Page de connexion personnalisée pour WordPress
Comment renommer wp-login.php, créer une URL de connexion personnalisée et protéger WordPress contre les attaques automatisées par force brute et par robot.
English version: Custom login page for WordPress
La fonctionnalité de page de connexion personnalisée est un excellent outil pour réduire la surface d'attaque et éliminer les inscriptions indésirables. C'est la première chose à activer sur une nouvelle installation de WordPress. Une autre mesure de sécurité fortement recommandée consiste à renommer le dossier des plugins de WordPress .
Pourquoi c'est important et pourquoi ça marche
D'après nos études au Cerber Lab , la plupart des outils et attaques de piratage informatique partent du principe que le site web WordPress de la victime possède la page de connexion par défaut et que les plugins se trouvent dans le dossier par défaut. Bien qu'il soit recommandé de ne pas utiliser les valeurs par défaut sur un site web, de nombreux propriétaires de sites web ignorent ces principes simples, permettant ainsi aux pirates de les attaquer avec succès. C'est pourquoi les pirates apprécient tant WordPress, et que des centaines de milliers de sites web sont piratés à tout moment.
Configurez votre page de connexion personnalisée
WP Cerber vous permet de modifier facilement et en toute sécurité l'URL de connexion WordPress par défaut (wp-login.php) par l'URL de votre choix. Autrement dit, vous pouvez configurer votre page de connexion personnalisée unique et connue (une URL de connexion personnalisée a la même signification dans ce contexte) et masquer wp-login.php aux pirates, scanners et robots. Vous n'avez pas besoin de modifier le fichier .htaccess ni de renommer le fichier wp-login.php. Avec WP Cerber, la configuration se fait en quelques clics.
- Accédez à la page d’administration des paramètres principaux du plugin.
- Saisissez votre nouvelle URL de connexion souhaitée dans le champ « URL de connexion personnalisée » et enregistrez les paramètres. C'est tout.
- Si vous utilisez un plugin de mise en cache, ajoutez votre nouvelle URL de connexion à la liste des pages à ne pas mettre en cache.
- Assurez-vous que votre nouvelle URL de connexion fonctionne correctement et que vous pouvez l'utiliser pour vous connecter. Effectuez cette opération en mode navigation privée. Ne vous déconnectez pas de votre site web tant que vous n'êtes pas sûr que votre nouvelle URL de connexion fonctionne correctement .
Custom WordPress login page settings
Comment masquer wp-login.php des robots et des scanners
Une fois la page de connexion client activée, il est judicieux de masquer la page de connexion WordPress par défaut afin d'empêcher toute attaque par force brute. Pour ce faire, définissez le paramètre Traitement des requêtes d'authentification wp-login.php sur « Bloquer l'accès à wp-login.php ». Lorsque vous tenterez d'accéder à la page, WP Cerber affichera la page standard « 404 Not Found ». Il y a un seul inconvénient à prendre en compte : si un pirate est suffisamment intelligent, il pourrait continuer à analyser le site web à la recherche de votre véritable page de connexion.
Comment désactiver wp-login.php
Une autre option plus avancée à envisager est de désactiver wp-login.php sans en bloquer l'accès. Comment ça marche ? Cette fonctionnalité unique de WP Cerber bloque toute tentative d'authentification via wp-login.php. Lors d'une tentative de connexion, WP Cerber reproduit l'erreur de mot de passe incorrect par défaut et interrompt le processus d'authentification. Quel que soit le mot de passe saisi, personne n'est autorisé à se connecter, même avec le bon mot de passe. Pour activer cette fonctionnalité, définissez le paramètre Traitement des demandes d'authentification wp-login.php sur « Refuser l'authentification via wp-login.php ».
Un avertissement à retenir
Si vous ou votre utilisateur oubliez que wp-login.php est désactivé et ne peut pas être utilisé pour la connexion, vous ou votre utilisateur ne pourrez jamais vous connecter au site Web et serez bloqué après plusieurs tentatives d'utilisation de wp-login.php.
Si vous avez défini « Traitement des requêtes d'authentification wp-login.php » sur une valeur autre que celle par défaut, vous ne pourrez utiliser que votre URL de connexion personnalisée. Ni /wp-login.php ni /wp-admin/ ne peuvent désormais être utilisés pour la connexion.
Choses importantes que vous devez savoir
- Si vous utilisez un plugin de mise en cache comme W3 Total Cache ou WP Super Cache, vous devez ajouter le slug de la nouvelle URL de connexion personnalisée à la liste des pages à ne pas mettre en cache.
- Pour une installation multisite WordPress, la nouvelle URL de connexion est définie pour tous les sites à l'échelle mondiale.
- Ne supprimez pas et ne renommez pas le fichier wp-login.php manuellement. Après la mise à jour de votre WordPress vers une version plus récente, wp-login.php sera restauré et de nouveau accessible aux intrus.
Obtenez plus de sécurité avec l'authentification à deux facteurs
Envisagez d'activer l'authentification à deux facteurs pour protéger les comptes administrateurs. L'authentification à deux facteurs offre une couche de sécurité supplémentaire, nécessitant un deuxième facteur d'identification, en plus du simple nom d'utilisateur et du mot de passe.
En savoir plus : Comment activer l'authentification à deux facteurs pour WordPress
Dépannage de la fonctionnalité d'URL de connexion personnalisée
L'activation de la page de connexion personnalisée peut entraîner le dysfonctionnement de certains plugins. Si vous utilisez un plugin de personnalisation de page de connexion ou un plugin de connexion sociale, il est possible qu'il ne fonctionne plus. Pour résoudre ce problème, activez « Différer l'affichage de la page de connexion personnalisée ». En savoir plus sur ce paramètre .
Si vous avez configuré votre URL de connexion personnalisée et que vous l'avez oubliée après un certain temps, consultez d'abord la boîte de réception de l'administrateur du site pour recevoir un e-mail de notification concernant votre nouvelle URL de connexion ou un rapport hebdomadaire. Ces e-mails contiennent votre URL de connexion personnalisée. Si vous ne trouvez pas cet e-mail, vous devez réinstaller WP Cerber manuellement en suivant les étapes ci-dessous.
- Supprimez manuellement le dossier du plugin /wp-cerber/ en utilisant FTP ou n'importe quel gestionnaire de fichiers dans votre panneau de contrôle d'hébergement.
- Connectez-vous à votre tableau de bord WordPress comme d'habitude en utilisant l'URL par défaut /wp-login.php ou une autre méthode que vous utilisiez avant d'activer l'URL de connexion personnalisée.
- Installez et activez le plugin WP Cerber Security comme d'habitude.
- Accédez à la page Paramètres principaux du plugin.
- Cochez la case « URL de connexion personnalisée » . Elle affiche l'URL de connexion personnalisée que vous devez utiliser. Mémorisez-la.
Prochaines étapes pour renforcer la sécurité de votre WordPress
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.