Vous êtes ici : Accueil | Plugins WordPress | Débarrassez-vous des attaques brute force avec cette extension

Débarrassez-vous des attaques brute force avec cette extension

Brute Force WordPress

Aujourd’hui, je lance une nouvelle série d’articles. Cette série consacrée aux plugins WordPress (ou extensions) développés par des français et plus largement des francophones, c’est pourquoi ces articles vont faire partie des « Plugins gaulois » !

Comme pour les autres recettes relatives aux plugins, vous pourrez découvrir leur rôle et leur fonctionnement au sein d’un tutoriel détaillé.

Commençons avec une petite question :

Saviez-vous que votre site est probablement en train de se faire attaquer ?

Depuis quelques semaines, votre Marmite bien aimée subissait des attaques de type « brute force » quasi quotidiennement, heureusement j’ai réussi à bouter les assaillants hors du blog grâce à un petit plugin bien pratique.

Pourtant, vous imaginez bien que j’ai fait le maximum pour protéger le blog. Voici ce qui est actuellement en place :

  • Des sauvegardes sont faites régulièrement grâce à BackupBuddy (aff)
  • Cloudflare sert à accélérer le site et à repousser/filtrer certaines menaces
  • Sucuri (aff) surveille les éventuelles modifications de fichiers sur le serveur.

Bref, j’essaie de faire en sorte que vous puissiez consulter le blog à n’importe quelle heure du jour ou de la nuit 🙂

Avant de passer aux explications, je tiens à revenir sur ce que sont exactement les attaques brute force.

Et si on jouait aux devinettes ?

Effectivement, les attaques brute force ont un point commun avec les devinettes. En fait, ce genre d’attaque correspond à des robots qui essaient de découvrir l’identifiant et le mot de passe du compte administrateur de votre site.

Si par malheur, un essai s’avère concluant. Vous pouvez dire adieu à votre site. L’agresseur pourra y faire tout ce qu’il voudra (puisqu’il se sera connecté en tant qu’administrateur).

Alors comment font ces robots pour deviner votre mot de passe ?

Et bien ils essaient, réessaient et essaient encore des dizaines, centaines de mots de passe en les combinants avec les identifiants les plus utilisés.

Bannissez donc les identifiants comme « admin » ou « test » de votre site pour corser le travail des agresseurs.

La deuxième mesure à prendre est d’utiliser des mots de passe complexes. C’est à dire avec des caractères variés (majuscules, minuscules, chiffres et signes de ponctuation). Pour générer des mots de passe complexes, jetez un oeil à ce site, il est top 🙂

J’espère que votre mot de passe ne fait pas partie du top 25 des pires mots de passe de 2013. Si oui, dépêchez-vous de le changer !

Pour info (je n’en dirai pas plus), l’identifiant administrateur du blog est aussi compliqué que le mot de passe. Petit conseil d’ami : vous devriez faire de même pour votre site.

Je vous entends déjà me dire : « Et bien c’est bon, mon identifiant et mon mot de passe sont complexes. S’ils veulent venir, je les attends ! ».

Revenons au cas de WP Marmite

Comme je vous l’ai dit en début d’article, j’utilise le service Sucuri pour surveiller l’activité sur tout le site.

Même si leur service est payant, ils mettent à disposition un plugin gratuit : Sucuri Security.

Sucuri Security WordPress

Cet article n’est pas consacré à ce plugin mais retenez qu’il permet de recevoir des notifications pour toutes les tentatives de connexion infructueuses.

J’ai donc reçu des emails en pagaille me disant que des IPs basées en Chine, en Irak, en Russie et aux États-Unis essayaient de voler les futures recettes.

Pirates !

Mon premier réflexe a été de bannir toutes ces adresses IPs via CloudFlare (un futur article vous expliquera comment le mettre en place) afin de leur refuser l’accès au site.

Étant donné que les attaques continuaient, j’ai carrément banni certains pays. Donc si vous êtes partez en Chine ou en Irak, désolé mais vous ne pourrez pas lire le site 😛

Malgré tout, les attaques se poursuivaient toujours. Bien que je suis relativement confiant sur mon couple identifiant/mot de passe, je ne dormais pas sur mes deux oreilles en sachant que des robots tentaient de se connecter en permanence au blog.

En discutant avec Geoffrey Crofte, il m’a fait découvrir le plugin SF Move Login (créé par Grégory Viguier de ScreenFeed et Julio de BoiteAWeb) dont le but est de déménager la page de connexion de site.

Effectivement, si la page de connexion classique (située à votresite.com/wp-login.php) n’est plus là, les robots et autres assaillants l’ont dans l’os !

Et devinez quoi, depuis que j’ai installé ce plugin, je ne reçois plus d’emails de Sucuri concernant des tentatives de connexion ratées.

Êtes-vous intéressé par ce plugin ? Si oui, je vous propose un…

Petit tour du propriétaire

SF Move Login

Je dis petit car cela est très rapide. Une fois que vous aurez recherché et installé SF Move Login sur votre site, votre page de connexion par défaut ne sera plus active.

Par défaut, le plugin redirige les pages suivantes à ces adresses :

  • Page de connexion : /login
  • Lien de déconnexion : /logout
  • Mot de passe perdu : /lostpassword
  • Rappel de mot de passe : /resetpass
  • Inscription : /register

Du coup, si comme moi vous n’aimez pas avoir des mots en anglais qui se baladent un peu partout, je vous recommande de passer par quelques morceaux de codes pour définir de nouvelles adresses.

Comment personnaliser SF Move Login

Suivez le guide, ce n’est pas si compliqué. Collez simplement ce code dans le fichier functions.php de votre thème (enfant de préférence) :

/* SF Move Login */
function my_custom_movelogin_slugs( $slugs ) {
return array_merge( $slugs, array(
'logout' => 'salut',
'lostpassword' => 'mdpperdu',
'resetpass' => 'reset',
'register' => 'bienvenue',
'login' => 'sesameouvretoi',
) );
}
add_filter( 'sfml_slugs', 'my_custom_movelogin_slugs' );

Si le plugin ne peut pas modifier votre fichier .htaccess, ajoutez et modifiez le code suivant à l’intérieur (situé à la racine de votre installation) :

# BEGIN SF Move Login
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^sesameouvretoi/?$ $1wp-login.php [QSA,L]
RewriteRule ^postpass/?$ $1wp-login.php?action=postpass [QSA,L]
RewriteRule ^salut/?$ $1wp-login.php?action=logout [QSA,L]
RewriteRule ^mdpperdu/?$ $1wp-login.php?action=lostpassword [QSA,L]
RewriteRule ^retrievepassword/?$ $1wp-login.php?action=retrievepassword [QSA,L]
RewriteRule ^reset/?$ $1wp-login.php?action=resetpass [QSA,L]
RewriteRule ^rp/?$ $1wp-login.php?action=rp [QSA,L]
RewriteRule ^bienvenue/?$ $1wp-login.php?action=register [QSA,L]
</IfModule>
# END SF Move Login

Évidemment, c’est à vous de définir les adresses de votre choix pour chacune des pages. Modifiez ces bouts de code pour qu’il correspondent à ce que vous voulez faire.

