WordPress est l’un des CMS (Système de gestion de contenu) les plus utilisés, si pas tout simplement le plus utilisé. Malheureusement plus votre site gagnera en popularité, plus il attirera des tentatives de connexion malveillantes. Apprenez, dès maintenant, à cacher la page de connexion de WordPress sur votre site pour vous tenir à l’écart de ces attaques.
Masquer wp-admin.php et wp-login.php sur votre site WordPress
N’importe qui, connaissant WordPress, sait que pour tenter la connexion à un site il suffit de charger la page nomdusite.com/wp-admin.php ou nomdusite.com/wp-login.php. Cacher la page de connexion de WordPress n’est pas la seule solution de sécurité, mais fait partie des solutions.
Si vous utilisez des outils de surveillance sur un ou plusieurs sites, vous devez avoir une idée claire du nombre d’attaques que peut subir un site web en une seule journée. Les pages de connexion sont les plus ciblées et les attaques peuvent être de différentes natures.
Certaines tentatives de connexion seront d’origine humaine, d’autres non-humaine. Il s’agit dans ce cas des attaques orchestrées par des bots effectuant des tentatives par brute-force. Contrairement à un humain, un bot peut essayer de forcer l’accès à un site web des dizaines, centaines voire des milliers de fois dans un délai extrêmement court. Ils sont redoutables.
Cacher la page de connexion de WordPress
Le moyen le plus simple de cacher la page de connexion de WordPress est d’utiliser une extension. Une fois installée et configurée, vous pourrez changer votre page de connexion en lui attribuant n’importe quel nom. Mais attention, pour bien en tirer profit, la connexion ne doit pas être ouverte à tout le monde sur votre site.
Cela veut dire que si votre site permet aux utilisateurs de se connecter, alors il serait mieux pour vous de ne pas tenter cette manœuvre. En fait, pour vos utilisateurs, la page de connexion du site ne serait plus accessible. Ce que vous ne souhaitez sûrement pas.
Par défaut, la page de connexion de tout site WordPress est wp-login.php. En essayant d’accéder à votre tableau de bord à travers la page wp-admin.php, l’identifiant et le mot de passe vous seront demandés. Ce qui fait que vous serez redirigé vers la page wp-login.
Installer WPS Hide Login
WPS Hide Login est probablement le plugin le plus utilisé pour cacher la page de connexion de WordPress. Il est simple d’utilisation et sa configuration ne prend que quelques secondes. Une fois installé, le plugin vous permettra de changer le nom de la page de connexion de votre site web.
Pour l’installer, procédez comme vous avez l’habitude de le faire. C’est-à-dire « Extensions », « Ajouter ». Recherchez votre plugin, WPS Hide Login, et lancez son installation.
Après installation, activez l’extension pour enfin pouvoir la configurer. Vous pouvez aussi en télécharger localement sur votre ordinateur et la téléverser dans le répertoire de vos extensions WordPress. Télécharger WPS Hide Login.
Cacher la page de connexion de WordPress avec WPS Hide Login
Une fois l’extension installée et activée, rendez-vous dans la liste des extensions pour accéder à ses paramètres ou faites simple : A partir de la barre latérale gauche de WordPress, pointez le curseur de la souris sur « Réglages » et tout en dessous vous verrez WPS Hide Login. Cliquez dessus.
Vous serez redirigé pour configurer WPS Hide Login. A ce niveau il y aura deux paramètres à mettre en place. Le premier concerne directement le sujet de notre article, le changement du nom de la page de connexion. Le second concerne l’URL de redirection. Essayons de comprendre.
Changez la page de connexion en lui attribuant un autre nom. Mais attention, évitez les espaces, accents et les caractères spéciaux. Mettez aussi un nom que vous ne serez jamais amené à oublier, cela pourrait être dangereux pour vous en tant qu’administrateur de votre site web.
Vous pouvez mettre par exemple ma-propre-page ou tout nom que vous voulez mais respectant le format souligné. C’est-à-dire pas d’espace, pas de caractères spéciaux ou avec accent. Si vous gardez ce nom donné en guise d’exemple, pour accéder à votre page de connexion vous serez amené à taper nomdusite.com/ma-propre-page.
Quant à l’URL de redirection, c’est la page vers laquelle seront renvoyés tous les utilisateurs qui essayeront d’accéder à la page wp-admin ou wp-login. Vous pouvez laisser 404. 404 est un code signifiant que la page recherchée n’a pas été trouvée. C’est donc le message qu’auront tous ces utilisateurs. Pour eux la page de connexion de votre site sera inexistante.
Cliquez sur « Enregistrer les modifications » pour changer et cacher la page de connexion de WordPress sur votre site. Le changement du nom de la page n’est pas définitif. Si vous désactivez ou désinstallez WPS Hide Login, automatiquement votre page de connexion redeviendra accessible à travers son nom originel. C’est-à-dire wp-login.php.
Autre chose à retenir
Comme je l’ai signalé plus haut, changer, cacher la page de connexion de WordPress n’est pas la seule solution pour être à l’abri de tentatives de connexion malveillantes. Le meilleur moyen de lutter contre cela est de combiner plusieurs solutions.
A côté du fait de cacher la page de connexion, vous pouvez aussi utiliser un outil permettant de limiter le nombre de tentatives. L’utilisateur qui dépassera le nombre de tentatives configuré sera directement bloqué. Essayez WPS Limit Login.
Vous pouvez aussi intégrer le système de vérification Captcha ou utiliser un plugin complet de sécurité comme WordFence Security. Sa configuration peut paraître un tout petit peu complexe, surtout qu’il est entièrement en anglais, mais c’est un outil performant. Bien qu’il ne soit pas le seul. Il permet de bloquer des adresses IP ciblées, des pays, des robots malveillants, etc.
