L’une des attaques les plus courantes sur WordPress est celle que l’on nomme « Brute Force ». Dans ce type d’attaque, le pirate va essayer plusieurs mots de passe pour pénétrer à l’intérieur de votre blog WordPress.
Mais pour ce faire, il doit déjà connaitre l’adresse qui mène à la page d’administration de votre site WordPress.
Par défaut, cette adresse est toujours : https://www.nomdevotresite.com/wp-admin (je mets .com mais cela peut être .fr ou une autre extension).
Dans cet article je vais vous montrer comment lui compliquer la tâche en modifiant l’url de connexion à votre site WordPress.
Nous allons voir comment faire cette procédure de deux façons différentes. La première, avec le petit plugin gratuit et léger WPS Hide Login, la seconde de façon manuelle.
Modifier l'URL de connexion de votre site WordPress avec le plugin WPS Hide Login
WPS Hide Login est un petit plugin léger et gratuit développé par l’équipe de l’hébergeur français spécialisé WordPress: WPServeur.
Vous pouvez télécharger ce plugin à cette adresse https://fr.wordpress.org/plugins/wps-hide-login/ ou directement depuis WordPress.
Une fois le téléchargement, l’installation et l’activation terminés, allez dans la section Réglages du tableau de bord de WordPress et cliquez sur WPS Hide Login.
Cela vous envoie dans la page générale de la section réglage de WordPress. Vous allez dès lors voir apparaître deux nouveaux paramètres au bas de la page: URL de connexion et URL de redirection .
On ne peut pas faire plus simple : Dans le champ URL de connexion, vous choisissez votre url, dans cet exemple : connect905 ce qui donne la nouvelle adresse de connections suivante : https://www.nomdevotresite.com/connect905/
Pour le champ URL de redirection vous pouvez laisser comme tel, cela enverra simplement vers une page 404 tous ceux qui veulent accéder à votre page de connexion, sans connaitre la nouvelle url.
Il ne vous reste plus qu’à cliquer sur enregistrer les modifications pour que le changement soit pris en compte. WPServeur nous indique :
*Ce plugin ne renomme pas et ne modifie pas de fichiers dans le noyau de WordPress, il n’ajoute pas non plus de règles de réécriture. Il intercepte tout simplement les demandes de page et fonctionne sur n’importe quel site WordPress. La page wp-login.php et le répertoire wp-admin deviennent donc inaccessibles, vous devrez donc bookmarker ou vous rappeler l’url. Désactiver ce plugin ramène tout simplement votre site à son état initial.
Modifier manuellement l'URL de connexion de votre site WordPress
Réservé aux utilisateurs expérimentés de WordPress, je conseille aux autres d’utiliser la méthode avec le plugin.
Les deux méthodes les plus courantes sont soit de modifier le fichier wp-config php soit le fichier functions.php.