Une fois reconfiguré, voici ce que les visiteurs verront en essayant d’aller sur /wp-login.php :

SF Move Login Connexion

Le message ne vous plait pas ? Pas de problème, vous pouvez choisir le votre grace à ce petit morceau de code :

remove_action( 'sfml_wp_login_error', 'sfml_wp_login_error' );
add_action( 'sfml_wp_login_error', 'my_wp_login_error' );
function my_wp_login_error() {
	wp_die('La page de connexion a changé d\'adresse pour limiter les attaques, si vous êtes cuistot envoyez-moi un message et je vous dirais où elle se trouve 😉
Alex');
}

Ici il s’agit du message que j’utilise pour WP Marmite, mais libre à vous de le personnaliser 😉

Si vous ne voulez pas mettre les mains dans le code, Grégory (l’auteur du plugin) propose d’installer un autre plugin pour vous permettre de modifier ces options mais je n’ai pas testé (ces morceaux de code sont suffisants et évitent l’installation d’un nouveau plugin).

Conclusion

SF Move Login est un super plugin pour rouler les robots/personnes qui attaquent votre blog dans la farine. Bien sûr, si l’assaillant venait à découvrir votre nouvelle page de connexion, il pourrait continuer ses attaques.

En tout cas, cette solution a fait cesser les attaques brute force sur WP Marmite. J’espère qu’il en sera de même pour vous 🙂

Subissez-vous des attaques de ce type ? Et si oui, avez-vous testé cette solution ? Qu’en pensez-vous ?

 

Crédit photo : imfdb.org

Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 10000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

86 commentaires Ajoutez le vôtre

  1. Salut Alex,

    J’étais dans le même cas que toi, je recevais plein d’emails par jour m’informant qu’il y a des petits pirates qui essaient de se connecter à mon compte admin.

    Du coup après une petit recherche dans le répertoire officiel des plugins je suis tombé sur Rename wp-login.php qui fait quasiment le même job que SF Move Login. D’ailleurs j’ai fait un petit tutoriel dessus il y a moment ;).
    Fini les petits voyous qui essaient de me piquer mon blog ^^

    Répondre
    • Bonjour Anouar,
      Ça semble pas mal mais est ce que ce plugin renomme également les autres pages (rappel de mot de passe etc).
      A bientôt et merci de passer par ici 😉

  2. Bonjour Alex,

    cela fait plusieurs semaines que j’observe des attaques de ce type sur mon site personnel (j’utilise Limit Login Attempts pour ma part). Je cherchais une solution pour contrer ces attaques, je vais tenter ta recette !

    Merci pour tes astuces toujours de qualité !

    Répondre
    • Tiens-nous au courant Gwendoline 😉

  3. Salut.

    Merci pour l’article 🙂
    Content de voir que le plugin a été efficace.

    Pour info, on n’est pas obligé d’utiliser des filtres pour personnaliser les adresses. Pour ceux et celles qui ne souhaitent pas mettre les mains dans le code il y a mon plugin Noop qui peut être installé, le lien est indiqué lorsque l’on installe Move Login (le fait de séparer en deux plugins permet de satisfaire à peu près tout le monde : ceux qui n’ont pas besoin de l’interface des réglages, et les autres).

    Une page en français du plugin existe également pour plus d’infos.

    See ya!

    Répondre
    • Pas de soucis Greg,
      Merci pour les précisions 😉

      À bientôt
      Alex

  4. Hello Alex! Tout d’abord merci pour ce partage de softs qui m’ont l’air vraiment sympas. Cependant j’avais une question à te poser, je suis assez novice en utilisation de wp, et je voulais savoir si des hébergeurs garantissaient les services que tous les softs que tu nous proposes, ou bien est-ce qu’il faut, quel que soit notre hébergeur, utiliser les plugins?
    Je suis amateur pour le moment et j’aimerai bien me renseigner à ce sujet.
    Bonne soirée!
    Max.

    Répondre
    • Bonjour Maxime,
      Tout comme WP, les plugins utilisent PHP donc il n’y a aucun problème 🙂

      Bonne continuation
      Alex

  5. Salut Alex,

    Merci pour cet article, il est très intéressant pour un débutant comme moi sur WP!
    Je prends la sécurité de mon jeune site au sérieux, car je n’ai pas envie qu’il soit trop tard pour le faire.

    Ma question est un peu hors sujet, mais j’espère que tu trouveras quelques minutes pour me faire une réponse rapide : J’aimerais savoir s’il est compliqué d’avoir deux langues sur son site, (eng/fr) et si tu as des conseils où bien si tu connais un tutoriel pour le faire ?

    J’ai hâte de découvrir les prochains articles sur les plugins, et bravo pour wpmarmite, c’est vraiment du beau travail !

    Répondre
  6. Merci pour cet article

    La securite est le plus gros problème de wordpress

    Mais comment peut on modifier l’identifiant de son site ?

    Merci pour la réponse
    Jean marc

    Répondre
    • Bonjour Jean-Marc,
      Il est possible de le faire dans base de données mais le plus simple est de créer un nouvel administrateur et de supprimer l’ancien.

      Bonne continuation
      Alex

  7. Merci beaucoup votre reponse

    Pourquoi wordpress ne propose t’elle pas la possibilite de n’avoir qu’un administrateur par site poir limiter ce probleme d’administrateur pirate ?

    C’est un probleme tres serieux et surtout google detecte les piratages de sites et les blackliste c’est ce qui m’est deja arrive’

    Cordialement et bravo pour votre blog.

    Cordialement
    Jean Marc Bontemps
    Musiques Actuelles
    Ile de la Reunion

    Répondre
  8. Quel site intéressant beaucoup d’explications sans aucunes hésitations, frustrations ou surtout complications. Je suis novice en informatique et ce site m’a permis sans connaissances en informatique de me créer mon site. Je compte bien continuer à utiliser la Marmite et l’ensemble de ces tutos pour peaufiner mon site avant sont lancement.

    Un grand Bravo à Alex le cuisto

    Répondre
  9. Bonjour Alex,

    Merci pour toutes ces infos, voilà quelques mois que je lis tes articles qui me font parfois tourner en bourrique car je ne suis pas du tout dans le domaine de l’informatique (secrétaire comptable refoulée reconvertie en commerçante motivée !)

