WordPress est un des CMS le plus piraté du monde tout simplement parce que c’est la solution la plus utilisée. Il y a cependant des choses assez simples à mettre en place pour limiter les attaques comme la page de connexion au back-office.
Petit sommaire pour voir directement ce que vous voulez :
– Mettre en place un recaptcha sur la page login
– Modifier l’URL de connexion au back-office
– Limiter le nombre de tentatives de connexion
Installer un captcha Google sur votre WordPress
Cette solution permet d’avoir une identification plus importante sur la page de connexion du back-office. En plus de l’identifiant et du mot de passe pour se connecter il faut valider la checkbox Google “je ne suis pas un robot” pour pouvoir rentrer sur le tableau de bord.
Pour cela il faut un plugin et créer une API Google recaptcha.
Téléchargez Login No Captcha reCAPTCHA depuis la page extension dans votre back-office WordPress.
Une fois que vous l’avez installé, il faut aller dans réglages :
Il faut rentrer les clés API Google pour que cela fonctionne.
Attention, si vous avez déjà créé une API par exemple pour mettre un captcha sur le formulaire de contact, n’utilisez pas les mêmes clés. Vous devez en créer des nouvelles.
Comment créer une API Google Captcha V2
Aujourd’hui il y a différentes versions de Captcha, la V2 et la V3 (dernière création en date de Google). Ce qui nous intéresse pour ce tutoriel WordPress, c’est la V2 pour avoir une checkbox “je ne suis pas un robot”. Si vous voulez en apprendre plus sur les versions voici un article intéressant.
Connectez-vous à l’admin console.
Ajoutez votre site :
Renseignez vos informations (en mettant votre nom de domaine) et cliquez sur envoyer.
Vous avez ensuite accès à vos clés. Vous devez les rentrer dans le plugin WordPress (en haut de l’article).
Changez l’URL d’accès au back-office WordPress
Tous les sites WP utilisent la même URL de connexion à l’admin avec /wp-admin/.
Est-ce le cas pour vous aussi ? Sûrement !
Imaginez, des milliers (millions?) de sites utilisent la même URL, nomdusite.fr/wp-admin/, ce n’est pas vraiment sécurisant.
Voici un plugin intéressant et facile à mettre en place : Protect Your Admin
Une fois installé, rendez-vous dans l’administration et choisissez la nouvelle URL de connexion. Renforcez là en utilisant des minuscules, majuscules et chiffres.
Limiter le nombre de tentative de connexion à la page login
Nativement sur ce cms, vous pouvez tenter 20 fois si vous voulez de rentrer un faux mot de passe. Un robot malveillant peut générer si il veut des milliers de tentatives pour trouver votre mot de passe. L’idéal est donc de bloquer les adresses IP qui n’arrivent pas à se connecter au back-office après un certain nombre d’essais.
Utilisez ce plugin : Login LockDown
Voici les différentes options du plugin ci-dessous. On peut déterminer le nombre de tentatives possibles, combien de temps l’utilisateur sera bloqué avant de retenter la connexion, bloquer directement l’utilisateur etc. Vraiment très efficace !
Une fois tout ça en place, pour se connecter, il va falloir aller à une URL particulière, rentrer ses informations (sans trop se rater niveau tentative) et valider un captcha pour pouvoir rentrer dans le back-office.
Le but étant de limiter les hacks possibles de votre site internet.
Si vous recherchez un hébergement sécurisant et expert sur la solution WordPress, je vous conseille WP Serveur :
Hello,
J’ai vu passer sur twitter ton article sur les informations concernant la sécurité de connexion, comme disait XavFun l’hébergeur aussi y est pour beaucoup. Je le vois sur mes sites ils sont très réactif et bloque les hackers et toutes leurs tentatives.
Je voudrais savoir lorsqu’on change le new admin url slug via le plugin Protect your admin doit – on faire une autre manip ailleurs ? Je l’ai changé par un autre new admin slug et validé jusque là parfait mais lorsque je voulais me reconnecter à mon admin impossible. C’est pour cela que je me demandais si il y avait une autre manipulation à faire ?
Merci.
Il faut re-enregistrer les permaliens mais normalement vous devez déjà être connecté donc pour retourner à la connexion utilisez wp-login.php à la fin de l’URL par exemple. Si c’est un site e-commerce, vous pouvez vous reconnecter via la page mon compte (pour les clients). Comme ça vous êtes connecté à votre compte admin et vous avez accès à wp-admin