WordPress est plus populaire que jamais. Il alimente désormais 43 % de tous les sites sur Internet. Revers de cette médaille : sa célébrité fait aussi de lui l’un des CMS les plus visés par les pirates…
Sachez qu’il ne faut que quelques minutes à une personne malveillante, à l’aide d’outils clé en main, pour scanner un site. Ces derniers analysent les pages à la recherche de vulnérabilités communes (des mots de passe faibles, des versions logicielles obsolètes, des failles connues). Objectif de la manœuvre : prendre la main sur votre site, voler des données, ou encore placer des liens Seo ! Il est donc important de tout faire pour leur rendre la tâche compliquée, et pourquoi pas, passer à travers les gouttes du piratage ? Un sujet de plus en plus d’actualité…
Modifier l’URL de votre page de connexion représente une bonne première mesure de défense contre ces tentatives d’intrusion. Certes, cela ne suffira pas à protéger votre site contre des pirates motivés et aguerris, mais cela détournera les tentatives automatisées. Au minimum, vous récupérerez un peu de bande passante. C’est toujours ça de pris ! Ce n’est pas LA mesure ultime de sécurité, mais elle est simple à mettre en place.
Dans cet article nous allons vous montrer comment protéger cette page de connexion facilement et rapidement !
Pourquoi protéger l’url d’administration de mon site WordPress ?
Il est relativement facile de voir si votre site est propulsé par WordPress. Si un pirate sait que votre site utilise WordPress, alors il saura aussi comment trouver l’URL de connexion de WordPress. Par défaut cette adresse se trouve en entrant votre nom de domaine, suivi de /wp-login.php ou encore /wp-admin/.
Pour peu que vous n’ayez pas changé le nom d’administrateur après avoir installé votre site ??? Par défaut, ce nom d’utilisateur peut-être “admin”, sur certains hébergements ! Il ne restera plus qu’à trouver votre mot de passe : un jeux d’enfant pour qui maîtrise les attaques Brute Force, par exemple !
Une attaque Brute Force c’est quoi ?
Vous avez peut-être déjà entendu parler des attaques par force brute. Il s’agit des attaques les plus courantes contre les sites internet, et elles sont très simples à réaliser : un programme informatique essaie, un nombre important de fois, différents noms d’utilisateur et mots de passe jusqu’à ce qu’il trouve la bonne combinaison.
Si votre site WordPress est configuré comme une installation standard et qu’il ne fait pas l’objet de mesures de sécurité, il est probable que des attaques par force brute se produisent régulièrement, sans même que vous le sachiez. Précisons que les sites et les serveurs web sont continuellement « testés » par de bots, sans que cela ait plus de conséquences, dans la majorité des cas.
Si des hackers lancent une attaque par force brute sur votre site, votre serveur web risque de « surchauffer » en raison du nombre élevé de requêtes et votre site peut devenir inaccessible (vous aurez sûrement des nouvelles de votre hébergeur).
Vous pouvez ainsi protéger (partiellement) votre site Web contre les tentatives de force brute en masquant l’accès à votre zone d’administration.
Le combo gagnant : identifiant + mot de passe fort et page de connexion masquée
Pourquoi faciliter la vie des Script kiddies (pirates débutants) et autres robots malveillants, quand vous pouvez facilement leur mettre des bâtons dans les roues !
Un simple plugin fera l’affaire pour dissimuler votre page de connexion WordPress. On le répète, cette tactique n’est pas infaillible à 100 %. C’est ce qu l’on appelle de « la sécurité dans l’obscurité », mais il n’en faut souvent pas beaucoup plus pour se protéger d’un nombre conséquent de tentatives.
Cela dit, statistiquement, cacher l’url de connexion de votre site ne servira à pas grand chose si vous utilisez un nom d’administrateur par défaut (admin) et un mot de passe trop simple. Ces deux mesures sont complémentaires.
Donc attention aussi au choix de votre mot de passe !
Voici pour exemple (à ne pas suivre !) les 7 mots de passe les plus courants en France en 2021 et le temps nécessaire pour les « cracker » :
Dans cet article nous allons vous aider à utiliser l’un des moyens les plus simples de protéger votre site contre les pirates malveillants : changer votre URL de connexion avec le plugin WPS Hide Login.
Utiliser le plugin WPS Hide Login : le guide pas à pas
Comme nous l’avons dit précédemment, l’installation d’un plugin est le moyen le plus simple pour masquer l’adresse d’administration en personnalisant l’URL de votre site.
Le plugin WPS Hide Login est notre préféré car il est léger et facile à utiliser. Il est compatible avec de nombreuses extensions qui utilisent le formulaire de connexion. Ce plugin gratuit fait une seule chose et il la fait bien : il modifie les deux URL /wp-admin et /wp-login.php avec les slugs que vous avez choisis. L’url de connexion devient plus difficile à trouver.
Pourquoi utiliser WPS Hide Login ?
