Salut à tous et bienvenue dans cette nouvelle vidéo de sécurité, le point sécu avec Julio.
Aujourd’hui on va voir pourquoi il faut changer l’URL de la page de connexion de WordPress et comment le faire.
C’est parti !
Julio : Eh bien bonjour ! Aujourd’hui, on va vous parler de : pourquoi est-ce qu’il faut changer la page de connexion WordPress.
Est-ce que tu changes ta page de connexion ? (et vous ?!)
Alex : OUI
Julio : Pourquoi est-ce que tu le fais ?
Alex : Pour pas que les pirates se connectent Ă la bonne page, les robots en fait
Julio : Exactement.
1. Les robots
Les robots qui connaissent la page par défaut de connexion à WordPress : votresite/wp-login.php : cette page est bien évidemment connue de tout le monde.
Donc il y a des robots qui vont parcourir les sites web en tentant de se connecter Ă cette adresse.
Une fois que la page apparaĂźt, ils vont se dire “OK, donc ça c’est trouvĂ©, c’est bien un site WordPress, je peux me connecter” et va commencer en fait leur travail de “tenter de se connecter sur votre site avec un compte” peut ĂȘtre un compte “admin” si vous l’avez laissĂ©.
Je vous invite à regarder la derniÚre vidéo sur ce sujet.
2. Les pirates
Autre cas, il y a aussi les pirates, donc lĂ ce sont vraiment des humains qui vont cibler votre site, ce qui est beaucoup plus difficile Ă bloquer puisque c’est beaucoup plus intelligent qu’un bot… ce sont des humains !
Le pourquoi : une fois que le bot ne trouve pas cette page, soit il va se dire “OK ce n’est pas un WordPress, donc je ne trouverai pas ça ici”, soit, mĂȘme s’il a trouvĂ© Ă l’avance que c’Ă©tait un WordPress, dans tous les cas c’est “moi je ne trouve pas la page de connexion”.
Il va ĂȘtre obligĂ© d’abandonner en fait, donc ça va limiter trĂšs trĂšs rapidement dĂ©jĂ la consommation de ressources serveur, puisque lui il y va en boucle, il teste parfois dans les sous-dossiers, il ne trouve pas la racine, il va tester /wp, / wordpress, etc.
Donc si on l’empĂȘche finalement de trouver rapidement cette page, il s’en va sur un autre site qui peut ĂȘtre lui n’est pas sĂ©curisĂ© et malheureusement sera piratĂ© Ă ce niveau-lĂ …
Alex : Parce que du coup le robot c’est un programme, il a Ă©tĂ© programmĂ©, il s’est dit peut-ĂȘtre : “je vais faire 100 essais sur la page par dĂ©faut avec 100 mots de passe” puis peut ĂȘtre 100 nouveaux essais sur /wordpress ou /jesaispasquoi !
C’est une boucle, une fois qu’il a terminĂ© tous ses essais “OK ça marche pas je passe Ă autre chose”.
Julio : C’est ça, lĂ il n’y a pas un humain qui vĂ©rifie ça derriĂšre, il fait un rapport, le bot il dit “moi celui-lĂ j’ai trouvĂ©, celui-lĂ je n’ai pas trouvĂ©” et derriĂšre c’est envoyĂ© Ă l’humain qui lui a gĂ©rĂ© tous ses bots qui dit “OK lĂ j’ai trouvĂ© toutes ces failles-lĂ , tous ces comptes oĂč on peut rentrer, il envoie, il envoie d’autres failles et ensuite lĂ commence un mauvais travail sur votre site.
Pour dĂ©placer la page de login, on dit “dĂ©placer” bien Ă©videmment le fichier ne bouge pas, on ne touche pas au core de WordPress, mais disons que l’accĂšs Ă cette page ne sera plus l’ancien wp-login.
Ne pas non plus confondre avec le dĂ©placement qui est quasi impossible du wp-admin, souvent il y a une petite confusion entre les deux, le dĂ©placement du back-office n’est pas la mĂȘme chose que le dĂ©placement de la page de connexion, c’est diffĂ©rent.
3. Le Plugin âŒ
Pour dĂ©placer la page de connexion, il y a un plugin qui a Ă©tĂ© fait par Greg de ScreenFeed qui est Move Login qui est maintenant trĂšs connu dans la communautĂ©, ce plugin – et Greg d’ailleurs – et donc Move Login vous permet de choisir carrĂ©ment l’URL de votre page de connexion.
Par exemple, par dĂ©faut c’est /login, parce que c’est quelque chose qui est trĂšs simple Ă retenir, vous pouvez trĂšs bien le remplacer par log-in, par totologin, par mapagedeconnexion, par bonjour…
Alex : On met vraiment ce que l’on veut, il y a un champ pour dĂ©cider ce que l’on veut. Moi par exemple c’est marmite ! … Non je rigole c’est pas ça !
Julio : Dans Move Login il y a quand mĂȘme des petits paramĂštres.
On peut trĂšs bien dire Ă une personne qui cherche cette page :
- on peut la rediriger vers la page d’accueil,
- on peut lui afficher un message d’erreur,
Un humain, selon le rĂ©glage, peut trĂšs bien trouver la page et peut-ĂȘtre que ça ne vous gĂȘne pas, ce n’est pas forcĂ©ment gĂȘnant, le but principal vraiment c’est d’empĂȘcher les bots.
