Page de connexion personnalisée pour WordPress
Comment renommer wp-login.php, créer une URL de connexion personnalisée et protéger WordPress des attaques automatisées par force brute et bot.
English version: Custom login page for WordPress
La fonctionnalité de page de connexion personnalisée est un excellent outil pour réduire la surface d'attaque et éliminer les enregistrements de spam. C'est la première chose que vous devez activer sur un WordPress nouvellement installé. Une autre mesure de sécurité fortement recommandée consiste à renommer le dossier des plugins de WordPress .
Pourquoi c'est important et pourquoi ça marche
Selon nos études au Cerber Lab , la plupart des outils et attaques de pirates informatiques sont basés sur l'hypothèse qu'un site Web victime alimenté par WordPress a la page de connexion par défaut et que les plugins sont situés dans le dossier par défaut. Bien qu'il soit recommandé de ne pas utiliser de valeurs par défaut sur un site Web, de nombreux propriétaires de sites Web ignorent ces principes simples, ce qui permet aux pirates de les attaquer avec succès. Et c'est pourquoi les pirates aiment tellement WordPress, et à tout moment, nous voyons des centaines de milliers de sites Web piratés.
Configurez votre page de connexion personnalisée
WP Cerber vous permet de modifier facilement et en toute sécurité l'URL de connexion WordPress par défaut wp-login.php en l'URL dont vous avez besoin. En d'autres termes, vous pouvez configurer votre page de connexion personnalisée unique et connue de vous (une URL de connexion personnalisée signifie la même chose dans ce contexte) et masquer wp-login.php des mauvais acteurs, scanners et bots. Vous n'avez pas besoin de modifier le fichier .htaccess ou de renommer le fichier wp-login.php. Avec WP Cerber vous pouvez le configurer en quelques clics.
- Accédez à la page d'administration des paramètres principaux du plugin.
- Entrez votre nouvelle URL de connexion souhaitée dans le champ URL de connexion personnalisée et enregistrez les paramètres. C'est ça.
- Si vous utilisez un plugin de mise en cache, ajoutez votre nouvelle URL de connexion à la liste des pages à ne pas mettre en cache.
- Assurez-vous que votre nouvelle URL de connexion fonctionne correctement et que vous pouvez l'utiliser pour vous connecter. Faites cela dans une fenêtre de navigateur incognito. Ne vous déconnectez pas de votre site Web avant de vous être assuré que votre nouvelle URL de connexion fonctionne correctement .
Custom WordPress login page settings
Comment cacher wp-login.php des bots et des scanners
Une fois que vous avez activé la page de connexion client, il est logique de masquer la page de connexion WordPress par défaut pour éviter de monter des attaques par force brute dessus. Pour ce faire, définissez le paramètre Traitement des demandes d'authentification wp-login.php sur "Bloquer l'accès à wp-login.php". Lors de la tentative d'accès à la page, WP Cerber affichera la page standard "404 Not Found". Il n'y a qu'un seul inconvénient auquel vous devriez penser. Si un attaquant est suffisamment intelligent, il peut continuer à analyser le site Web, à la recherche de votre véritable page de connexion.
Comment désactiver wp-login.php
Une autre option plus avancée que vous devriez envisager consiste à désactiver wp-login.php sans en bloquer l'accès. Comment ça marche? Cette fonctionnalité unique de WP Cerber arrête toute tentative d'authentification via wp-login.php. Lors de la tentative de connexion, WP Cerber imite l'erreur de mot de passe incorrect par défaut et interrompt le processus d'authentification de l'utilisateur. Peu importe le mot de passe saisi ; personne n'est autorisé à se connecter même avec le mot de passe correct. Pour activer cette fonctionnalité, définissez le paramètre Traitement des demandes d'authentification wp-login.php sur "Refuser l'authentification via wp-login.php".
Une mise en garde à retenir
Si vous ou votre utilisateur oubliez que wp-login.php est désactivé et ne peut pas être utilisé pour vous connecter, vous ou votre utilisateur ne pourrez jamais vous connecter au site Web et serez verrouillé après plusieurs tentatives d'utilisation de wp-login.php.
Si vous avez défini "Traitement des demandes d'authentification wp-login.php" sur une valeur autre que celle par défaut, vous ne pouvez utiliser que votre URL de connexion personnalisée. Ni /wp-login.php ni /wp-admin/ ne peuvent plus être utilisés pour se connecter.
Choses importantes que vous devez savoir
- Si vous utilisez un plugin de mise en cache comme W3 Total Cache ou WP Super Cache vous devez ajouter le slug de la nouvelle URL de connexion personnalisée à la liste des pages à ne pas mettre en cache.