    J’ai installé un thème premium wp sur mon site grâce à ton guide sur les meilleurs thèmes et depuis, j’essaie de suivre tes conseils et astuces en m’arrachant parfois les cheveux et en m’auto-blâmant de n’avoir pas su trouver d’intérêt au peu de cours d’informatique que j’ai eu autrefois.

    J’ai donc installé le plugin « sucuri security » qui n’a pas mis longtemps avant de m’annoncer des tentatives de connexions sur mon site ! J’ai alors installé « SF Move Login » et là, génial, la page de connexion avait effectivement disparu !

    Sauf qu’au bout de 3 jours, j’ai été éjectée de mon site sans aucune explication, plus moyen d’aller sur le panneau d’administration, plus moyen d’ouvrir le site tout simplement. Mes compétences étant plus que limitées, j’ai du faire appel à un webmaster qui m’a tout remis en place après avoir supprimé les plugin et qui m’a indiqué que « SF Move Login écrit sur le fichier .htaccess un bout de code » et qui ajoute que le plugin ne doit pas être compatible avec Woocommerce ou avec le thème, qu’il y a un conflit.

    Bref, ça ne fonctionne pas pour moi… j’essaierai bien les plugins qui sont indiqués dans les commentaires mais j’hésite, je ne voudrais pas mettre trop le bazar dans le site, et je ne peux pas toujours demander de l’aide 🙁

    Merci encore et bonne continuation 😉

    Répondre
    • Bonjour Florence,

      Désolé pour votre mésaventure, vous devriez contacter Grégory (un des auteurs de ce plugin) pour découvrir ce qui n’a pas fonctionné.

      Bonne continuation
      Alex

  10. Bonjour Alex,

    Je n’avais aucune idée de ce que pouvait être une « attaque brute force », mais il est vrai que j’avais eu plusieurs messages de Wordfence me détaillant des tentatives de connexion d’IP d’un peu partout.
    Mon mdp de login étant bien paramétré, je n’ai donc jamais subi de dommage sur mon blog.
    Mais je suis bien content de découvrir ces plugins que je vais mettre en place rapidement. Merci donc à WP Marmite pour tous ces bons conseils et astuces qui de plus sont gratuits.

    Merci à toute l’équipe.
    Bruno

    Répondre
  11. Quand j’ai vu le titre de l’article dans la newsletter j’ai fait un bond ! Des attaques brute force, j’en ai régulièrement. Mais il y a 8 jours, un dimanche après-midi, il y a eu plusieurs centaines de blocage d’IP suite à une avalanche de tentatives de 13h à 18h (Limit Login Attempts pour moi aussi). Et donc même si mes identifiant/MP sont bétonnés, honnêtement, je suis restée sur le qui-vive en vérifiant tous les 1/4 d’heure et ça n’a pas été mon meilleur week-end…
    Bref, voilà donc un article qui m’intéresse au plus haut point. je m’étais bien dit que ce serait génial de déménager ailleurs la page de connexion mais j’ai même pas imaginé 1s que quelqu’un avait pensé à en faire un plugin !!!
    Je lis également le commentaire de Florence. Je suis un peu dans la même configuration qu’elle avec woocommerce même si nous n’avons pas le même thème. Je vais voir ce que ça donne.
    J’imagine de toute façon qu’en cas de blocage, il me suffit via ftp de supprimer le plugin et de remettre mon .htaccess tel qu’il était ?
    Et merci pour l’article et toutes ces infos Alex !

    Répondre
    • Bonjour Sandrine.

      En cas de problème on peut effectivement faire comme vous indiquez, via ftp.
      Sinon il y a un poil plus simple, en éditant le fichier config.php via ftp : voir la page du plugin (à la fin) pour les détails.

  12. Hum….

    Et en passant par /wp-admin/ on tombe pas directement sur ta nouvelle page de connexion ?

    Les pirates vont vite du coup récupérer la nouvelle page…

    A moins que je me trompe…

    Répondre
    • Non car :
      – Jusqu’à présent je n’ai pas de preuve montrant qu’un robot est assez intelligent pour faire ça.
      – Cette redirection est paramétrable dans le plugin (on peu renvoyer une 404 ou bloquer l’accès).

  13. Salut Alex,

    J’espère que ta fièvre s’est amendée sans abuser du Doliprane.

    J’ai apprécié cet excellent article fort à propos dans ce contexte, car curieusement mon site subit aussi des « visites » bizarres ces temps-ci, après un piratage il y a un mois qui avait dérobé tout le contenu 😐

    Je me suis empressé d’installer Sucuri, lequel a tout de suite détecté que j’avais implanté un pseudo ‘readme.html’ pour tromper l’ennemi, et bidouillé le ‘index.php’ en lui injectant un petit mouchard qui m’envoie par mail l’IP de chaque visiteur sur un compte gmail dédié, façon de garder l’oeil 🙂

    Je ne comprends pas bien le mode d’emploi de move login. J’ai bien installé le plugin comme tu l’indiques en modifiant le .htaccess et le fichier ‘fonctions’ du thème enfant. Mais rien d’autre n’apparait dans la page réglage du plugin, je ne pige pas comment lui donner un chemin ni comment « récupérer » le fichier wp-login.

    Jusqu’à présent, hormis le barrage que tu connais, je me « contentais » d’activer en plus « Google Authenticator » ET renommer carrément le fichier ‘wp-config’ en quittant l’arrière-boutique, via le FTP (après tout, ça n’enpêche pas le site de tourner 🙂 C’est king-kong, comme stratégie, mais ça fonctionne 🙂

    Si donc quelqu’un peut me donner le mode d’emploi détaillé de ce plugin j’apprécierais 🙂

    Merci !

    Amicalement,
    Michaël

    Répondre
  14. En fait ce plugin Move login n’a pas l’air de marcher avec moi 😐
    Pourtant j’ai suivi scrupuleusement les instructions.

    Il s’est contenté de me renvoyer vers la page 404 lors de la deconnection, et de me fournir sur un plateau la page wp-login.php, en shuntant malicieusement le .htpass que j’avais mis dessus, bref.. 😐

    Je crois que je vais me contenter de renommer le wp-login à la main entre deux connections 😉

    Si quelqu’un peut me fournir le « vrai » mode d’emploi 😉

    Répondre
  15. Merci Greg pour la réponse !
    Et voilà, plugin installé hier soir (avec noop… un peu paresseuse je dois dire sur ce coup là et c’est quand même super pratique !) et aucun souci pour le moment.
    Ah oui, un détail pour les étourdis comme moi….. Hum… ne pas oublier de se déconnecter avant de tester sinon il ne se passe rien du tout…. 🙂
    En tous cas, ce matin, pas la moindre tentative d’intrusion. Ah !!!! (soupir de contentement)

    Répondre
    • Bien joué Sandrine 🙂

  16. Bonjour Alex,

    plutôt qu’un plugin… qui reste un plugin 🙂 il me semble plus simple de sécuriser l’accès à tous les fichiers admin et au wp-login via un .htpasswd , et c’est radical !

