Vous ĂȘtes ici : Accueil | Le Point SĂ©cu | 🛡Point SECU #3 : Pourquoi changer l’URL de la page de connexion de WordPress

VidĂ©o : 🛡Point SECU #3 : Pourquoi changer l’URL de la page de connexion de WordPress



Salut à tous et bienvenue dans cette nouvelle vidéo de sécurité, donc le point sécu avec Julio.

Aujourd’hui on va voir pourquoi il faut changer l’URL de la page de connexion de WordPress et comment le faire.

C’est parti !

Julio : Eh bien bonjour ! Ce que je fais aujourd’hui… On va vous parler du : pourquoi est-ce qu’il faut changer la page de connexion WordPress.

Est-ce que tu changes ta page de connexion ? (et vous ?!)

Alex : OUI

Julio : Pourquoi est-ce que tu le fais ?

Alex : Pour pas que les pirates se connectent Ă  la bonne page, les robots en fait

Julio : Exactement.

1. Les robots

MĂ©chant robot

Le genre d’individu qui tente de se connecter Ă  votre site

Les robots qui connaissent la page par défaut de connexion à WordPress : votresite/wp-login.php : cette page est bien évidemment connue de tout le monde.

Donc il y a des robots qui vont parcourir les sites web en tentant de se connecter Ă  cette adresse.

Une fois que la page apparaĂźt, ils vont se dire « OK, donc ça c’est trouvĂ©, c’est bien un site WordPress, je peux me connecter » et va commencer en fait leur travail de « tenter de se connecter sur votre site avec un compte » peut ĂȘtre un compte « admin » si vous l’avez laissĂ©.

Je vous invite à regarder la derniÚre vidéo sur ce sujet.

2. Les pirates

Un exemple de pirate

Je veux me connecter Ă  ton site !

Autre cas, il y a aussi les pirates, donc lĂ  ce sont vraiment des humains qui vont cibler votre site, ce qui est beaucoup plus difficile Ă  bloquer puisque c’est beaucoup plus intelligent qu’un bot… ce sont des humains !

Le pourquoi : une fois que le bot ne trouve pas cette page, soit il va se dire « OK ce n’est pas un WordPress, donc je ne trouverai pas ça ici », soit, mĂȘme s’il a trouvĂ© Ă  l’avance que c’Ă©tait un WordPress, dans tous les cas c’est « moi je ne trouve pas la page de connexion ».

Il va ĂȘtre obligĂ© d’abandonner en fait, donc ça va limiter trĂšs trĂšs rapidement dĂ©jĂ  la consommation de ressources serveur, puisque lui il y va attention, il y va en boucle, il teste parfois dans les sous-dossiers, il ne trouve pas la racine, il va tester /wp, / wordpress, etc.

Donc si on l’empĂȘche finalement de trouver rapidement cette page, il s’en va, il s’en va sur un autre site qui peut ĂȘtre lui n’est pas sĂ©curisĂ© et malheureusement sera piratĂ© Ă  ce niveau-lĂ …

Alex : Parceque du coup le robot c’est un programme, il a Ă©tĂ© programmĂ©, il s’est dit peut-ĂȘtre : « je vais faire 100 essais sur la page par dĂ©faut avec 100 mots de passe » puis peut ĂȘtre 100 nouveaux essais sur /wordpress ou /jesaispasquoi !

C’est une boucle, une fois qu’il a terminĂ© tous ses essais « OK ça marche pas je passe Ă  autre chose ».

Julio : C’est ça, lĂ  il n’y a pas un humain qui vĂ©rifie ça derriĂšre, il fait un rapport, le bot il dit « moi celui-lĂ  j’ai trouvĂ©, celui-lĂ  je n’ai pas trouvé » et derriĂšre c’est envoyĂ© Ă  l’humain qui lui a gĂ©rĂ© tous ses bots qui dit « OK lĂ  j’ai trouvĂ© toutes ces failles-lĂ , tous ces comptes oĂč on peut rentrer, il envoie, il envoie d’autres failles et ensuite lĂ  commence un mauvais travail sur votre site.

Pour dĂ©placer la page de login, on dit « dĂ©placer » bien Ă©videmment le fichier ne bouge pas, on ne touche pas au core de WordPress, mais disons que l’accĂšs Ă  cette page ne sera plus l’ancien wp-login.

Ne pas non plus confondre avec le dĂ©placement qui est quasi impossible du wp-admin, souvent il y a une petite confusion entre les deux, le dĂ©placement du back-office n’est pas la mĂȘme chose que le dĂ©placement de la page de connexion, c’est diffĂ©rent.

3. Le Plugin ☌

Pour dĂ©placer la page de connexion, il y a un plugin qui a Ă©tĂ© fait par Greg de ScreenFeed qui est Move Login qui est maintenant trĂšs connu dans la communautĂ©, ce plugin – et Greg d’ailleurs – et donc Move Login vous permet de choisir carrĂ©ment l’URL de votre page de connexion.

plugin wordpress de déplacement de page de login

Par exemple, par dĂ©faut c’est /login, parce que c’est quelque chose qui est trĂšs simple Ă  retenir, vous pouvez trĂšs bien le remplacer par log-in, par totologin, par mapagedeconnexion, par bonjour…

Alex : On met vraiment ce que l’on veut, il y a un champ pour dĂ©cider ce que l’on veut

Julio : LĂ  c’est un champ…

Alex : Moi par exemple c’est marmite ! … Non je rigole c’est pas ça !

