Comment masquer la page wp-login pour sécuriser votre WordPress ?

3 juillet 2023

Un moyen simple d'accéder rapidement à l'interface d'administration de votre site WordPress consiste à ajouter /wp-login/ ou /wp-admin/ à l'URL de votre site. Mais les cybercriminels sont également familiers à cette tactique. Ainsi, la majorité des attaques contre WordPress sont provoquées par des programmes automatisés qui parcourent le net à la quête de wp-login. La meilleure façon d'empêcher cela est de mettre en place des techniques de filtrage personnalisées.

Incorporer le plugin WPS Hide Login

Le moyen le plus rapide et le plus facile de déguiser la page wp-login d'un site WordPress avec une URL personnalisée est d'installer un plugin. En fait, vous pouvez trouver un certain nombre d'identifiants sur le site https://www.wordpresspirate.com/blog/tutoriel-wordpress/cacher-page-login-wordpress/. Néanmoins, il est conseillé d'utiliser WPS Hide Login en raison de sa complexité minimale et de sa convivialité. L'un des facteurs est qu'il fonctionne avec d'autres plugins qui s'appuient sur le formulaire de connexion. De plus, il est compatible avec WP Rocket.

Le plugin WPS Hide Login a été conçu dans un souci de simplicité, puisqu'il ne modifie aucun fichier existant et n'ajoute aucune nouvelle règle de réécriture. Au lieu de cela, il va simplement bloquer les demandes de connexion et rendre les pages d'administration et de connexion de WordPress (wp-admin et wp-login.php) indisponibles. Si vous désactivez le plugin, votre page wp-login reviendra sans aucun problème de codage.

Pour être installé, WPS Hide Login nécessite WordPress 4.1 ou plus. Pour trouver le plugin WPS Hide Login, cherchez-le dans le menu Plugins. Vous devez l'installer et l'activer pour cacher vos détails de connexion. Après cela, vous serez amené à la page des paramètres, où vous pouvez modifier l'URL de la page de connexion. Vous avez la possibilité d'apporter facilement des modifications quand vous le souhaitez. Pour activer la fonction WPS Hide Login, il suffit de naviguer dans le menu Settings, de sélectionner General, puis de cliquer sur WPS Hide Login.

Procéder à l'utilisation du fichier .htaccess

La meilleure façon de renforcer encore la sécurité de votre serveur Web est d'utiliser le fichier .htaccess pour déguiser la page de connexion. Le fichier .htaccess vous permet soit de définir un mot de passe pour accéder à la page wp-login, soit de restreindre l'accès à une seule adresse IP.

La première étape pour restreindre l'accès à la page wp-login derrière un nom d'utilisateur et un mot de passe consiste à créer un fichier .htaccess avec Htpasswd Generator.

Pour y arriver, il vous faudra votre nom d'utilisateur et votre mot de passe pour avoir accès à cette fonctionnalité. Cet outil crypte les mots de passe à la volée. Et vous pouvez simplement copier et coller le texte résultant dans votre fichier .htaccess.

Après avoir copié la ligne de code, vous pouvez créer le fichier .htaccess à l'aide d'un éditeur de texte. Il est possible que le Bloc-notes soit l'endroit où vous collerez le code copié. Ajoutez ce fichier au répertoire racine de votre site WordPress (choisissez "all files" pour le format).