- Pour une installation multisite WordPress, la nouvelle URL de connexion est définie pour tous les sites dans le monde.
- Ne supprimez pas ou ne renommez pas le fichier wp-login.php manuellement. Après avoir mis à jour votre WordPress vers une version plus récente, wp-login.php sera à nouveau restauré et accessible aux intrus.
Obtenez-le plus sécurisé avec l'authentification à deux facteurs
Envisagez d'activer 2FA pour protéger les comptes des administrateurs. L'authentification à deux facteurs fournit une couche de sécurité supplémentaire nécessitant un deuxième facteur d'identification au-delà d'un simple nom d'utilisateur et d'un mot de passe.
En savoir plus : Comment activer l'authentification à deux facteurs pour WordPress
Dépannage de la fonctionnalité d'URL de connexion personnalisée
L'activation de la page de connexion personnalisée peut entraîner l'arrêt de certains plugins. Si vous utilisez un plugin de personnalisation de page de connexion ou un plugin de connexion sociale, il est possible qu'un tel plugin ne fonctionne plus. Pour résoudre ce problème, activez "Différer le rendu de la page de connexion personnalisée". En savoir plus sur ce paramètre .
Si vous avez configuré votre URL de connexion personnalisée et que vous l'avez oubliée après un certain temps, vérifiez tout d'abord la boîte de messagerie de l'administrateur du site pour recevoir un e-mail de notification concernant votre nouvelle URL de connexion ou tout rapport hebdomadaire par e-mail. Dans ces e-mails, vous pouvez voir votre URL de connexion personnalisée. Si vous ne parvenez pas à trouver un tel e-mail, vous devez réinstaller WP Cerber manuellement en suivant les étapes ci-dessous.
- Supprimez le dossier du plugin /wp-cerber/ manuellement en utilisant FTP ou n'importe quel gestionnaire de fichiers dans votre panneau de contrôle d'hébergement.
- Connectez-vous à votre tableau de bord WordPress comme d'habitude en utilisant l'URL par défaut /wp-login.php ou une autre méthode que vous utilisiez avant d'activer l'URL de connexion personnalisée.
- Installez et activez le plugin WP Cerber Security comme d'habitude.
- Accédez à la page des paramètres principaux du plug-in.
- Vérifiez le champ URL de connexion personnalisée . Il affiche votre URL de connexion personnalisée que vous devez utiliser. Souviens toi.
Prochaines étapes qui renforceront votre sécurité WordPress
WP Cerber Security 1.6
WP Cerber Security 1.7
I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.
Hi, I am following your instruction but still can access wp-login.php directly, my WordPress using mu and version4.5.3.
Check your White IP Access List in the settings of the plugin. All IP addresses from this list are allowed to bypass this rule. Make sure that IP address of your computer is not in the list.
Just to be 100% clear, if an IP address is in the IP Whitelist, then it CAN still utilize the wp-login.php?
Even if you have “Block direct access to wp-login.php and return HTTP 404 Not Found Error” checked under “Disable wp-login.php”, Whitelisted IP’s can still login using wp-login.php?
Is there any way to completely disable wp-login.php for everyone (including Whitelisted IP’s)?
Yes, of course. Whitelisted IPs can do everything. You should trust those IPs completely. To completely disable wp-login.php you need to either use .htaccess file or, and that is better, add a single string to the NGINX config file: http://wpcerber.com/hardening-wordpress-with-wp-cerber-and-nginx/
Hi,
I have a 404 Not Found with the new wp-login slug.
Is it related to something required with the webserver (I’m using Apache) ?
What slug did you enter?
I choose “connexion” to remplace wp-login.php, there’s no page called this way so no conflict but I still have a 404 error.
I tried to change my permalinks parameters but it’s don’t change anything.
That slug is normal. Most likely some caching engine knows nothing about the new URL. It maybe a caching plugin you use or some shadow caching engine that your hosting provider uses.
In fact after some diging I found it was a misconfiguration with Apache (Allow override not defined).
Thanks anyway, WP-Cerber is a very interesting plugin. I’ll share it around me.
First, thanks for one of the most helpful WP plugins around. For the custom login feature, I’d just like to suggest the following:
What about an extra sentence in the Custom Login area such as “don’t forget about the /wp-admin/ redirect, see above”?
Reason:
In the current Cerber Dashboard, the switch to
> Disable automatic redirecting to the login page when /wp-admin/ is requested by an unauthorized request
is located a few entries above the custom login switches, no direct connection, and the German translation has “Anmeldeseite” there, as opposed to “Login-Seite” later, so you don’t necessarily make the connection.
(I only found out when checking the logs and wondering how some crooks managed to find my custom login page…)
Yes, I’m going to rearrange these settings and the whole section soon.