AprĂšs on a l’option de bloquer par un message d’erreur pour que mĂȘme un humain ne puisse pas la trouver.
N’oubliez pas ce que vous avez mis dans le paramĂštre, sinon vous ĂȘtes un petit peu coincĂ©, vous ne pouvez pas vous connecter pour changer le paramĂštre.
Si on lit un petit peu la documentation du Move Login, on s’aperçoit qu’avec un accĂšs FTP, on peut tout de mĂȘme enlever ce blocage, mais…
Alex : C’est ça, il y a plein de gens, de lecteurs, mĂȘme de clients WP Chef qui se sont retrouvĂ© “enfermĂ©s dehors”. La solution, si jamais ça vous arrive, c’est d’aller sur le serveur, renommer le plugin ou le supprimer…
Julio : C’est une des solutions, il y en a une qui est directement incluse, qui limite le support en fait, il y a une constante Ă dĂ©clarer dans le wp-config et qui ignorera le travail du plugin, qui nous permettra alors d’aller modifier tout de mĂȘme le plugin pendant qu’il est encore actif, parce qu’en renommant le plugin, il n’est plus actif !
Alex : C’est ça, ça fait encore des opĂ©rations Ă faire quoi…
Julio : Et on ne peut plus le modifier, donc on est un peu coincé !
Alex : Une constante… on la mettra sous la vidĂ©o pour vous aider. (ci dessous)
Julio : Tout le contenu de Move login, du plugin de Greg, a été inclus dans SecuPress, version gratuite.
Donc, si jamais vous avez dĂ©jĂ SecuPress, il n’y a pas besoin d’aller prendre Move Login, c’est dĂ©jĂ inclus dans le module des utilisateurs.
Alex : Donc voilĂ , je pense qu’on a fait le tour de la question…
Si… du coup tu disais que c’Ă©tait principalement fait pour bloquer les robots, mais… c’est quoi l’option que tu recommandes par dĂ©faut, c’est de rediriger sur la page d’accueil, mettre le message pour dire “vlan t’auras rien du tout” et aprĂšs ça Ă©nerve le pirate si c’est un humain.
Julio : J’ai envie de dire par dĂ©faut je ne vais pas ĂȘtre trop mĂ©chant et si c’est un humain, donc si un de mes utilisateurs ou de mes collaborateurs souhaite trouver l’URL, il peut la retrouver ce n’est pas gĂȘnant.
Par contre, si je suis dans un moment oĂč je sais que je suis en train de subir des attaques parce que je reçois des alertes, ou j’ai des logs, etc. qui me disent “attention lĂ tu es attaquĂ©”, je vais changer le paramĂ©trage et lĂ maintenant c’est un message d’erreur, parce que je suis dans un moment critique et je ne veux pas laisser la main.
Comme c’est une option c’est changeable, une simple case Ă cocher, donc n’hĂ©sitez pas Ă le modifier en cours de route si vous avez l’info que votre site est sous attaque.
Alex : OK ! En plus ce qui est intĂ©ressant avec ce plugin, c’est que tu peux changer d’autres URLs, les URLs de rappel de mots de passe, etc.
Donc aprĂšs tu peux mettre des choses on va dire “plus propres” plus comprĂ©hensibles pour des humains, ça, c’est aussi sympa.
HĂ©bergez votre site chez o2switch
Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.
Conclusion
OK ! Je crois que tout est bon ! Vous trouverez bien sĂ»r le plugin Move Login, vous aurez le lien sous la vidĂ©o et donc SecuPress.me, c’est ça ?
Julio : Tout Ă fait !
Abonnez-vous Ă la chaĂźne YouTube de la Marmite et puis voilĂ , je pense qu’on a fait le tour.
Poser vos questions en commentaires on sera là pour y répondre.
Merci d’avoir suivi cette vidĂ©o.
Julio : Ă la prochaine !
Alex : Ă trĂšs bientĂŽt ! Ciao !
Dans le prochain “Point SĂ©cu” on va parler de double authentification…. KĂ©saco !
Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 20000 personnes l'ont fait, pourquoi pas vous ?
La derniÚre fournée d'articles
Tous les articlesComment optimiser un site WordPress pour les Core Web Vitals ?
Dans le monde du SEO et de la crĂ©ation web en gĂ©nĂ©ral, câest un terme dont on entend presque tout le temps parler. Ah, les fameux Core Web Vitals⊠Le genre de truc toujours Ă la mode depuis leur sortie…
Spectra : plongĂ©e dans ce constructeur de page intĂ©grĂ© Ă lâĂ©diteur de WordPress
Sortir de lâinterface native de WordPress ? Jamais de la vie. Proposer une kyrielle de widgets ? MĂȘme pas en rĂȘve. Avec lui, la star, ce sont les blocs. CrĂ©er votre prochain site WordPress sans quitter lâĂ©diteur par dĂ©faut (Gutenberg),…
WPMarmite News fĂȘte sa 100e Ă©dition (avec un concours) !
Aujourd’hui est un jour un peu spĂ©cial pour WPMarmite. Nous fĂȘtons la 100e Ă©dition de WPMarmite News, notre newsletter de veille WordPress ! đ„ł Si vous ĂȘtes un abonnĂ© de longue date, vous vous en rappelez peut-ĂȘtre : l’aventure avait…