra veiller à ajouter le slug de la nouvelle URL de connexion à la liste des pages à ne pas mettre en cache.

Le fonctionnement du plugin WPS Hide Login est très simple : il ne va pas modifier de fichiers ni ajouter de règles de réécriture, mais il va intercepter les demandes de connexion et rendre les pages wp-admin et wp-login.php inaccessibles. Pour rétablir la page wp-login, il suffit de désactiver le plugin, ce qui ne causera aucun chamboulement au niveau du code.

Pour installer WPS Hide Login, vous aurez besoin d’une version de WordPress 4.1 ou supérieure. Dans la section Plugins, recherchez WPS Hide Login, puis installez et activez le plugin. Vous serez ensuite redirigé vers la page des paramètres où vous pourrez modifier l’URL de la page de connexion. A chaque fois que vous voudrez la changer, il faudra tout simplement se rendre dans les Paramètres > Général > WPS Hide Login.

N’oubliez pas de noter (dans un endroit sécurisé bien sûr) la nouvelle URL pour ne pas l’oublier ! Mais si jamais cela vous arrive, vous pourrez vous rendre dans la base de données MySQL et rechercher « whl_page » dans les options. Une autre solution, plus fastidieuse, est de supprimer le dossier wps-hide-login de votre dossier de plugins, de se connecter via wp-login et de réinstaller le plugin.

Comment savoir si on est piraté sur internet ?

Besoin d’aide ? Faites appel à nos experts WordPress

Vous souhaitez en savoir plus sur la procédure à suivre pour masquer la page wp-login et sécuriser votre site WordPress ? Nous vous proposons un article complet sur le sujet, avec 2 méthodes simplet et efficaces pour masquer avec succès la page de connexion à votre administration WordPress. Vous découvrirez également sur notre blog d’autres tutoriels et bonnes pratiques pour améliorer la sécurité de votre site et mieux le protéger des piratages.

Utiliser le fichier . htaccess

Pour renforcer encore la sécurité de votre site web, utiliser le fichier . htaccess pour masquer la page de connexion est la meilleure solution. Deux options s’offrent à vous : utiliser le fichier . htaccess pour que l’accès à la page wp-login requière un mot de passe ; ou restreindre l’accès à la page wp-login à votre adresse IP.

L’avantage de la première option est que vous n’avez pas besoin de masquer ou de personnaliser l’URL de la page de connexion. Les personnes qui tombent sur la page wp-login devront simplement s’authentifier avec un nom d’utilisateur et un mot de passe.

Pour restreindre l’accès à la page wp-login avec un nom d’utilisateur et un mot de passe, commencez par générer un fichier . htaccess sur Htpasswd Generator. Pour cela, vous aurez besoin de votre nom d’utilisateur et de votre mot de passe. Cet outil va coder automatiquement votre mot de passe et va vous fournir le texte à copier / coller sur votre fichier . htaccess. Une fois cette ligne de code copiée, créez le fichier . htaccess avec un outil comme le Notepad, puis collez-y la ligne de code. Téléchargez ce fichier dans le répertoire racine de votre site WordPress (pour le format, sélectionnez « tous les fichiers »).

Ensuite, ajoutez l’extrait de code suivant en haut de votre fichier . htaccess situé dans le répertoire racine de votre site web :

  # Stop Apache from serving .ht* files
<files>
Order allow,deny
Deny from all
</files>
# Protect wp-login
<files wp-login.php>
AuthUserFile ~/.htpasswd
AuthName "Private access"
AuthType Basic
require user yourusername
</files>

Remplacez “yourusername” par votre nom d’utilisateur, et le tour est joué !

L’autre option consiste à restreindre l’accès à votre page de connexion à votre adresse IP uniquement. Les autres adresses IP tomberont ainsi sur une page d’erreur 403 à la place de la page de connexion wp-login. Cette méthode est surtout efficace si vous avez une adresse IP fixe. Pour restreindre l’accès à la page wp-login à votre adresse IP, vous devez ajouter en haut de votre fichier . htaccess l’extrait de code suivant :

  <ifmodule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^XXX\.XXX\.XXX\.XXX$
RewriteRule ^(.*)$ - [R=403,L]
</ifmodule>

La partie « XXX\.XXX\.XXX\.XXX » doit être remplacée par votre adresse IP. Si vous ne la connaissez pas, tapez « Quelle est mon adresse IP » dans la barre de recherche Google.

Ajoutez autant de lignes « RewriteCond %{REMOTE_ADDR} !^XXX\.XXX\.XXX\.XXX$ » que vous avez d’adresses IP à autoriser.

Vous connaissez maintenant les deux méthodes les plus efficaces pour protéger votre site WordPress contre l’une des techniques de piratage les plus fréquentes. Si vous rencontrez des problèmes avec la mise en place de l’une de ces méthodes, n’hésitez pas à contacter notre équipe !

Attention : N’utilisez jamais ADMIN en user WordPress

CATEGORY
Tutoriel WordPress

Cacher la page de connexion de WordPress est une étape cruciale pour renforcer la sécurité de votre site. En modifiant l’URL par défaut, vous diminuez les risques d’attaques par force brute, souvent menées contre les pages de connexion standard. Pour cela, des plugins comme WPS Hide Login ou iThemes Security peuvent être utilisés. Ils permettent de personnaliser facilement l’URL de connexion sans modifier les fichiers du site. En complément, il est conseillé d’implémenter des mesures de sécurité supplémentaires, telles que la protection du fichier .htaccess, l’ajout de clés de sécurité WordPress, et l’utilisation de plugins de sécurité fiables. Ces mesures, combinées à une surveillance régulière de l’activité suspecte sur le site, contribuent à une meilleure protection contre les menaces de sécurité, comme les malwares ou le phishing. Il est également recommandé de tenir votre site à jour, notamment en termes de version PHP, thèmes et plugins, pour prévenir les vulnérabilités de sécurité et garantir une performance optimale de votre site WordPress.