WPS Hide Login fait partie des nombreuses extensions disponibles sur le logiciel WordPress. Il a pour rôle de remplacer rapidement et efficacement l’adresse de la page d’identification de votre site web par une autre personnalisée. Cette action permet ainsi de bloquer toutes les tentatives d’accès provenant des robots automatiques et/ou des pirates. Gratuit et très léger, ce plugin a été développé et proposé par WPServeur, hébergeur premium des sites WordPress et expert en sécurité. Il est traduit dans 22 langues et est compatible avec les touts dernières versions de notre CMS préféré.

WPS Hide Login : description et caractéristiques de l’extension

L’adresse traditionnelle pour se connecter à un site WordPress se présente par défaut sous la forme : votresite.fr/wp-login.php. Tous les utilisateurs l’ont surement déjà remarqué. Malheureusement, cette nomenclature si connue favorise les hacks ainsi que les tentatives d’accès au tableau d’affichage. En effet, elle permet aux robots et aux pirates d’identifier facilement les vulnérabilités et/ou les points d’entrée dans le site afin de se connecter à la partie administration.

Pour rappel, les différentes techniques de piratage et astuces de piratage sur WordPress se basent sur la page d’administration. Dans le cas des tentatives de type « Brute Force », le processus est très simple. Il consiste en effet à tester automatiquement et rapidement toutes les combinaisons possibles de nom d’utilisateur et de mots de passe jusqu’à trouver la bonne clé. A cette fin, le programme informatique utilise les identifiants les plus courants. Il devient alors nécessaire de protéger ce chemin d’accès avec des mesures adaptées.

C’est dans cette optique que le plug-in a été conçu. Il s’agit d’un outil de sécurité gratuit qui permet de changer l’adresse d’accès au formulaire de connexion par une autre unique. Une fois activée, l’extension modifie et rend inaccessible le répertoire « wp-admin » ainsi que l’adresse par défaut du site concerné. Ainsi, le tableau d’affichage devient plus difficile à localiser pour les pirates et les robots. Et pour cause, tous les essais et recherches effectués à cet effet se heurteront à une erreur 404.

WPS Hide Login : comment fonctionne-t-il ?

Avec plus d'un million installations à son actif, WPS Hide Login agit uniquement sur la syntaxe de l’URL. En effet, il s’agit d’une fonction super légère qui intercepte tout simplement les demandes de page. Elle ne change pas la nature des fichiers du noyau et ne touche pas aux règles de réécriture. Pour que l’outil fonctionne correctement, des mises à jour régulières y sont ajoutées. En cas de problème, il suffit de la désactiver dans votre page d’administration pour revenir à la configuration précédente.

WPS Hide Login est mis à jour régulièrement et s’adapte à tous les  WordPress. Elle est également compatible avec tous les plugins qui se connectent au formulaire proposé pour se connecter. Une fois activée, le plug-in n’empêche pas le fonctionnement des réglages d’accès à la page. Il s’agit notamment des formulaires prévus pour les inscriptions et ceux pour les pertes de mot de passe. Il en est de même pour le widget pour se connecter et les sessions expirées qui demeurent toujours fonctionnels.

Processus d’installation du WPS Hide Login

WPS Hide Login est disponible sur wordpress.org, plus précisément depuis le tableau de bord de votre site. Pour le trouver, vous devez aller dans la rubrique Outils > Extensions › Ajouter puis effectuer une recherche au moyen de la barre prévue à cet effet. Sur la fiche de présentation qui s’affiche se trouve le bouton « Télécharger » qui permet de récupérer et d’installer la version du plug-in en vigueur. Il est également possible de télécharger le dossier.zip de WPS Hide Login directement depuis le répertoire des extensions du site officiel de WordPress.

Quelle que soit l’option choisie, vous devez penser à activer l’extension avant de la configurer. Cette étape est également très simple à réaliser. Elle consiste à insérer la nouvelle URL, celle qui permet d’accéder à votre site, dans les paramètres. Pour ce faire, vous devez aller dans "Réglages" puis l'onglet "Général" puis l'option "WPS Hide Login". Les options de configuration proposées sont les suivantes :

• le champ « Adresse de connexion » : Il sert à recueillir l’adresse web qui remplacera celle proposée par défaut par WordPress. La suite de caractères doit être sans espace et sans accent. Il faudra également choisir quelque chose d’assez créatif pour s’en souvenir et d’assez compliqué pour être deviné. Vous devez ensuite enregistrer les modifications en cliquant sur le bouton bleu.
• le champ « Adresse de redirection » : par défaut, celle-ci permet d’afficher la page d’erreur 404. Pour ceux qui le désirent, il est possible de mettre une autre information. Le plus important est que la configuration redirige toute personne qui essaie de se connecter depuis wp-login.php ou/wp-admin/vers une autre page.