    Répondre
    • Bonjour Marie-Aude,
      Dans le cas d’un site perso je pense que c’est bien mais que penses-tu des sites où plusieurs personnes se connectent ? Ou même pour des sites clients. C’est vrai que c’est plus sécure (et qu’on liquide un plugin) mais on y perd en facilité de connexion :/ (même si c’est le but ^^).

      A bientôt
      Alex

    • Salut Marie-Aude.
      Bon courage avec les appels ajax également 😉

  17. Re-bonjour Alex, bonjour Greg,

    Je reviens à la charge en bon vieux dinosaure…

    Je ne me sens pas satisfait de cette solution du ‘Move Login’, que je trouve pour ma part compliquée, boiteuse (puisqu’elle ne fonctionne pas avec moi:), et obligeant de surcroît à mettre les mains dans le cambouis du code.

    Les shadocks de ma grand-mère disaient :
    « Pourquoi faire simple quand on peut faire compliqué » 😉 !

    J’ai réfléchi cette épineuse question depuis cette nuit, à savoir :

    … quel est le problème que ‘Move Login’ se propose de résoudre,
    et, tant qu’à mettre (un peu) les mains dans le cambouis du code,
    comment le résoudre un peu plus simplement ?

    … et j’aurais envie de partager avec vous pas après pas la solution directe et SANS plugin que j’ai pour ma part trouvée.

    Question : Quel résultat cherchons-nous au final ?

    1° – Renommer ‘wp-login.php’ pour tromper les robots-béliers
    2° – Et, si possible, « déménager » ce ‘wp-login.php’ de la racine du site vers un autre dossier.

    Solution ?

    1° – Est-il possible de renommer directement ‘wp-login.php’ ?

    J’ai testé.

    La réponse est oui.

    J’ai commencé par sauvegarder le fichier d’origine, ce que je ne saurais trop vous encourager à faire de même, sait-on jamais…

    J’ai pris mon FTP préféré,
    visé le ‘wp-login.php’ à la racine du site,
    récupéré via la fonction « Download » une sauvegarde prudente de ce fichier,
    puis renommé crûment celui du serveur en ce-que-vous-voulez.php.

    Essai dans le navigateur :
    http://www.mondomaineperso.com/wp-mon-login.php

    Je vous invite à faire l’essai : ça fonctionne 😉

    Ceci étant, je trouve que renommer le ‘wp-login.php
    ‘wp-potdefleur.php’ plutôt que ‘potdefleur.php’ par exemple,
    présente l’avantage de pouvoir échapper à l’indexation par les moteurs de recherche, puisque j’ai pris pour ma part la précaution de glisser ce petit fichier ‘robot.txt’ à la racine du site, contenant les deux lignes d’instruction :

    User-Agent: *
    Disallow: /wp-*

    Et comme je suis un petit farceur parfois, j’ai glissé sur le serveur un leurre,
    un « faux » ‘wp-login.php’, juste à coté du « vrai » ‘wp-mon-login.php’…

    … un « faux » ‘wp-login.php’ contenant une instruction de redirection vers la page d’accueil ou la page 404 :

    header(« Location: http://www.mondomaineperso.com/ … (le chemin à suivre) … /404.php »);
    exit;

    Voilà pour le premier point : renommer le fichier.

    2° – Comment déménager ce ‘wp-mon-login.php’ ?

    Est-ce plus compliqué ?

    Pour m’en convaincre, j’ai ouvert en local sur mon ordinateur, ‘Easy-php’.

    C’est une fonctionnalité Open-source que je trouve vraiment pratique et que je vous recommande.

    Cela me permet pour ma part d’avoir un blog d’essais sur mon ordinateur, pour y rédiger et paufiner mes brouillons d’article, sans voir enfler les tables de la base de donnée du site à coup de révisions successives. Il me suffit de purger la table ‘wp_posts’ de la base de donnée locale puis optimiser la base de temps en temps. Bref.

    A – Question : Où sont les obstacles ?

    Pour explorer cette question,
    j’ai édité ce fichier ‘wp-mon-login.php’
    avec l’éditeur « Notepad++« .

    Lignes 11 & 12 (de la dernière version), j’ai découvert :

    /** Make sure that the WordPress bootstrap has run before continuing. */
    require( dirname(__FILE__) . ‘/wp-load.php’ );

    Qu’est-ce que ça veut dire ?
    Voilà ce que j’en ai compris.

    Lorsque WordPress embraye sur ce fichier ‘wp-(mon-)login.php’, cette première instruction l’invite à dérouler le programme par son « boot », autrement dit le bout de fil qui dépasse de la pelote de laine.

    Ce « boot » est le fichier nommé ‘wp-load.php‘.

    Celui ci, normalement, devrait figurer dans le même repertoire de la racine du site.

    Le programmeur, comme tout humain visant à faire simple plutôt que compliqué, contrairement au Shadocks :-), a donc indiqué le chemin « relatif » le plus court pour ouvrir ce dossier voisin. C’est le sens de cette instruction.

    Pour m’en convaincre, j’ai froidement déménagé ce fichier, et obtenu en retour un prévisible message d’erreur.

    Alors,

    B – Comment surmonter cet obstacle ?

    En changeant simplement cette instruction, de chemin « relatif » en un chemin « absolu », c’est-à-dire un chemin qui ne dépendrait plus de la position relative du fichier dans l’arborescence du serveur.

    Ce que j’ai fait.

    Pour cela, j’ai bricolé un petit fichier php avec mon ‘Notepad++’ préféré…

    … que j’ai nommé ‘chemin.php’, en lui collant cette ligne dedans :

    echo realpath(‘chemin.php’);

    Puis, avec mon FTP, j’ai introduit sur le serveur ce ver dénommé ‘chemin.php‘.

    Dans le répertoire-racine de WordPress, là où se trouve le fichier « boot » ‘wp-load.php’.

