La popularité de WordPress fait que les sites qui l’utilise sont régulièrement victimes de tentatives de connexion par force brute. Ces attaques sont automatisées et sont exécutées sur toutes les plates-formes d’hébergement. Les pirates n’ont aucun mal à trouver l’URL de connexion à l’administration du site, la plus grande partie des blogs étant laissés dans l’état de l’installation, `wp-login.php` fait automatiquement partie de cette URL.
N’attendez pas que cela vous arrive. Changer l’URL de connexion de votre site WordPress ajoutera un niveau à la sécurité de votre site et vous serez rassuré de savoir que cette URL est plus complexe à trouver.
WordPress est un système puissant qui vous offre de très nombreuses fonctionnalités, que vous ne pouvez pas vous résister à l’utiliser. En dépit de sa popularité et du nombre croissant de fonctionnalités, WordPress ne peut pas prétendre être parfait à 100%. Rien n’est parfait, il reste toujours quelque chose à améliorer, ne serait-ce qu’inclure la possibilité de personnaliser l’URL de connexion à l’administration de votre site.
Personnaliser l’ URL de connexion dans WordPress
A chaque installation de WordPress, celui-ci génère les URL de connexion par défaut. Beaucoup de propriétaires de sites modifient ces URL de connexion pour qu’elles soient moins évidentes à trouver, mais trop nombreux sont encore les sites où accéder à la page de connexion n’est pas plus difficile que de dire bonjour.
Pourquoi changer l’URL de connexion WordPress?
Dans cet article, nous allons en apprendre davantage sur la personnalisation de l’URL de connexion WordPress, mais avant d’aller plus loin, voyons pourquoi nous avons besoin de changer l’URL de connexion.
Par défaut, l’URL de connexion de votre site le rend plus vulnérable aux attaques. Même si les pirates ne peuvent craquer votre nom d’utilisateur et votre mot de passe, ils peuvent surcharger les ressources de votre serveur et provoquer l’arrêt de votre site.
Pour vous protéger contre les tentatives de piratage
Les tentatives de piratage sont le facteur le plus important qui déclenche la nécessité de changer l’URL de connexion. L’URL par défaut peut causer des problèmes de sécurité, alors modifier cette URL de connexion évitera d’attirer les attaque par force brute sur votre site.
Par défaut dans WordPress `admin` est votre nom d’administrateur défaut et les pirates le savent tout comme vous, alors si vous ne l’avez pas changé pour quelque chose d’unique, la seule chose qu’il leur reste à faire est de deviner votre mot de passe. Et là aussi, trop souvent les mots de passe sont aussi simples que `motdepasse` ou « 123456.
Pour réduire la vulnérabilité
WordPress est un excellent outil pour les développeurs et sa popularité a gagné un grand nombre d’utilisateurs. La grande communauté des utilisateurs de WordPress continue à travailler pour améliorer sa sécurité et corriger les lacunes. Lorsque qu’un possible problème de sécurité est trouvé, l’information est rapidement diffusée sur le web.
Les pirates pouvant facilement identifier les sites WordPress, le fait de connaître l’URL de connexion par défaut leur permet d’essayer rapidement de tirer partie de tout problème de sécurité pour pirater les sites. En changeant l’URL de connexion, vous pouvez facilement éviter de vous retrouver dans ce genre de situations.
Comment changer l’URL de connexion
Si vous utilisez WordPress, vous n’ignorez probablement pas que, au moment de l’installation, WordPress crée deux URL de connexion par défaut:
- `wp-admin.php`
- `wp-login.php`
Si vous souhaitez modifier ces URL de connexion, vous pouvez utiliser un plugin. Il existe un certain nombre de plugin qui vous permettent de personnaliser votre URL de connexion, parmi lesquels iThemes Security. Vous pouvez utiliser le plugin de votre choix en fonction de vos besoins et de votre niveau de maîtrise de WordPress.
N’oubliez pas de faire une sauvegarde complète avant de faire des changements, ceci pour éviter tout problème accidentel.
Voyons à présent quelques plugin qui vous seront utiles pour changer l’URL de connexion de votre site.
WPS Hide Login
Ce plugin ne fait qu’une chose, mais il la fait bien. Il vous permet de remplacer facilement l’URL de connexion par défaut par une URL personnalisée. Une fois ce plugin installé et activé, `wp-admin` et `wp-login.php` ne sont plus accessibles, ils sont remplacés par une URL personnalisée de votre choix.
