L’URL de connexion à l’administration de WordPress hérite d’une convention unique pour l’ensemble des sites WordPress qui est /wp-login ou /wp-admin (qui redirige automatiquement vers wp-login, si vous n’êtes pas encore connecté). Comme vous vous en doutez, il est donc beaucoup plus simple pour un pirate d’accéder à la page de connexion de votre site WordPress. Je vais vous montrer comment s’affranchir de la convention unique par défaut de WordPress pour accéder à la zone d’administration de votre site.
Pour ces deux étapes, tout se passe au niveau des fichiers de votre site internet, il vous est donc recommandé par un client FTP (comme Filezilla), pour vous connecter à votre serveur et accéder aux fichiers présents à la racine de votre site. Une fois que cela est fait, vous avez la main sur l’entièreté des fichiers de votre site WordPress (vous pouvez créer, modifier et supprimer des fichiers).
Le fichier .htaccess permet un certain nombre d’ajustements pour la sécurité de votre site hébergé sur un serveur Apache.
Vous devez donc accéder aux fichiers de votre site internet, et sélectionner le fichier .htaccess qui figure à la racine de votre site. Si vous ne trouvez pas ce fichier, rendez-vous sur l’onglet Serveur de FileZilla et cliquez sur Forcer l’affichage des fichiers cachés. Si vous ne trouvez toujours pas ce fichier, il n’y a rien d’alarmant, ce dernier n’est pas indispensable pour qu’un site WordPress fonctionne, ce qui explique que tous les sites n’ont pas obligatoirement un fichier .htaccess par défaut (cela dépend des hébergeurs). Si le fichier n’est pas sur le site, il suffit de le créer en veillant à le nommer .htaccess.
Une fois le fichier ouvert, vous devrez ajouter les règles mod_rewrite suivantes à ce dernier :
<ifmodule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond %{HTTP_COOKIE} !^.*cookie\-admin\-blog=494198580.*$ [NC]
RewriteRule wp-login.php - [F]
</ifmodule>Une fois le fichier .htaccess modifié, n’oubliez pas d’enregistrer et de pousser les modifications vers votre serveur.
Toujours à la racine de votre site internet, vous devez créer un fichier PHP que vous nommerez par l’extension de la nouvelle URL de la page de connexion WordPress. Par exemple, si vous décidez que l’URL de connexion à l’administration de WordPress soit www.monsite.com/connexion.php, alors vous devrez nommer votre fichier connexion.php.
Puis, vous modifierez le nouveau fichier créé en ajoutant le code PHP suivant :
<?php
setcookie("cookie-admin-blog", 494198580);
header('Location: wp-login.php');
?>Une fois votre fichier créé et ces lignes de code ajoutées, n’oubliez pas d’enregistrer les modifications et de les pousser vers votre serveur.
Si votre nom d’utilisateur et votre mot de passe restent secrets, il est toujours utile de repousser un potentiel pirate le plus possible de votre page de connexion WordPress, surtout que la convention d’accès qui se trouve derrière votre URL est unique à tous les sites. C’est pourquoi je vous recommande cette astuce qui ne mange pas de pain. Aussi, lorsque vous vous connecterez avec votre nouvelle adresse URL, n’oubliez pas d’ajouter .php à la fin de votre nouvelle URL de connexion pour accéder à la page de connexion WordPress, et surtout, ne communiquez votre adresse de connexion qu’aux personnes censées accéder à l’administration de votre site.
Pour en savoir davantage en ce qui concerne la sécurité votre site WordPress, je vous invite à consulter cette rubrique: Conseils de sécurité.