    Tapant dans le navigateur :
    …/le/chemin/a/suivre/chemin.php

    … ce navigateur a renvoyé l’adresse URL du dit fichier ‘chemin.php’

    Sur mon ordinateur, en local avec ‘easy-php’, j’ai donc obtenu ceci :

    C:\Program Files\EasyPHP-DevServer-14.1VC9\data\localweb\www\wordpress\wp-content\chemin.php

    Retroussant un tout petit peu plus mes manches…
    en rééditant le fichier ‘wp-mon-login.php’

    Lignes 11 & 12 (de la dernière version), toujours

    … j’ai commencé par dupliquer prudemment cette dernière ligne 12 avec un copier-coller :

    require( dirname(__FILE__) . ‘/wp-load.php’ );
    require( dirname(__FILE__) . ‘/wp-load.php’ );

    … et désactivé la première pour la sauvegarder :

    /* require( dirname(__FILE__) . ‘/wp-load.php’ ); */
    require( dirname(__FILE__) . ‘/wp-load.php’ );

    … puis j’ai transformé sauvagement cette dernière instruction de chemin « relatif »
    en chemin absolu, en important avec un copier-coller la ligne d’adresse URL du dossier :

    … j’ai donc enlevé le  » dirname(__FILE__) . « …
    … en prenant soin de conserver la 1ère parenthèse ( et le  » ‘ « …
    … comme ceci :

    … require(‘/wp-load.php’ );

    Puis j’ai copié soigneusement la ligne entre la parenthèse ( et le ‘

    en supprimant le « chemin.php » de la fin…

    Sur mon ordinateur toujours, en local avec ‘easy-php’, voici ce que ça a donné :

    require( ‘C:/Program Files/EasyPHP-DevServer-14.1VC9/data/localweb/www/wordpress/wp-load.php’ );

    Est-ce que ça fonctionnait ?

    Oui, apparemment : le formulaire de login s’est présenté…

    Ce chien de garde une fois renseigné, est-ce que ça fonctionnait toujours ?
    Non.

    J’ai obtenu un renvoi d’adresse vers la page devenue inexistante :
    http://www.mondomaineperso.com/wp-login.php

    C’est donc que cette page contenait d’autres instructions de renvoi vers ‘wp-login.php’ qu’il fallait modifier.

    Reprenant ‘notepad++’ :
    (C’est fou comme je vous recommande encore une fois de sauvegarder le fichier d’origine 🙂 )

    Tapant « Remplacer »…

    … j’ai remplacé cette expression native « wp-login.php »…
    en « /mon/chemin/de/dossier/wp-mon-login.php »

    Puis « Remplacer tout »
    (ou alors « Remplacer » : 12 fois).

    Résultat des courses, vous me croirez si vous le voulez bien :

    Ca fonctionne !!!

    Et si vous me croyez pas, essayez 😉

    Il me restait à refaire la même chose « en vrai » sur le ‘wp-login.php’ du serveur.
    Facile, je m’y étais déjà bien entraîné 🙂

    Et ça fonctionne, pareil.

    SANS plugin.
    NI davantage de trituration du code.

    Bon, je vous l’accorde, ça fait moins gadget, puisqu’il n’y a pas ce joli plugin supplémentaire à charger et activer, lequel viendra alourdir encore un peu plus notre moulinette à café…

    Mais ça marche 🙂

    Marie-Aude, je partage ton point de vue.

    Ultime détail, je n’arrive toutefois pas à refaire fonctionner le couple .htaccess/.htpasswd sur cette nouvelle configuration.

    Si quelqu’un peut m’aider, je ne suis pas informatichien, moi 😉

    Merci de votre attention !

    Répondre
    • Bonjour Micka,

      Merci de ton retour mais il ne vaut mieux pas toucher au code de WP car cela va être effacé dès la prochaine mise à jour.
      De plus ce que tu as fais me semble plus compliqué que de simplement installer un plugin ^^

  18. Bonjour Alex,

    Merci pour cet article très intéressant, je me suis empressée de changer mon login et d’installer Sucuri Security. Evidemment, je me suis rendue compte qu’un paquet de petits malins du monde entier tentaient de se connecter à mon site… J’ai donc installé SF Move Login et son petit plugin complémentaire. Mais ma page wp-admin est toujours active et wp-login redirige vers la nouvelle page.
    Je ne pouvais plus me déconnecter (page introuvable…), du coup j’ai désinstallé les plugin et en 2 mn j’avais déjà reçu une notification de Sucury de Failed login. Alors que je n’en avais eu aucun pendant que le plugin était installé…
    Je l’ai donc installé à nouveau, plus de problème de logout mais wp-admin et wp-login toujours pareil.
    Est-ce que t’aurais une solution?
    Je te remercie d’avance.

    Répondre
  19. Re, Alex,

    Dommage que tu aies décidé de ne pas éditer mon précédent commentaire, je m’étais donné beaucoup de mal pour le faire, car je trouvais que c’était une alternative intéressante et tout à fait appropriée aux déboires de Florence (cf plus haut). Mais bon, ça cassait peut-être un peu trop la baraque de ton par ailleurs excellent article, ma foi, je le reconnais volontiers… 😉 Tant pis, je serai le seul à bénéficier de tous les avantages apparents de Move Login… sans les inconvénients 😉

    Bon, j’arrête de te taquiner.

    Amicalement,
    Michaël

    Répondre
  20. Intéressant, mais il existe aussi Better WP security https://wordpress.org/plugins/better-wp-security/ qui me semble aller plus loin en proposant de protéger contre les attaques de force brute et de déplacer la page de Login. Que pensez-vous de ce plugin ?

    Répondre
  21. Oooops !

    Toutes mes excuses pour le précédent commentaire, j’avais pas mes lunettes, auguste privilège de l’âge, à croire que l’avant-dernier commentaire était trop petit pour ne pas passer inaperçu 😉

    Merci de ta remarque, Alex. Je ne crois pas, au vu des explications qui précèdent dans ton article, que cela soit plus compliqué que d’aller éditer le .htaccess pour le bidouiller, farfouiller dans le fichier ‘functions’ du thème, etc.
    Sur ce plan-là, il y a égalité et peut-être même simplicité.

    Enfin, en prenant la simple précaution de faire migrer le ‘wp-login.php’ modifié dans le répertoire ou un sous-répertoire du ‘wp-content’, nous pouvons être assurés que celle-ci ne sera pas écrasée lors de la nouvelle mise à jour de WordPress (il faudra juste refaire par prudence une nouvelle mise à jour manuelle du ‘wp-login’)

    Je reconnais que ma proposition n’est pas la panacée, en particulier pour les blogs multi-utilisateurs (mais ‘Move Login’ non plus). Quoi qu’il en soit, pour un mono-administrateur-rédacteur de mon espèce, ça fonctionne bien, sans bugs de plugins 🙂

    Il me reste juste à trouver comment reconfiguer le path du le couple .htaccess / .htpasss que tu connais pour le répertoire concerné. Mais ça doit être tellement trivial que je risque d’y passer encore quelques heures, alors pour le moment je me suis contenté d’un blocage sélectif d’IPs.

