Salut à tous et bienvenue dans cette nouvelle vidéo de sécurité, le point sécu avec Julio.

Aujourd’hui on va voir pourquoi il faut changer l’URL de la page de connexion de WordPress et comment le faire.

C’est parti !

Julio : Eh bien bonjour ! Aujourd’hui, on va vous parler de : pourquoi est-ce qu’il faut changer la page de connexion WordPress.

Est-ce que tu changes ta page de connexion ? (et vous ?!)

Alex : OUI

Julio : Pourquoi est-ce que tu le fais ?

Alex : Pour pas que les pirates se connectent à la bonne page, les robots en fait

Julio : Exactement.

1. Les robots

Méchant robot
Le genre d’individu qui tente de se connecter à votre site

Les robots qui connaissent la page par défaut de connexion à WordPress : votresite/wp-login.php : cette page est bien évidemment connue de tout le monde.

Donc il y a des robots qui vont parcourir les sites web en tentant de se connecter à cette adresse.

Une fois que la page apparaît, ils vont se dire “OK, donc ça c’est trouvé, c’est bien un site WordPress, je peux me connecter” et va commencer en fait leur travail de “tenter de se connecter sur votre site avec un compte” peut être un compte “admin” si vous l’avez laissé.

Je vous invite à regarder la dernière vidéo sur ce sujet.

2. Les pirates

Un exemple de pirate
Je veux me connecter à ton site !

Autre cas, il y a aussi les pirates, donc là ce sont vraiment des humains qui vont cibler votre site, ce qui est beaucoup plus difficile à bloquer puisque c’est beaucoup plus intelligent qu’un bot… ce sont des humains !

Le pourquoi : une fois que le bot ne trouve pas cette page, soit il va se dire “OK ce n’est pas un WordPress, donc je ne trouverai pas ça ici”, soit, même s’il a trouvé à l’avance que c’était un WordPress, dans tous les cas c’est “moi je ne trouve pas la page de connexion”.

Il va être obligé d’abandonner en fait, donc ça va limiter très très rapidement déjà la consommation de ressources serveur, puisque lui il y va en boucle, il teste parfois dans les sous-dossiers, il ne trouve pas la racine, il va tester /wp, / wordpress, etc.

Donc si on l’empêche finalement de trouver rapidement cette page, il s’en va sur un autre site qui peut être lui n’est pas sécurisé et malheureusement sera piraté à ce niveau-là…

Alex : Parce que du coup le robot c’est un programme, il a été programmé, il s’est dit peut-être : “je vais faire 100 essais sur la page par défaut avec 100 mots de passe” puis peut être 100 nouveaux essais sur /wordpress ou /jesaispasquoi !

C’est une boucle, une fois qu’il a terminé tous ses essais “OK ça marche pas je passe à autre chose”.

Julio : C’est ça, là il n’y a pas un humain qui vérifie ça derrière, il fait un rapport, le bot il dit “moi celui-là j’ai trouvé, celui-là je n’ai pas trouvé” et derrière c’est envoyé à l’humain qui lui a géré tous ses bots qui dit “OK là j’ai trouvé toutes ces failles-là, tous ces comptes où on peut rentrer, il envoie, il envoie d’autres failles et ensuite là commence un mauvais travail sur votre site.

Pour déplacer la page de login, on dit “déplacer” bien évidemment le fichier ne bouge pas, on ne touche pas au core de WordPress, mais disons que l’accès à cette page ne sera plus l’ancien wp-login.

Ne pas non plus confondre avec le déplacement qui est quasi impossible du wp-admin, souvent il y a une petite confusion entre les deux, le déplacement du back-office n’est pas la même chose que le déplacement de la page de connexion, c’est différent.

3. Le Plugin ☼

Pour déplacer la page de connexion, il y a un plugin qui a été fait par Greg de ScreenFeed qui est Move Login qui est maintenant très connu dans la communauté, ce plugin – et Greg d’ailleurs – et donc Move Login vous permet de choisir carrément l’URL de votre page de connexion.

plugin wordpress de déplacement de page de login

Par exemple, par défaut c’est /login, parce que c’est quelque chose qui est très simple à retenir, vous pouvez très bien le remplacer par log-in, par totologin, par mapagedeconnexion, par bonjour…

Alex : On met vraiment ce que l’on veut, il y a un champ pour décider ce que l’on veut. Moi par exemple c’est marmite ! … Non je rigole c’est pas ça !

Julio : Dans Move Login il y a quand même des petits paramètres.

