Security Blog

Page de connexion personnalisée pour WordPress

Comment renommer wp-login.php, créer une URL de connexion personnalisée et protéger WordPress contre les attaques automatisées par force brute et de robots.


English version: Custom login page for WordPress


La fonctionnalité de page de connexion personnalisée est un excellent outil pour réduire la surface d'attaque et éliminer les enregistrements de spam. C'est la première chose que vous devez activer sur un WordPress nouvellement installé. Une autre mesure de sécurité fortement recommandée consiste à renommer le dossier des plugins de WordPress .

Pourquoi c'est important et pourquoi ça marche

Selon nos études au Cerber Lab , la plupart des outils et attaques de pirates informatiques sont basés sur l'hypothèse qu'un site Web victime alimenté par WordPress dispose d'une page de connexion par défaut et que les plugins se trouvent dans le dossier par défaut. Bien qu'il soit recommandé de ne pas utiliser de valeurs par défaut sur aucun site Web, de nombreux propriétaires de sites Web ignorent ces principes simples, permettant aux pirates de les attaquer avec succès. Et c’est pourquoi les pirates aiment tant WordPress, et à tout moment, nous voyons des centaines de milliers de sites Web piratés.

Configurez votre page de connexion personnalisée

WP Cerber vous permet de modifier facilement et en toute sécurité l'URL de connexion WordPress par défaut wp-login.php en n'importe quelle URL dont vous avez besoin. En d’autres termes, vous pouvez configurer votre page de connexion personnalisée unique et connue de vous (une URL de connexion personnalisée signifie la même chose dans ce contexte) et masquer wp-login.php des mauvais acteurs, scanners et robots. Vous n'avez pas besoin de modifier le fichier .htaccess ou de renommer le fichier wp-login.php. Avec WP Cerber vous pouvez le configurer en quelques clics.

  1. Accédez à la page d’administration des paramètres principaux du plugin.
  2. Entrez la nouvelle URL de connexion souhaitée dans le champ URL de connexion personnalisée et enregistrez les paramètres. C'est ça.
  3. Si vous utilisez un plugin de mise en cache, ajoutez votre nouvelle URL de connexion à la liste des pages à ne pas mettre en cache.
  4. Assurez-vous que votre nouvelle URL de connexion fonctionne correctement et que vous pouvez l'utiliser pour vous connecter. Faites-le dans une fenêtre de navigateur incognito. Ne vous déconnectez pas de votre site Web tant que vous n'êtes pas sûr que votre nouvelle URL de connexion fonctionne correctement .
WordPress login security and custom login page settings

Custom WordPress login page settings

Comment masquer wp-login.php des robots et des scanners

Une fois que vous avez activé la page de connexion client, il est logique de masquer la page de connexion WordPress par défaut pour éviter d'y lancer des attaques par force brute. Pour y parvenir, définissez le paramètre Traitement des demandes d'authentification wp-login.php sur "Bloquer l'accès à wp-login.php". Lorsque vous tentez d'accéder à la page, WP Cerber affichera la page standard "404 Not Found". Il n’y a qu’un seul inconvénient auquel vous devriez penser. Si un attaquant est suffisamment intelligent, il peut continuer à analyser le site Web à la recherche de votre véritable page de connexion.

Comment désactiver wp-login.php

Une autre option plus avancée que vous devriez envisager consiste à désactiver wp-login.php sans en bloquer l'accès. Comment ça marche? Cette fonctionnalité unique de WP Cerber arrête toute tentative d'authentification via wp-login.php. Lors de la tentative de connexion, WP Cerber imite l'erreur de mot de passe incorrect par défaut et abandonne le processus d'authentification de l'utilisateur. Le mot de passe saisi n'a pas d'importance ; personne n'est autorisé à se connecter même avec le mot de passe correct. Pour activer cette fonctionnalité, définissez le paramètre Traitement des demandes d'authentification wp-login.php sur « Refuser l'authentification via wp-login.php ».

Une mise en garde à retenir

Si vous ou votre utilisateur oubliez que wp-login.php est désactivé et ne peut pas être utilisé pour vous connecter, vous ou votre utilisateur ne pourrez jamais vous connecter au site Web et serez verrouillé après plusieurs tentatives d'utilisation de wp-login.php.

Si vous avez défini « Traitement des demandes d'authentification wp-login.php » sur une valeur autre que celle par défaut, vous ne pouvez utiliser que votre URL de connexion personnalisée. Ni /wp-login.php ni /wp-admin/ ne peuvent plus être utilisés pour se connecter.

Choses importantes que vous devez savoir

  • Si vous utilisez un plugin de mise en cache comme W3 Total Cache ou WP Super Cache vous devez ajouter le slug de la nouvelle URL de connexion personnalisée à la liste des pages à ne pas mettre en cache.
  • Pour une installation multisite WordPress, la nouvelle URL de connexion est définie pour tous les sites du monde.
  • Ne supprimez pas et ne renommez pas le fichier wp-login.php manuellement. Après avoir mis à jour votre WordPress vers une version plus récente, wp-login.php sera restauré et à nouveau accessible aux intrus.

Obtenez plus de sécurité grâce à l'authentification à deux facteurs

Pensez à activer 2FA pour protéger les comptes des administrateurs. L'authentification à deux facteurs fournit une couche de sécurité supplémentaire nécessitant un deuxième facteur d'identification au-delà d'un simple nom d'utilisateur et d'un mot de passe.

En savoir plus : Comment activer l'authentification à deux facteurs pour WordPress

Dépannage de la fonctionnalité d'URL de connexion personnalisée

L'activation de la page de connexion personnalisée peut empêcher certains plugins de fonctionner. Si vous utilisez un plugin de personnalisation de page de connexion ou un plugin de connexion sociale, il est possible qu'un tel plugin ne fonctionne plus. Pour résoudre ce problème, activez « Différer le rendu de la page de connexion personnalisée ». En savoir plus sur ce paramètre .

Si vous avez configuré votre URL de connexion personnalisée et que vous l'avez oublié après un certain temps, vérifiez tout d'abord dans la boîte de courrier électronique de l'administrateur du site un e-mail de notification concernant votre nouvelle URL de connexion ou tout rapport hebdomadaire par e-mail. Dans ces e-mails, vous pouvez voir votre URL de connexion personnalisée. Si vous ne parvenez pas à trouver un tel e-mail, vous devez réinstaller WP Cerber manuellement en suivant les étapes ci-dessous.

  1. Supprimez manuellement le dossier du plugin /wp-cerber/ en utilisant FTP ou n'importe quel gestionnaire de fichiers dans votre panneau de contrôle d'hébergement.
  2. Connectez-vous à votre tableau de bord WordPress comme d'habitude en utilisant l'URL par défaut /wp-login.php ou une autre méthode que vous utilisiez avant d'activer l'URL de connexion personnalisée.
  3. Installez et activez le plugin WP Cerber Security comme d'habitude.
  4. Accédez à la page Paramètres principaux du plugin.
  5. Vérifiez le champ URL de connexion personnalisée . Il affiche votre URL de connexion personnalisée que vous devez utiliser. Souviens toi.

Prochaines étapes qui renforceront votre sécurité WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments