Méthodes pour restreindre l’accès à wp-admin et wp-login.php
Restreindre l’accès aux pages sensibles wp-admin et wp-login.php est essentiel pour protéger un site WordPress contre les attaques par force brute et les accès non autorisés. Voici les principales méthodes, avec leurs avantages et leurs limites.
Restriction par adresse IP via .htaccess
La méthode la plus radicale consiste à n’autoriser l’accès qu’à partir d’une ou plusieurs adresses IP spécifiques, en modifiant le fichier .htaccess à la racine de votre site. Cela bloque automatiquement toute tentative d’accès depuis une autre IP, y compris les robots et attaquants.
Exemple de code à ajouter dans .htaccess :
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.45.67.89
</Files>
Remplacez 123.45.67.89 par votre adresse IP réelle. Cette méthode est très efficace, mais elle peut poser problème si votre IP change fréquemment (connexion mobile, changement de FAI).
Authentification HTTP basique
Vous pouvez ajouter une couche d’authentification supplémentaire en protégeant wp-login.php (et éventuellement wp-admin) par un mot de passe HTTP, via le fichier .htaccess.
Exemple de code :
<FilesMatch "wp-login.php">
AuthUserFile "/chemin/absolu/vers/.htpasswd"
AuthType Basic
AuthName "Accès restreint"
Require valid-user
</FilesMatch>
Créez un fichier .htpasswd avec un couple utilisateur/mot de passe. Cette méthode est simple à mettre en place, mais elle n’est pas infaillible si le mot de passe est faible.
Modification de l’URL de connexion
Pour éviter que les robots ne trouvent la page de connexion par défaut, vous pouvez changer l’URL de wp-login.php grâce à des plugins comme WPS Hide Login ou WP Cerber Security. Ces outils permettent de définir une URL personnalisée pour la connexion, rendant l’accès par défaut inaccessible.
Procédure avec WPS Hide Login :
- Installez le plugin depuis l’administration WordPress.
- Allez dans Réglages > Général.
- Modifiez l’URL de connexion par une valeur personnalisée (ex :
/connexion-secrete).
Limitation des tentatives de connexion
Installez un plugin comme Limit Login Attempts Reloaded ou Loginizer pour limiter le nombre de tentatives de connexion autorisées depuis une même IP. Cela réduit considérablement le risque d’attaques par force brute.
Ajout d’un CAPTCHA
L’ajout d’un CAPTCHA (visible ou invisible) sur la page de connexion via des plugins comme reCAPTCHA by BestWebSoft ou Login No Captcha reCAPTCHA complique l’automatisation des attaques.
Surveillance et outils complémentaires
Utilisez des plugins de sécurité avancés (Wordfence, iThemes Security, Sucuri) pour surveiller les tentatives d’intrusion, bloquer les IP suspectes et recevoir des alertes en temps réel.
Tableau comparatif des méthodes
| Méthode | Facilité de mise en place | Efficacité contre les robots | Efficacité contre les humains | Limites principales |
|---|---|---|---|---|
| Restriction par IP (.htaccess) | Moyenne | Très élevée | Élevée (si IP fixe) | IP dynamique, accès nomade |
| Authentification HTTP | Simple | Élevée | Moyenne | Mot de passe faible |
| Modification de l’URL | Très simple (plugin) | Élevée | Moyenne | Plugin à maintenir |
| Limitation des tentatives | Très simple (plugin) | Élevée | Moyenne | Nécessite un plugin |
| CAPTCHA | Simple (plugin) | Élevée | Moyenne | Expérience utilisateur impactée |
Recommandations
- Combine