    Merci de nous donner de cet excellent grain à moudre, et merci encore pour ton thème Etendard que je trouve magnifiquement épuré et que je recommande.

    Chaleureusement,
    Michaël

    Répondre
  22. Salut Alex
    j’ai installé SF Move Login car j’ai pas mal de tentatives de connexions pirates sur mon site, mais je n’ai pas obtenu ce qui était prévu ; lorsque j’essaie de me connecter en tant qu’utilisateur sur l’espace membre j’arrive sur une page où il y a ton message « non, non, non, ….. ». J’ai donc été obligé d’enlever le plugin.
    J’utilise ton thème Etendard et il n’est pas question que je mette les mains dans le code.
    Cordialement

    Répondre
    • Bonjour André,
      Effectivement, ce plugin a un côté un peu technique. Comme indiqué dans les autres commentaires, vous pouvez installer le plugin Noop pour avoir des options plus visuelles.

      Bonne continuation
      Alex

  23. Alex
    merci pour cette réponse rapide
    Bonne journée

    Répondre
  24. Dommage que personne ne donne son avis sur Better WP security https://wordpress.org/plugins/better-wp-security/ qui permet de prévenir les attaques de force brute et déplace également la page de login. J’aurais aimé savoir s’il est suffisant.

    Répondre
    • Je vais le tester, ce « better-wp-security », et je te dirai s’il permet de déplacer un ‘wp-login’ déjà déménagé manuellement 😉

      Michael

      PS pour André – Mettre les mains dans le code n’oblige pas à se curer les ongles après pour enlever le cambouis 😀

    • Petit retour d’expérience comme promis sur better-wp-security…
      De mon point de vue, cette extension n’a rien à envier à ‘Sucuri’. Non contente d’effectuer largement ce que ‘Move login’ tente de faire de manière plus ou moins hasardeuse au vu des doléances qui semblent fleurir dans les commentaires de cette page 😉 , c’est aussi un détecteur de malwares, un générateur de mots de passe balèzes, un barrage anti-IP douteuses, un antidote solide aux (nombreuses) failles de sécurité de WordPress, etc. Bref, une Rolls comparée à la 2CV dont il est fait élégamment l’éloge sur cette page (ok, moi j’aime les 2CVs mais je préfère me gameller en Rolls 🙂
      Voili, voilou 😉

  25. Bonjour,
    J’ai mis le plut in en action sur trois sites, mais comment se liguer ensuite? Il y a un truc que je n’ai pas suivi… car ils ne sont plus accessibles … (ce qui est le but dac…)
    Merci!
    Yves

    Répondre
    • Bonjour Yves,
      Comme indiqué dans la FAQ du plugin, vous pouvez insérer le code suivant dans wp-config.php pour accéder de nouveau à votre site :
      define(‘SFML_ALLOW_LOGIN_ACCESS’, true);

      Bonne continuation
      Alex

  26. Hummm ok, mais quid du wp-admin ? J’imagine que c’est pas possible de changer ça ? Parce que suffit de se connecter par là et les attaques brute force reprennent de plus belle.

    J’ai installé wordfence hier après 4 ans sans aucun piratage. (Je touche du bois !!!) Et la wow facile 25 attaques en moins de 12 h… 1 par heure quasiment voire une dizaine selon les heures de la journée…

    Je songe à installer le plugin du coup même si j’imagine que chaque attaque utilisant ‘admin’ utilise un mot de passe à la con super basique donc pas bp de chances de trouver mon vrai mdp mais enfin bon.

    Répondre
  27. Bonsoir,

    j’ai banni tellement d’adresses ip et de pays que mon .htaccess est long comme le bras, il y a longtemps que l’adresse de connexion administrateur de mon site a changé et mieux la nuit, il n’y a plus d’adresse du tout ! Même moi je ne peux pas entrer dans mon propre site ! Oui j’en fais peut être un peu trop mais bon j’ai eu tellement de souci en deux ans que j’ai dû me blinder…;o)<

    Répondre
    • Je me reconnais dans ce dernier commentaire 😉

      Jusqu’au jour récent où l’administrateur serveur en a eu marre et m’a tiré cette épine du pied en virant manu militari ce .htaccess long comme un jour sans pain, me priant désormais de « create correct rules » (sic), écrire des règles correctes 🙂 Depuis j’ai trouvé un compromis entre « tout » et « rien », et, ma foi, mon site ne met plus 32 secondes à charger mais seulement 3 😉

      Il y a longtemps me concernant aussi que le wp-login et le wp-config ont changé de nom et d’adresse, et qu’il n’y a plus de wp-login non plus lorsque je ne travaille pas sur le site (intérêt d’un FTP:) et ce n’est pas plus mal.

      Concernant les plugins, j’évite depuis les usines à gaz (dont le présent ci-dessus, mais je vous recommande et revanche 2 autres plugins de Julio / BAW bien mieux ficelés : « baw-anti-csrf » et « baw-wordpress-plugin-security-checker », ainsi qu’un troisième du même genre, « block-bad-queries »). Wordfence rajoute « juste 12 secondes au temps de chargement. A un moment donné, entre une forteresse inexpuniable mais inaccessible, et donc sans visiteurs ni SEO tellement elle est bien « défendue », et une passoire colmatée à minima mais accessible à tous, il faut savoir choisir 🙂

      Ma palette de plugins de sécurité (qui ne se bloquent pas trop les uns les autres) : « akismet » of course, « acunetix-wp-security-scan », « baw-anti-csrf », « baw-wordpress-plugin-security-checker », « better-wp-security-ithemes », « limit-login-attempts », « sucuri-scanner », « block-bad-queries », « bruteprotect », « bulletproof-security », « redirection » (pour checker les redirections 404 douteuses:), « wp-security-scan », plus les services ponctuels de « security-ninja-lite », « theme-check », « timthumb-vulnerability-scanner », « rewrite-rules-inspector », et ponctuellement aussi « wp-db-backup » car il y a actuellement une faille de sécurité dedans et je préfère faire les sauvegardes DB à la main après chaque article, voilà.

      Mes meilleurs voeux à tous & à chacun(e).