Vous avez par ailleurs la possibilité de modifier les différentes options autant que vous le voulez.

Configuration et utilisation de WPS Hide Login : recommandations

Vous venez de changer le chemin d’accès à votre site ? il faut savoir que cette adresse est celle que vous utiliserez lors de votre prochaine session. Il est donc important de la mettre en signet ou en favoris dans votre navigateur, voire la noter quelque part afin de ne pas l’oublier. Si malgré toutes ces précautions, vous n’avez pas accès au forum, il existe une autre solution. Elle consiste à désactiver la fonction WPS Hide Login depuis le gestionnaire de fichiers ou FTP. A cette fin, vous pourrez utiliser un logiciel comme Filezilla puis renommer le dossier "/wp-content/plugins/wps-hide-login/".

WPS Hide Login peut être utilisé sur plusieurs sites, possédant des sous-domaines et même des sous-dossiers. Autrement dit, son utilisation pour un réseau donné est par défaut valable pour l’ensemble du réseau. Pour ceux qui le veulent, il est possible de renommer la page des identifiants de leurs sites individuels.

Par ailleurs, WPS Hide Login ne fonctionne pas avec des plugins ou des thèmes dont les codes source ont subi des modifications. De même, pour ceux qui utilisent un outil de mise en cache, l’idéal serait d’y exclure l’adresse de la nouvelle page d’accès à votre site. Il faudrait aussi inclure le slug du nouveau chemin d’accès parmi les pages exclues du cache. Cela permet d’éviter tout problème d’autorisation. Cette recommandation n’est toutefois pas valable pour WP Rocket. Et pour cause, ce dernier a été automatiquement configuré pour le faire. De leur côté, les extensions W3 Total Cache et WP Super Cache ont une particularité. Elles affichent en effet une notification avec un lien qui permet de mettre à jour le champ concerné.

Il faudrait également faire attention au fichier.htaccess qui dans certains cas peut verrouiller l’utilisateur hors du site. C’est le cas des outils qui modifient le fichier en question. On évite également de l’éditer manuellement au risque de rencontrer des erreurs en ce qui concerne WPS Hide Login. De même, avant d’installer un nouvel instrument, il est conseillé de s’assurer au préalable qu’il n’agisse pas sur le fichier.htaccess. Pour ce faire, il faut essayer de contacter le développeur des deux solutions. Si vous avez la chance d'être hébergé chez WPServeur, ce point ne vous concerne pas ! En effet, les serveurs NGINX utilisés n'ont pas recours à un fichier .htaccess. La configuration serveur qui s'y substitue est totalement compatible avec le plugin.

6 conseils pour optimiser la sécurité d’un site WordPress

WPS Hide Login n’est pas la seule méthode pour rendre WordPress plus sûr. Il existe en effet de nombreuses autres solutions et astuces qui compliquent la tâche aux pirates, robots et autres menaces du web.

Associer WPS Limit Login

Couplée avec WPS Hide Login, cette extension a pour but de limiter le nombre de tentatives d’accès et de hacks. En effet, l’outil utilise des Cookie Authentication qui, pour chaque adresse IP, n’autorisent qu’un certain nombre d’erreurs. Ainsi, une fois la limite atteinte, l’envoi de toutes les autres tentatives à une adresse Internet reste bloqué. La méthode des hackeurs étant d’utiliser plusieurs combinaisons, ce WPS rend une attaque dite par force brute difficile, voire impossible. L’extension offre par ailleurs de nombreux avantages :

• Nombre de nouvelles tentatives entièrement personnalisables ;
• Rappels sur le nombre de tentatives restantes ;
• Compatible avec le pare-feu du site Web Sucuri ;
• Possibilité de mettre des adresses IP en liste blanche/liste noire ;
• Fonction de reverse proxy ;
• Utilisation en multisites avec des paramètres MU supplémentaires.

Supprimer le compte administrateur et changer de mot de passe

C’est l’une des solutions les plus simples à mettre en place. Compatible avec WPS Hide Login, le processus devient efficace lorsqu’il est répété régulièrement et que certaines précautions sont prises. Il est ainsi recommandé de supprimer le compte admin permettant de se connecter à l’administration WordPress. Cela consiste aussi à remplacer l’identifiant par défaut par un autre. Celui-ci doit alors être personnel et impossible à deviner.

