Si vous regardez vos logs serveurs, vous vous rendrez vite compte qu’un certain nombre de « personnes » ou plutôt de robots tentent régulièrement de se connecter à votre WordPress, en particulier en provenance de Russie, de Chine ou d’Ukraine.
Il s’agit d’attaque par brute force, c’est à dire qu’ils vont tester toutes les combinaisons possibles et imaginables de login/password.
Pour se protéger des atttaques, on peut installer WordPress dans un dossier (exactement comme Prestashop), style « /data ». Attention il y aura une manip à la fin pour avoir les URLS sans le répertoire. Plus d’infos chez WordPress.
Le premier réflexe en installant WordPress est de NE PAS mettre « admin » comme login principal, puisque c’est évidemment le premier login que les pirates essaieront.
Le problème si vous avez déjà un utilistateur « admin » c’est que vous ne pouvez pas le changer sans toucher à la base de données.
Je vous conseille donc de créer un nouvel administrateur avec un joli nom comme « Toutou75 » et de mettre le profil « admin » en simple utilisateur voire même de l’effacer.
Il existe certains plugins WordPress qui bannissent les IP échouant à se connecter. Le plus simple et le plus efficace est : Limit Login Attempts. Vous choisissez vous-même le temps de bannissement et le nombre limite de tentatives.
Vous recevrez ainsi un mail à chaque fois qu’une adresse IP est bannie.
Mais comme les pirates changent d’IP à chaque fois ou utilisent un proxy, vous allez en recevoir toutes les 10 minutes…
La solution ultime est de modifier le nom du fichier de connexion à WordPress. si vous voulez savoir comment sécuriser WordPress, c’est à mon avis le meilleur moyen.
Comment on fait ?
1. Connectez-vous à votre FTP
2. Dans la racine, trouvez le fichier « wp-login.php »
3. Renommez-le (par exemple « connexion.php »)
4. Editez le fichier. A la ligne 634, modifiez « < ? php echo site_url('wp-login.php', 'login_post') ? > » par le nom de votre fichier (par exemple « connexion.php »)
5. connectez-vous toujours à partir de ce fichier (par exemple http://www.votresite.com/connexion.php)
Et voilà, votre WordPress est sécurisé !
Les commentaires sont fermés.
merci pour tous ces éclaircissements.Je cherchait à changer le nom du fichier de connexion et j’ai trouvé les étapes ici
Que faire des autres mentions de wp-login.php dans le nouveau connexion.php ? Cordialement.