Si vous regardez vos logs serveurs, vous vous rendrez vite compte qu’un certain nombre de « personnes » ou plutôt de robots tentent régulièrement de se connecter à votre WordPress, en particulier en provenance de Russie, de Chine ou d’Ukraine.
Il s’agit d’attaque par brute force, c’est à dire qu’ils vont tester toutes les combinaisons possibles et imaginables de login/password.
Installer votre WordPress dans un dossier
Pour se protéger des atttaques, on peut installer WordPress dans un dossier (exactement comme Prestashop), style « /data ». Attention il y aura une manip à la fin pour avoir les URLS sans le répertoire. Plus d’infos chez WordPress.
Changer le login de l’administrateur par défaut
Le premier réflexe en installant WordPress est de NE PAS mettre « admin » comme login principal, puisque c’est évidemment le premier login que les pirates essaieront.
Le problème si vous avez déjà un utilistateur « admin » c’est que vous ne pouvez pas le changer sans toucher à la base de données.
Je vous conseille donc de créer un nouvel administrateur avec un joli nom comme « Toutou75 » et de mettre le profil « admin » en simple utilisateur voire même de l’effacer.
Installer des plugins de sécurité
Il existe certains plugins WordPress qui bannissent les IP échouant à se connecter. Le plus simple et le plus efficace est : Limit Login Attempts. Vous choisissez vous-même le temps de bannissement et le nombre limite de tentatives.
Vous recevrez ainsi un mail à chaque fois qu’une adresse IP est bannie.
Mais comme les pirates changent d’IP à chaque fois ou utilisent un proxy, vous allez en recevoir toutes les 10 minutes…
Changer le nom du fichier de connexion
La solution ultime est de modifier le nom du fichier de connexion à WordPress. si vous voulez savoir comment sécuriser WordPress, c’est à mon avis le meilleur moyen.
Comment on fait ?
1. Connectez-vous à votre FTP
2. Dans la racine, trouvez le fichier « wp-login.php »
3. Renommez-le (par exemple « connexion.php »)
4. Editez le fichier. A la ligne 634, modifiez « < ? php echo site_url('wp-login.php', 'login_post') ? > » par le nom de votre fichier (par exemple « connexion.php »)
5. connectez-vous toujours à partir de ce fichier (par exemple http://www.votresite.com/connexion.php)
Et voilà, votre WordPress est sécurisé !
27 janvier 2015
merci pour tous ces éclaircissements.Je cherchait à changer le nom du fichier de connexion et j’ai trouvé les étapes ici
24 juillet 2016
Que faire des autres mentions de wp-login.php dans le nouveau connexion.php ? Cordialement.