  28. Errata :

    Le wp-config a changé d’adresse mais pas de nom. C’est le répertoire « wp-content » qui a changé de nom ET d’adresse, désolé pour ce lapsus 😐

    Répondre
  29. Bonsoir Michael,

    je me sens moins seul d’un coup ;o)<

    J'ai pris toutes les mesures nécessaires mais je dois avouer que je ne peux m'empêcher de vérifier quotidiennement les ips qui se connectent à mon Site….soit une moyenne de 1400 actuellement…c'est pas une vie….mais je ne voudrais pas perdre deux ans de travail, bien sûr je fais des sauvegardes mais bon….:o)<

    Répondre
  30. Bonsoir Michael,

    je me sens moins seul d’un coup, cela me rassure ;o)<

    J'ai pris toutes les mesures nécessaires, mais je dois avouer que je ne peux m'empêcher de vérifier quotidiennement les ips qui se connectent à mon Site….soit une moyenne de 1400 actuellement…

    C''est pas une vie me direz-vous….mais je ne voudrais pas perdre deux ans de travail, bien sûr je fais des sauvegardes mais bon….:o)<

    Répondre
    • « C’est pas une vie me direz-vous »

      Je ne me serais pas permis, mais puisque vous le dites 🙂

      Gardons à l’esprit de ne pas trop nous perdre dans des tâches qui n’ont guère de sens…

      Amitiés
      Michael

  31. Je n’ai pas de soucis du tout avec Wordfence de mon côté. Je n’active pas le Live Traffic et les ips se connectant à mon site (immédiatement bloquées par Wordfence pour 60 jours = je me demande si le serveur va pas finir par saturer quand même) sont d’environ 60 à 100 par jour. Donc disons que je ne suis pas encore trop embêtée. 1400 c’est wow…

    Répondre
  32. Bonjour Lisa,

    oui 1400 c’est beaucoup et je parle de visiteurs uniques avec ceux qui reviennent dans les 24 h cela fait beaucoup plus ( le record est à 1700 fin décembre )

    j’hésite à passer en hébergement vps car là je suis en mutualisé et vu la fréquentation à certaines heures le site est un peu lent ( heureusement j’utilise l’excellent WPROCKET )
    Au niveau antivirus j’ai essayé Wordfence Sucuri et siteguarding mais aucun ne me convient vraiment…

    Répondre
  33. Une seule chose à dire: MERCI. J’espère juste que cette extension reste fiable et ne créée pas de faille de sécurité ! -_-

    Répondre
  34. Bonjour à toute la communauté,

    Alex, dans ton article, tu évoques le fait de bloquer tous les utilisateurs d’un pays ou groupe de pays. Tu pourrais expliquer rapidement le principe ? Mes statistiques dans google analytics sont polluées par beaucoup de visites venant notamment de Russie à partir de sites visiblement connus pour ne pas être des exemples (par exemple : blackhatworth ; forum.topic49242760.darodar ou encore cenoval – je retire d’ailleurs les extensions pour que personne ne clique dessus par erreur 😉 ).

    il semblerait qu’on pourrait éditer le fichier htaccess et ajouter ces deux lignes de code pour bloquer tous les utilisateurs de Russie par exemple :
    SetEnvIf GEOIP_COUNTRY_CODE RU BlockCountry
    Deny from env=BlockCountry

    Comment ça fonctionne exactement ? Faut-il juste les coller à n’importe quel endroit dans le fichier ?

    Bref, merci pour tes lumières !

    Répondre
  35. Bonjour,

    cette ligne se met dans le .htaccess, personnellement j’utilise :

    SetEnvIf CF-IPCountry RU BuzzOff=1

    Christophe.

    Répondre
    • Bonjour,

      Et merci Christophe,
      super-ressource que ce
      « SetEnvIf CF-IPCountry RU BuzzOff=1 » :
      Excellent !

      Depuis que j’ai remplacé le « wp-login-racine »
      par un mouchard à IPs,
      il ne se passe pas une journée sans voir cette « trigger-zone » titillée
      par des petits curieux nichés en Russie, Ukraine, Chine, Pologne, etc.
      Je doute fort que ceux-ci soient intéressés au contenu dans notre langue maternelle !!

      J’ai essayé au début de traquer les IPs numériques,
      mais il n’y a aucune logique géographique dans celles-ci.
      Exemple : « 46.105.17.34 » = Paris; « 46.174.67.107 » = Ukraine !
      Et en plus, celles-ci actuellement changent !
      (la mienne p.e est différente chaque semaine…)

      C’est pourquoi je suis enchanté de découvrir cette ressource
      que je ne connaissais pas encore !

      Du coup, j’ai trouvé ici http://stackoverflow.com/questions/21488857/cf-ipcountry-in-htaccess-doesnt-appear-to-work un petit répertoire des lignes de ce code par pays, il n’y a plus qu’à copier-coller 😉

      Merci encore, amicalement,
      Michael

  36. rebonjour,

    c’est vrai que certaines ip sont proches, la solution c’est de bannir aussi l’hôte, exemple : deny from static-37-232-200-248.netbynet.ru

    ;o)<

    Répondre
  37. […] Qu’apporte de « plus » ce plugin ‘ Login Lockdown ‘ par rapport à “limit-login-attempts” ??

    Répondre
  38. Très bon article, merci. Est-il possible d’avoir un article pour paramétrer Sucuri Security ? Merci.

    Répondre
    • Bonjour Cécilia,
      Merci pour la suggestion, cela devrait pouvoir se faire 🙂
      Bonne continuation
      Alex

  39. Bonjour,

    Même si je trouve intéressant cette fonctionnalité, il faut avoir conscience qu’un automate bien configuré sera à même de retrouver cette page. Il va protéger WP contre les scripts basiques, mais cela ne doit pas empêcher une bonne configuration (username autre que admin … / mot de passe solide / anti brute force …).
    J’aime bien le plugin All In One Security qui intègre ces notions (même si j’ai des soucis avec cloudflare).
    L’impact sur les ressources me semble plus faible qu’avec Wordfence ou d’autres plugins que j’ai pu tester.

    Mathias

    Répondre
    • Bonjour Mathias,
      C’est vrai qu’il s’agit d’une première ligne de défense. Cela dit, il faut bien commencer quelque part 🙂
      Merci pour tes suggestions, j’espère qu’elles pourront orienter les lecteurs de ce commentaire.

      Au plaisir
      Alex

  40. Merci !!!
    J’ai eu plus de 350 tentatives de login depuis hier soir (toutes bloquées et signalées par le plugin Wordfence) et même si j’ai un identifiant compliqué et un mot de passe à rallonge choisi aléatoirement, je commençais 1. à en avoir marre de recevoir tous ces mails d’alerte et 2. à flipper quand même un peu.
    J’ai installé Move login ce matin et miracle, plus de tentatives d’intrusion. Ouf.
    Au pire si un robot un peu plus intelligent parvient à ma page de connexion et tente de s’identifier je pourrai l’exclure définivement ce qui n’état plus possible avec plusieurs attaques par minute.
    Donc un grand merci !

