vous avez été piraté ? obtenir de l'aide
Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

Expert Cybersécurité

28 septembre, 2021
Cacher login wordpress
Ajouter /wp-login/ ou /wp-admin/ à l’URL de son site WordPress est une méthode pratique pour accéder facilement à la page de connexion à l’interface d’administration de son site. Cependant, les hackers connaissent aussi cette méthode ! Ainsi, la plupart des attaques WordPress qui ne sont pas spécifiquement ciblées sont causées par des robots qui analysent le web à la recherche de certaines terminaisons d’URL, dont wp-login.

Pour protéger son site de ces attaques, la meilleure solution consiste à définir des terminaisons personnalisées. Autrement dit, au lieu d’ajouter /wp-login/ ou /wp-admin/ à l’URL de votre site pour trouver la page de connexion, vous ajouterez un morceau d’URL personnalisé que vous aurez configuré et qui ne sera donc pas facilement trouvé par les robots. Découvrez comment faire.

Utiliser le plugin WPS Hide Login

Installer un plugin est la solution la plus facile et la plus rapide pour masquer la page wp-login de son site WordPress en personnalisant son URL. Le plugin  WPS Hide Login est notre préféré car il est léger, très simple d’utilisation, et il est compatible avec les plugins qui utilisent le formulaire de connexion comme User Switching, Limit Login Attempts ou BuddyPress. Il est également compatible avec WP Rocket, mais si vous utilisez un autre plugin de mise en cache, il faudra veiller à ajouter le slug de la nouvelle URL de connexion à la liste des pages à ne pas mettre en cache. 

Le fonctionnement du plugin WPS Hide Login est très simple : il ne va pas modifier de fichiers ni ajouter de règles de réécriture, mais il va intercepter les demandes de connexion et rendre les pages wp-admin et wp-login.php inaccessibles. Pour rétablir la page wp-login, il suffit de désactiver le plugin, ce qui ne causera aucun chamboulement au niveau du code.

page de login wordpress piratage

Pour installer WPS Hide Login, vous aurez besoin d’une version de WordPress 4.1 ou supérieure. Dans la section Plugins, recherchez WPS Hide Login, puis installez et activez le plugin. Vous serez ensuite redirigé vers la page des paramètres où vous pourrez modifier l’URL de la page de connexion. A chaque fois que vous voudrez la changer, il faudra tout simplement se rendre dans les Paramètres > Général > WPS Hide Login.

N’oubliez pas de noter (dans un endroit sécurisé bien sûr) la nouvelle URL pour ne pas l’oublier ! Mais si jamais cela vous arrive, vous pourrez vous rendre dans la base de données MySQL et rechercher « whl_page » dans les options. Une autre solution, plus fastidieuse, est de supprimer le dossier wps-hide-login de votre dossier de plugins, de se connecter via wp-login et de réinstaller le plugin.

Besoin d’aide ? Faites appel à nos experts WordPress

Vous souhaitez en savoir plus sur la procédure à suivre pour masquer la page wp-login et sécuriser votre site WordPress ? Nous vous proposons un article complet sur le sujet, avec 2 méthodes simplet et efficaces pour masquer avec succès la page de connexion à votre administration WordPress. Vous découvrirez également sur notre blog d’autres tutoriels et bonnes pratiques pour améliorer la sécurité de votre site et mieux le protéger des piratages.

Utiliser le fichier . htaccess

Pour renforcer encore la sécurité de votre site web, utiliser le fichier . htaccess pour masquer la page de connexion est la meilleure solution. Deux options s’offrent à vous : utiliser le fichier . htaccess pour que l’accès à la page wp-login requière un mot de passe ; ou restreindre l’accès à la page wp-login à votre adresse IP. 

L’avantage de la première option est que vous n’avez pas besoin de masquer ou de personnaliser l’URL de la page de connexion. Les personnes qui tombent sur la page wp-login devront simplement s’authentifier avec un nom d’utilisateur et un mot de passe. 

Pour restreindre l’accès à la page wp-login avec un nom d’utilisateur et un mot de passe, commencez par générer un  fichier . htaccess sur Htpasswd Generator. Pour cela, vous aurez besoin de votre nom d’utilisateur et de votre mot de passe. Cet outil va coder automatiquement votre mot de passe et va vous fournir le texte à copier / coller sur votre fichier . htaccess. Une fois cette ligne de code copiée, créez le fichier . htaccess avec un outil comme le Notepad, puis collez-y la ligne de code. Téléchargez ce fichier dans le répertoire racine de votre site WordPress (pour le format, sélectionnez « tous les fichiers »). 

Ensuite, ajoutez l’extrait de code suivant en haut de votre fichier . htaccess situé dans le répertoire racine de votre site web :

				
					# Stop Apache from serving .ht* files
<files>
Order allow,deny
Deny from all
</files>
# Protect wp-login
<files wp-login.php>
AuthUserFile ~/.htpasswd
AuthName "Private access"
AuthType Basic
require user yourusername
</files>
				
			

Remplacez “yourusername” par votre nom d’utilisateur, et le tour est joué !

L’autre option consiste à restreindre l’accès à votre page de connexion à votre adresse IP uniquement. Les autres adresses IP tomberont ainsi sur une page d’erreur 403 à la place de la page de connexion wp-login. Cette méthode est surtout efficace si vous avez une adresse IP fixe. Pour restreindre l’accès à la page wp-login à votre adresse IP, vous devez ajouter en haut de votre fichier . htaccess l’extrait de code suivant :

				
					<ifmodule mod_rewrite.c>
RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^XXX\.XXX\.XXX\.XXX$
RewriteRule ^(.*)$ - [R=403,L]
</ifmodule>

				
			

La partie « XXX\.XXX\.XXX\.XXX » doit être remplacée par votre adresse IP. Si vous ne la connaissez pas, tapez « Quelle est mon adresse IP » dans la barre de recherche Google. 

Ajoutez autant de lignes « RewriteCond %{REMOTE_ADDR} !^XXX\.XXX\.XXX\.XXX$ » que vous avez d’adresses IP à autoriser. 

Vous connaissez maintenant les deux méthodes les plus efficaces pour protéger votre site WordPress contre l’une des techniques de piratage les plus fréquentes. Si vous rencontrez des problèmes avec la mise en place de l’une de ces méthodes, n’hésitez pas à contacter notre équipe !

Attention : N’utilisez jamais ADMIN en user WordPress

Benjamin Bueno CEO Textone & WordPress Pirate
Benjamin Bueno

19 avril 2022

Nos experts français assurent un support et une prestation de qualité.

je demande de l’AIDE

Recevoir un devis
Demander un devis pour réparer un site

inscrivez vous a la newsletter

Nous vous enverrons des informations utiles et de qualité pour apprendre ainsi à mieux protéger votre site.
newsletter pour actualité WorPress

Partager cet article