Avec plus d’un million d’installations actives et une note moyenne de 5 étoiles (1951 avis 5 étoiles !) ce plugin a largement fait ses preuves.
- Léger : très peu de mémoire utilisée
- Gratuit et fiable
- Simple d’utilisation
- Un support réactif
- Aucune modification des fichiers du core
Ce plugin ne renomme pas et ne modifie pas de fichiers dans le noyau de WordPress, il n’ajoute pas non plus de règles de réécriture. Il intercepte tout simplement les demandes de page et fonctionne sur n’importe quel site WordPress.
WPserveur
Étape 1 : installer et activer WPS Hide Login
- Connectez-vous à l’administration de votre site.
- Allez à l’onglet “Extensions” et cliquez sur “Ajouter”.
- Maintenant, tapez « WPS Hide Login » dans la barre de recherche.
- Cliquez sur “Installer” puis activez le plugin.
Étape 2 : paramétrage de WPS Hide Login
- Allez à l’onglet “Réglages” et cliquez sur “WPS Hide Login »
Choisissez un nom unique et pas trop évident (évitez de mettre le nom de votre site par exemple 😉) sans espaces ni accents. Vous pouvez aussi employer des tirets du haut (tirets du 6). Évitez d’utiliser des mots et des phrases trop simples et courants. Prenez votre temps pour trouver la bonne url, celle dont vous allez vous rappeler facilement et qui ne se sera pas trop facile à déduire.
- Remplissez le champ “URL de connexion” avec le nom que vous avez choisi.
Dans notre exemple votre url de connexion sera transformée en : https://nomdevotresite.fr/page-perso
- “URL de redirection” : cette url correspond à la page où sera redirigée toute personne tentant de se connecter à votre site WordPress via /wp-login.php ou /wp-admin. Par défaut c’est la page 404 (page non trouvée) qui est paramétrée, mais vous pouvez choisir une autre page, par exemple la page d’accueil de votre site.
Voilà c’est terminé, il ne vous reste plus qu’à sauvegarder vos paramétrages et surtout à vous souvenir de votre nouvelle url de connexion… Pas plus dur !
Étape 3 : contrôler vos réglages (facultatif)
- Déconnectez vous de votre site.
- Essayez de vous reconnecter avec /wp-login.php ou /wp-admin.
- Vous vous retrouvez sur la page 404 ou sur la page de redirection que vous avez choisie ? Parfait tout fonctionne à merveille, il ne vous reste plus qu’à tester la connexion avec, cette fois, votre nouvelle adresse.
Et qu’est-ce qui se passe si je désinstalle WPS Hide Login ?
Et bien aucun soucis à se faire de ce côté là, tout redeviendra comme avant. Comme indiqué dans la description du plugin, il ne renomme pas et ne modifie pas de fichiers dans le Core de WordPress, il n’ajoute pas non plus de règles de réécriture. Donc, dès lors que vous aurez désactivé WPS Hide Login, votre site reviendra immédiatement à l’utilisation classique de WordPress via /wp-login.php ou /wp-admin.
Que faire si j’ai oublié ma nouvelle adresse de connexion ?
Pas de panique, en effet ! Ce serait dommage de se retrouver bloqué sur le pas de la porte de votre propre site, en ayant voulu décourager d’autres de venir.
Si vous n’avez pas enregistré ou ne vous souvenez pas de votre URL de connexion WPS Hide Login, vous devrez désactiver le plugin avant de pouvoir vous connecter à nouveau. Les étapes ci-dessous peuvent vous aider à accéder à nouveau à votre tableau de bord en renommant le dossier du plugin.
- Connectez vous au tableau de bord de votre hébergement (vous pouvez aussi faire la même manipulation via FTP)
- Dans le gestionnaire de fichiers (File manager) ouvrez le dossier wp-content puis le dossier plugins
- Faites un clic droit sur le dossier « wps-hide-login » et renommez-le en « wps-hide-login.old »
- Votre plugin est alors désactivé et vous pouvez de nouveau accéder à la page de connexion de l’administration de votre site WordPress.
Derniers conseils
Bien qu’il n’existe pas de protection à 100 % pour un site web, l’URL modifiée peut être une mesure de sécurité efficace si elle est utilisée conjointement avec d’autres dispositifs de sécurité.
Vous pouvez aussi installer en complément un plugin qui limitera le nombre de tentatives de connexion à votre site. Cette option est présente chez beaucoup d’hébergeurs qui ont fixé des limites de connexions simultanées sur leurs serveurs.
Si ce n’est pas votre cas vous pourrez toujours installer un plugin qui s’occupera de cet aspect, comme WPS Limit Login (développée par la même équipe que WPS Hide Login) ou Limit Login Attempts Reloaded qui comptabilise, lui, plus de 2 millions d’installations actives.
Maintenant vous savez comment cacher la page de connexion de votre site WordPress ! Vous avez ajouté une couche de sécurité supplémentaire à votre site. Nous espérons que cet article vous a été utile, n’hésitez pas à nous faire part de vos expériences en commentaire 🙂