>>Julio : Qu’est-ce qu’il fait ?! D’oĂč l’intĂ©rĂȘt de la cacher !

Dans Move Login il y a quand mĂȘme des petits paramĂštres.

On peut trĂšs bien dire Ă  une personne qui cherche cette page :

  • on peut la rediriger vers la page d’accueil,
  • on peut lui afficher un message d’erreur,
L'intĂ©rĂȘt c'est que le bot de toute façon se retrouvera coincĂ©.Click to Tweet

Un humain, selon le rĂ©glage, peut trĂšs bien trouver la page et peut-ĂȘtre que ça ne vous gĂȘne pas, ce n’est pas forcĂ©ment gĂȘnant, le but principal vraiment c’est d’empĂȘcher les bots.

AprĂšs on a l’option de bloquer par un message d’erreur pour que mĂȘme un humain ne puisse pas la trouver.

N’oubliez pas ce que vous avez mis dans le paramĂštre, sinon vous ĂȘtes un petit peu coincĂ©, vous ne pouvez pas vous connecter pour changer le paramĂštre.

Si on lit un petit peu la documentation du Move Login, on s’aperçoit qu’avec un accĂšs FTP, on peut tout de mĂȘme enlever ce blocage, mais…

Alex : C’est ça, il y a plein de gens, de lecteurs, mĂȘme de clients WP Chef qui se sont retrouvĂ© « enfermĂ©s dehors ». La solution, si jamais ça vous arrive, c’est d’aller sur le serveur, renommer le plugin ou le supprimer…

Julio : C’est une des solutions, il y en a une qui est directement incluse, qui limite le support en fait, il y a une constante Ă  dĂ©clarer dans le wp-config et qui ignorera le travail du plugin, qui nous permettra alors d’aller modifier tout de mĂȘme le plugin pendant qu’il est encore actif, parce qu’en renommant le plugin, il n’est plus actif !

Alex : C’est ça, ça fait encore des opĂ©rations Ă  faire quoi…

Julio : Et on ne peut plus le modifier, donc on est un peu coincé !

Alex : Une constante… on la mettra sous la vidĂ©o pour vous aider. (Allez vite voir!)

// Autoriser la page de connexion classique (temporairement !)
define( 'SFML_ALLOW_LOGIN_ACCESS', true );

Julio : Tout le contenu de Move login, du plugin de Greg, a été inclus dans SecuPress, version gratuite.

Donc, si jamais vous avez dĂ©jĂ  SecuPress, il n’y a pas besoin d’aller prendre Move Login, c’est dĂ©jĂ  inclus dans le module des utilisateurs.

Alex : Donc voilĂ , je pense qu’on a fait le tour de la question…

Si… du coup tu disais que c’Ă©tait principalement fait pour bloquer les robots, mais… c’est quoi l’option que tu recommandes par dĂ©faut, c’est de rediriger sur la page d’accueil, mettre le message pour dire « vlan t’auras rien du tout » et aprĂšs ça Ă©nerve le pirate si c’est un humain.

Julio : J’ai envie de dire par dĂ©faut je ne vais pas ĂȘtre trop mĂ©chant et si c’est un humain, donc si un de mes utilisateurs ou de mes collaborateurs souhaite trouver l’URL, il peut la retrouver ce n’est pas gĂȘnant.

Par contre, si je suis dans un moment oĂč j’ai effectivement, je sais que je suis en train de subir des attaques parce que je reçois des alertes, ou j’ai des logs, etc. qui me disent « attention lĂ  tu es attaqué », je vais changer le paramĂ©trage et lĂ  maintenant c’est un message d’erreur, parce que je suis dans un moment critique et je ne veux pas laisser la main.

Comme c’est une option c’est changeable, une simple case Ă  cocher, donc n’hĂ©sitez pas Ă  le modifier en cours de route si vous avez l’info que votre site est sous attaque.

Alex : OK ! En plus ce qui est intĂ©ressant avec ce plugin, c’est que tu peux changer d’autres URLs, les URLs de rappel de mots de passe, etc.

Donc aprĂšs tu peux mettre des choses on va dire « plus propres » plus comprĂ©hensibles pour des humains, ça, c’est aussi sympa.

OK ! Je crois que tout est bon ! Vous trouverez bien sĂ»r le plugin Move Login, vous aurez le lien sous la vidĂ©o et donc SecuPress.me, c’est ça ?

Julio : Tout Ă  fait !

Abonnez-vous Ă  la chaĂźne YouTube de la Marmite et puis voilĂ , je pense qu’on a fait le tour.

Poser vos questions en commentaires on sera là pour y répondre.

Merci d’avoir suivi cette vidĂ©o.

Julio : Ă  la prochaine !

Alex : Ă  trĂšs bientĂŽt ! Ciao !

Dans le prochain « Point SĂ©cu » on va parler de double identification…. KĂ©saco !



Si vous avez apprécié cet article, inscrivez-vous à la newsletter

Recevez gratuitement les prochains articles et accédez à des ressources exclusives. Plus de 10000 personnes l'ont fait, pourquoi pas vous ?

C'est parti, je m'inscris !

5425759849e4db343fb79c18b446736fAAAAAAAAAAAAAAAAAAAAAAAAAAA
Partagez
Tweetez
Partagez