Toujours à cette fin, il est préférable de changer son mot de passe au moins chaque trimestre. Le but étant de compliquer la tâche aux pirates, vous devez choisir une chaîne de caractères unique et assez forte. Celle-ci doit donc contenir au moins 12 caractères, des lettres minuscules et majuscules ainsi que des chiffres et des caractères spéciaux. Voici un exemple de mot de passe fort : Stratégie_Digitale@1020.

Sauvegarder régulièrement la base de données

La sauvegarde régulière de votre site web permet d’éviter les mauvaises surprises. Surtout si vous avez l’habitude d’effectuer des mises à jour. En effet, tous les sites possèdent des informations très sensibles telles qu’il vaudrait mieux ne pas perdre. C’est le cas des fichiers de comptabilité, de la base de données des clients, des programmations… Cette précaution permet donc de réintégrer rapidement toutes ces informations en cas de piratage ou de perte du site.

L’idéal serait donc d’effectuer un archivage régulier de ces données, à savoir chaque semaine. Pour vous retrouver facilement, vous devez penser à noter quelque part le nom du dossier de sauvegarde ainsi que la date et le jour de l’opération. Bien évidemment, le procédé peut être fait manuellement. Mais, il existe des outils gratuits qui permettent aussi d’y arriver facilement. En voici quelques-unes que vous pourriez essayer

• UpdraftPlus ;
• BackWPup ;
• BackUpWordPress ;
• BackupGuard ;
• WordPress Backup to Dropbox ;

Cependant, cette précaution est inutile sur WPServeur. En effet, tous nos abonnements incluent des sauvegardes quotidiennes et mensuelles de vos fichiers et votre base de données.

Vérifier régulièrement les mises à jour

L’autre technique pour protéger son site ou son blog consiste à faire régulièrement des mises à jour. En effet, que ce soit au niveau du CMS ou pour l’ensemble des extensions, de nouvelles failles sont trouvées régulièrement. Laisser ses versions obsolètes, c’est offrir plus de chance aux pirates d’accéder à votre site/blog. Pour y remédier, vous devez vérifier régulièrement si des updates sont disponibles et les installer aussitôt. Au préalable, vous devez vous assurer que les conditions exigées pour votre site et votre hébergement web soient remplies.

Il est également essentiel que vos thèmes soient compatibles avec les différents outils que vous choisissez. Et, lorsqu’une nouvelle mise à jour est publiée, il vaudrait mieux prendre la peine de vérifier sa stabilité. Pour cela, vous pouvez vous fier aux avis des autres utilisateurs. Vous devez enfin faire une sauvegarde afin de pouvoir la restaurer s’il y a un problème suite l’installation.

Miser sur des Plug-ins secure antivirus

Vous avez installé un antivirus pour votre ordinateur ? Le principe est le même pour sécuriser votre WordPress. Les outils en question ont pour rôle de le protéger contre les attaques de force brute. Ils assurent entre autres les fonctions de surveillance active des listes noires, de scan de fichiers, de recherche de logiciels malveillants, de pare-feu et d’actions post-hack. Ils envoient également des notifications en cas de détection d’une menace. Voici quelques exemples d’extension antivirus : WordFence Security, WebDefender, iThemes Security, CleanTalk, SecuPress et bien encore.

Sur WPServeur, la grande majorité de ces extensions ne sont pas acceptées car elles font doublon avec nos 30 mesures de sécurité installées par défaut sur notre infrastructure. Leur utilisation est donc inutile.

Cependant, il ne suffit pas d’installer ces extensions pour être à l’abri du danger. Bien au contraire ! Vous devez veiller à les mettre à jour régulièrement. C’est ce qui permettra de prendre en compte les nouveaux virus ainsi que les récentes méthodes de piratage.

Cacher la version du logiciel utilisée

Cette méthode fait partie des rappels très importants pour contrer l’action toute action malveillante sur WordPress. Elle permet en effet de cacher la version du logiciel que vous utilisez afin que les pirates n’exploitent pas l’une des failles relevées par les utilisateurs. Pour masquer, vous avez le choix entre supprimer le fichier readme.html dans la racine de votre site et effectuer un changement dans le fichier functions.php.

A cela, vous pouvez ajouter une dernière précaution : bloquer l’accès à tous les dossiers de votre site. En effet, par défaut, ces derniers sont en accès libre sur la plateforme. Pour vous protéger, il est donc impératif d’empêcher la navigation dans ces dossiers. Cela se fait par modification des conditions d’accès via le .htaccess. Toujours à cette fin, vous pouvez également utiliser des outils comme Hide My WordPress. Su WPServeur, il s'agit d'une de nos 30 mesures de sécurité installées nativement sur nos serveurs.