Cacher wp-admin pour améliorer la sécurité de votre site WordPress

Pourquoi cacher wp-admin ?

Par défaut, WordPress permet à toute personne connaissant l’URL de votre site de tenter d’accéder à l’administration via wp-admin ou wp-login.php. Cette visibilité rend votre site vulnérable aux tentatives d’intrusion, notamment aux attaques de force brute, où des hackers essaient systématiquement des combinaisons de noms d’utilisateurs et de mots de passe jusqu’à trouver la bonne. En cachant cette page, vous réduisez considérablement l’exposition de votre site à ce type d’attaques.

Risques liés à un wp-admin visible :

• Attaques de force brute : Les bots et hackers exploitent souvent la page de connexion par défaut pour deviner vos identifiants.
• Consommation de ressources : Des attaques répétées sur votre page de connexion wp-login.php peuvent surcharger votre serveur et ralentir votre site voire le rendre indisponible.
• Accès non autorisé : Un hacker qui réussit à accéder à wp-admin peut potentiellement prendre le contrôle de votre site.

En sécurisant cet accès, vous protégez non seulement l’intégrité de votre site, mais aussi celle des données de vos utilisateurs.

Méthode 1 : Utilisation de plugins pour cacher wp-admin

Le plugin WPS Hide Login est un outil de sécurité gratuit et très populaire. Il permet d’ajouter simplement des règles de réécriture pour changer l’URL de connexion sans modifier les fichiers de WordPress ce qui va empecher l’accès à la page de connexion. Voici un guide étape par étape pour l’utiliser et sécuriser votre site.

Étapes de configuration :

1 – Installer et activer le plugin :

• • Allez dans le menu « Extensions » de votre tableau de bord WordPress, cliquez sur « Ajouter » et recherchez WPS Hide Login.
  • Installez puis activez le plugin.

2 – Configurer une URL personnalisée :

• • Une fois activé, allez dans Réglages > Général.
  • Faites défiler jusqu’à la section de l’extension WPS Hide Login.
  • Dans le champ dédié, remplacez l’URL par défaut wp-admin par une URL personnalisée de votre choix dans l’outil (par exemple, /admin-securise).

3 – Sauvegarder les options:

• • Cliquez sur Enregistrer les modifications. Désormais, la page wp-admin sera inaccessible à tous, sauf via l’URL personnalisée. Toute tentative d’accès à l’ancienne URL wp-login.php sera redirigée vers une page 404.

Cette méthode permet de cacher votre page d’administration sans affecter les fichiers du cœur de WordPress, tout en améliorant la sécurité de votre site contre les attaques.

Méthode 2 : Cacher wp-admin avec .htaccess

Pour ceux qui sont à l’aise avec les fichiers du serveur, il est possible de cacher wp-admin manuellement en modifiant le fichier .htaccess. Cette méthode offre un contrôle plus granulaire sur l’accès à votre site, notamment en restreignant l’accès à certaines adresses IP.

Comment procéder avec le fichier .htaccess :

1. Accédez à votre serveur via FTP et ouvrez le fichier .htaccess dans le répertoire racine de WordPress.
2. Ajoutez les règles suivantes pour limiter l’accès à wp-admin :
   <Files wp-login.php>
   order deny,allow
   deny from all
   allow from VOTRE_IP
</Files>
3. Remplacez VOTRE_IP par l’adresse IP autorisée à accéder à la page de connexion.

Cela empêche quiconque en dehors des adresses IP autorisées d’accéder à wp-admin et wp-login.php, ajoutant ainsi une couche de sécurité renforcée. Cette technique est redoutablement efficace contre les techniques de piratage automatisées.

Méthode 3 : Autres stratégies pour améliorer la sécurité de wp-admin

En plus de cacher wp-admin, il est essentiel de mettre en place d’autres bonnes pratiques pour garantir une sécurité optimale. Voici quelques mesures de sécurité supplémentaires :

• Utilisez l’authentification à deux facteurs (2FA) : Cela exige une étape supplémentaire lors de la connexion, comme un code envoyé sur votre téléphone, ce qui complique la tâche des hackers.
• Limiter les tentatives de connexion : Plugins comme Limit Login Attempts Reloaded bloquent les adresses IP après un certain nombre de tentatives échouées.
• Sécurisez les mots de passe : Assurez-vous que vos mots de passe sont suffisamment complexes et uniques pour réduire les risques d’intrusion.

Intégration de la maintenance de votre site dans la stratégie de sécurité

La sécurité de votre site ne se limite pas à masquer wp-admin. Une maintenance régulière est essentielle pour assurer la protection continue de votre site. Mon service de maintenance WordPress garantit que toutes vos extensions et thèmes sont à jour, éliminant ainsi les vulnérabilités connues. De plus, je propose un audit complet de votre site pour identifier les points faibles et proposer des solutions adaptées.

Les avantages d’une approche proactive de la sécurité

• Réduction des attaques automatisées : Cacher wp-admin réduit les tentatives d’attaque de bots, qui visent souvent la page de connexion par défaut.
• Amélioration des performances : Moins de tentatives d’accès infructueuses sur votre page de connexion permet de réduire la charge serveur, améliorant ainsi les performances globales du site.
• Renforcement global de la sécurité : En combinant cette approche avec d’autres mesures, telles que l’authentification à deux facteurs et la limitation des tentatives de connexion, vous augmentez la protection de votre site pour vos visiteurs.

Conclusion

Cacher l’url de connexion « wp-admin » est une étape simple mais cruciale pour protéger votre site WordPress et l‘ensemble du réseau des attaques. En utilisant un plugin de

Cependant, cette méthode ne suffit pas à elle seule. Il est essentiel de combiner cette approche avec une maintenance régulière et des audits de sécurité pour garantir la sécurité continue de votre site et rendre la tâche des hackers bien plus compliquée.

Pour aller plus loin dans la protection de votre site, vous pouvez me contacter pour effectuer un audits complet de votre site WordPress. Ensemble, nous mettrons en place une stratégie complète de protection contre les pirates sophistiqués.