On peut très bien dire à une personne qui cherche cette page :

  • on peut la rediriger vers la page d’accueil,
  • on peut lui afficher un message d’erreur,
[clickToTweet tweet=”L’intérêt c’est que le bot de toute façon se retrouvera coincé. #WordPress #Sécurité” quote=”L’intérêt c’est que le bot de toute façon se retrouvera coincé.” theme=”style3″]

Un humain, selon le réglage, peut très bien trouver la page et peut-être que ça ne vous gêne pas, ce n’est pas forcément gênant, le but principal vraiment c’est d’empêcher les bots.

Après on a l’option de bloquer par un message d’erreur pour que même un humain ne puisse pas la trouver.

N’oubliez pas ce que vous avez mis dans le paramètre, sinon vous êtes un petit peu coincé, vous ne pouvez pas vous connecter pour changer le paramètre.

Si on lit un petit peu la documentation du Move Login, on s’aperçoit qu’avec un accès FTP, on peut tout de même enlever ce blocage, mais…

Alex : C’est ça, il y a plein de gens, de lecteurs, même de clients WP Chef qui se sont retrouvé “enfermés dehors”. La solution, si jamais ça vous arrive, c’est d’aller sur le serveur, renommer le plugin ou le supprimer…

Julio : C’est une des solutions, il y en a une qui est directement incluse, qui limite le support en fait, il y a une constante à déclarer dans le wp-config et qui ignorera le travail du plugin, qui nous permettra alors d’aller modifier tout de même le plugin pendant qu’il est encore actif, parce qu’en renommant le plugin, il n’est plus actif !

Alex : C’est ça, ça fait encore des opérations à faire quoi…

Julio : Et on ne peut plus le modifier, donc on est un peu coincé !

Alex : Une constante… on la mettra sous la vidéo pour vous aider. (ci dessous)

// Autoriser la page de connexion classique (temporairement !)
define( 'SFML_ALLOW_LOGIN_ACCESS', true );

Julio : Tout le contenu de Move login, du plugin de Greg, a été inclus dans SecuPress, version gratuite.

Donc, si jamais vous avez déjà SecuPress, il n’y a pas besoin d’aller prendre Move Login, c’est déjà inclus dans le module des utilisateurs.

Alex : Donc voilà, je pense qu’on a fait le tour de la question…

Si… du coup tu disais que c’était principalement fait pour bloquer les robots, mais… c’est quoi l’option que tu recommandes par défaut, c’est de rediriger sur la page d’accueil, mettre le message pour dire “vlan t’auras rien du tout” et après ça énerve le pirate si c’est un humain.

Julio : J’ai envie de dire par défaut je ne vais pas être trop méchant et si c’est un humain, donc si un de mes utilisateurs ou de mes collaborateurs souhaite trouver l’URL, il peut la retrouver ce n’est pas gênant.

Par contre, si je suis dans un moment où je sais que je suis en train de subir des attaques parce que je reçois des alertes, ou j’ai des logs, etc. qui me disent “attention là tu es attaqué”, je vais changer le paramétrage et là maintenant c’est un message d’erreur, parce que je suis dans un moment critique et je ne veux pas laisser la main.

Comme c’est une option c’est changeable, une simple case à cocher, donc n’hésitez pas à le modifier en cours de route si vous avez l’info que votre site est sous attaque.

Alex : OK ! En plus ce qui est intéressant avec ce plugin, c’est que tu peux changer d’autres URLs, les URLs de rappel de mots de passe, etc.

Donc après tu peux mettre des choses on va dire “plus propres” plus compréhensibles pour des humains, ça, c’est aussi sympa.

Hébergez votre site chez o2switch

Faites comme WPMarmite, choisissez o2switch. Non seulement les performances sont au rendez-vous mais le support est exceptionnel.

ESSAYEZ O2SWITCH
o2switch

Conclusion

OK ! Je crois que tout est bon ! Vous trouverez bien sûr le plugin Move Login, vous aurez le lien sous la vidéo et donc SecuPress.me, c’est ça ?

Julio : Tout à fait !

Abonnez-vous à la chaîne YouTube de la Marmite et puis voilà, je pense qu’on a fait le tour.

Poser vos questions en commentaires on sera là pour y répondre.

Merci d’avoir suivi cette vidéo.

Julio : à la prochaine !

Alex : à très bientôt ! Ciao !

Dans le prochain “Point Sécu” on va parler de double authentification…. Késaco !

À propos de l'auteur

Alex

Créateur de WPMarmite et co-fondateur de WPChef, il a à coeur de vous proposer des ressources de qualité pour vous aider à créer, personnaliser et promouvoir des sites avec WordPress.