Avec plus de 50.000 installations actives et 4.7 étoiles sur 5, WPS Hide Login est une valeur sûre si vous voulez un plugin léger pour créer une URL de connexion personnalisée.
Hide my WordPress URLs from Hackers
Ce plugin est plus complet que le précédent. Il cache le fait que vous utilisez WordPress en cachant l’URL de connexion et l’URL d’accès aux plugin et thèmes que vous utilisez, afin d’éviter toute intrusion. Aucun fichier WordPress n’est modifié physiquement.
Hide my WordPress URLs from Hackers a été testé avec les principaux plugin de cache et les plugin de sécurité. Il fonctionne également sur une installation multi-sites.
Il est à noter qu’il est préférable de sauvegarder les fichiers `wp-config.php` et `.htaccess` avant d’effectuer des changements
WP Hide & Security Enhancer
L’idée de base de ce plugin est de cacher que votre site utilise WordPress, et cela permet de créer des URL de connexion personnalisé tout en désactivant complètement les URL par défaut.
Avec plus de 1000 installations actives, l’on ne peut pas dire qu’il soit installé partout, mais c’est suffisant pour voir émerger quelques tendances dans les avis des utilisateurs. WP Hide & Security Enhancer est tout à fait digne de considération.
Hide My WP
Hide My WP contrôle l’accès aux fichiers PHP de votre installation. Il protège votre site contre 95% des attaques par injection SQL et Cross Site Scripting. Cela signifie que vous pouvez installer des plugin dangereux, même si c’est fortement déconseillé, sans avoir à vous soucier de la sécurité, .
Outre le fait de protéger votre installation en dissimulant l’URL de connexion, Hide My WP inclut un firewall pour protéger votre site de différents types d’attaques, comme les attaques par Force brute, le Cross Site Scripting, l’Injection SQL, etc.
Hide My WP peut, entre autres fonctions, dissimuler l’URL de connexion, changer les permaliens, cacher le fichier de licence de votre thème, le dossier `wp-includes` et les fichiers journaux créés dans le dossier `wp-content`. Il aussi peut désactiver le listing des répertoires, empêcher l’accès direct aux fichiers PHP, désactiver les redirections canoniques, et bien d’autres encore…
Avec plus de 12.000 installations et une note de 4,5 /5 ce plugin mérite amplement sa place dans votre panoplie de plugin.
Hide My WordPress
Hide My WP est un plugin de sécurité qui vous permet de modifier et de cacher l’URL de connexion de l’administration WordPress Admin, afin de mieux lutter contre le piratage.
Le plugin intercepte les appels à `wp-admin` et `wp-login.php` et les redirige vers une page erreur 404.
Swift Security Hide WordPress
Swift Security Hide WordPress est le petit frère du célèbre plugin de sécurité Swift Security Bundle. Tout comme son aîné, il vous permet de cacher que vous utilisez WordPress, de modifier l’URL de connexion et les chemins d’accès, de changer le nom des fichiers, thème et plugin, de renommer toute chaîne de caractères dans le code source, etc.
Swift Security Hide WordPress n’inclut pas de firewall ou de scanner de code, mais cela ne l’empêche aucunement d’être efficace, et ce sans toucher physiquement aux fichiers ou aux répertoires de votre installation.
Si vous installez un de ces plugin, un ultime conseil est de noter l’exacte URL de connexion que vous venez de créer, car faute de le faire, vous ne pourrez plus accéder à votre administration WordPress. Il vous faudra ramener votre site à son état précédent en désactivant le plugin installé via une connexion FTP.
Vous savez à présent comment ajouter un niveau de protection à votre site WordPress, en personnalisant l’URL de connexion. En général, les pirates n’attaquent pas un site populaire, ils choisissent, par facilité, celui qui est le plus vulnérable. Si une petite mesure prise peut renforcer votre sécurité et éviter le piratage alors pourquoi ne pas le faire tout de suite?
Avez-vous songé à personnaliser l’URL de connexion de votre site? Si oui, quelle solution avez vous utilisé? Sinon envisagez vous, après avoir lu cet article de faire cette modification? Donnez nous votre point de vue et parlez nous de votre expérience dans les commentaires ci-dessous.
Si cet article vous a été utile, Partagez le. Merci!
Publié à l'origine le : 26 octobre 2016 @ 13 h 43 min