    Répondre
  41. Salut Alex,

    Perso je paramètre Wordfence de sorte qu’il bloque automatiquement tous ceux qui tentent de se connecter avec un pseudo qui n’existe pas, ça limite pas mal les requêtes déjà. Et pour les identifiants qui existent, ça verrouille automatiquement après quelques tentatives infructueuses.

    Je bloquerais bien aussi certains pays mais c’est une option payante. Du coup, quand tu as une vingtaine de sites à gérer c’est pas tiptop. 😉

    De mon côté c’est l’Ukraine et la Russie que je retrouve le plus souvent dans mes rapports.

    Répondre
  42. Une fois de plus, merci pour toutes ces infos géniales!
    j’aime bcp votre site c’est une mine d’or 🙂
    bonne continuation
    Samir

    Répondre
    • Merci Samir 🙂

  43. Bonjour Alex,
    De mon côté, j’utilise SF Move Login depuis quelques temps déjà et il fait bien son boulot.
    En complément, j’ai l’habitude de mettre Login LockDown mais il n’est plus maintenu depuis plusieurs années. Connais tu d’autre plugin mieux entretenu ?

    Répondre
    • Salut Jérôme,

      Login Lockdown n’est plus maintenu depuis un an mais à priori il fait encore du bon boulot. Limit Login Attempts existe aussi mais il n’a pas été maintenu depuis 2 ans…

    • Merci pour ta réponse.
      C’est ce qu’il me semblait, il n’existe pas aujourd’hui, un plugin activement maintenu qui gère ce point si sensible de la sécurité.
      Je continuerai avec Login Lockdown

  44. Bonjour, je n’arrive plus a me connecter depuis que j’ai pris l’extension Login Lockdown, que dois-je faire ?
    Pourtant j’ai identifiant et mdp
    Merci par avance,
    Gladys

    Répondre
    • Bonjour Gladys,

      Si vous n’arrivez plus à vous connecter, connectez-vous par FTP et supprimez le plugin 🙂

  45. Bonjour,

    J’ai essayé d’insérer le code dans le fichier functions.php sauf que cela m’a mis  » Erreur serveur 500″ et maintenant je ne peux plus rien changé sur mon site ! Cependant dans les notes il y a écrit que mon thème ne permet pas l’utilisation du plugin Options Framework que je venais d’ajouter et activer. Je n’avais pas vu ce message et je ne sais donc pas quelle action a fait beuguer mon site mais maintenant je ne peux plus rien changer ! Même une personne extérieure ne peut pas y accéder !

    Pouvez-vous m’aidez ?

    Répondre
    • Salut Mathilde,

      En cas de blocage de ce genre il faut passer par le FTP et supprimer les plugins/morceaux de code que tu as ajouté.
      Tu devrais pouvoir à nouveau accéder à ton site.

  46. Rebonjour,

    Pour cela il faut aller sur Filezilla ? Je l’ai installé mais il m’affiche « erreur critique : impossible d’établir une connexion au serveur ». Je suis chez OVH.

    PS: je l’ai installé avant de faire beuguer mon site.

    Que dois-je faire ?
    Cordialement.

    Répondre
  47. Bonjour,
    J’ai installé Move login et je l’ai correctement configuré.
    Cependant, je reçois encore des mails de tentative d’accès avec des pseudos n’existant pas – en regardant mes statistiques, les tentatives se font depuis la page source de mon site (soit xxx.com/), comment cela est-il possible ?

    Répondre
    • Humm, étrange :/
      As-tu mis en place une redirection vers la page d’accueil ?

      Sinon contacte Greg, son créateur pour en savoir plus 🙂

    • j’ai choisi l’option « Afficher un message d’erreur » pour les deux cas (wp-login.php et zone d’administration)

  48. Bonjour Alex

    Un grand merci pour cet article qui m’a particulièrement aidé, car j’ai subi sur mon blog en une journée un nombre impressionnant d’attaques. Heureusement j’avais déjà Wordfence d’installé, mais, grâce au plugin move login, tout est rentré dans l’ordre. Une question cepedant, penses tu qu’il soit utile de conserver login lockdown si j’ai wordfence d’installé ?

    Yvan,

    Répondre
    • Bonjour Yvan,

      Je ne connais pas bien WordFence donc je ne peux pas vraiment te répondre. S’il y a une fonctionnalité pour limiter les tentatives de connexion, tu peux supprimer login lockdown.

  49. Bonjour Alex,

    Effectivement Wordfence prend en charge les attaques sur login, je vais donc voir sur le long terme si je le conserve ou pas mais à mon avis, ça risque de faire double usage…

    Répondre
  50. Bonjour Alex et tout d’abord un grand merci pour tes conseils toujours avisés !
    Une question : Sucuri est-il compatible avec wordfence ? Cela ne fait-il pas doublons ? D’avance merci 🙂 !

    Répondre
    • Bonjour André,
      À mon sens oui, il faut utiliser l’un ou l’autre.

  51. Bonjour,
    merci pour votre article et vos nombreux conseils, grâce à cela j’ai pu réaliser cette manip facilement après avoir installé move login.
    La bonne nouvelle ? j’arrive bien sur le message « Non non non, le formulaire de connexion ne se trouve pas ici. » !
    la mauvaise ? je ne peux plus me connecter à mon tableau de bord WordPress car je ne sais plus où est l’accès !!…
    Il s’agit d’un blog perso que j’ai mis en place seule.
    vous aurez compris que je suis plus que novice et complètement perdue.
    Quelle(s) manip puis-je faire ?
    merci d’avance

    Répondre
    • Bonjour Cecile,

      Merci pour votre commentaire 🙂
      Pour régler votre problème, supprimer l’extension via FTP règlera le problème

  52. Merci pour cet article, un travail impeccable comme toujours.
    Très bon plugin que j’utilise maintenant.

    Répondre
    • Merci Thierry !

  53. Bonjour à tous,

    J’ai également essayer ce plugin qui pour ma part et beaucoup d’autre ne fonctionne tout simplement pas, je pense qu’une revue en profondeur est nécessaire par l’auteur de ce plugin qui semble ma foi un bon départ mais encore loin d’être un plugin fonctionnel.

    Répondre
    • Bonjour Daniel,

      Pour l’utiliser depuis des mois, je peux t’assurer que ça fonctionne 🙂
      Essaie de voir avec l’auteur du plugin pour voir ce qui ne va pas au niveau de ton installation.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

La Marmite ne peut malheureusement pas fournir de support. Merci d'en tenir compte dans votre commentaire 😉

Si vous ne lui en voulez pas, donnez-lui un j'aime sur Facebook :



55 Shares
Share48
Tweet
Share7