Un site n’est jamais trop sécurisé.404-error

Pour sécuriser un WordPress, une technique consiste à déplacer les pages de connexion (wp-admin et wp-login) afin de cacher l’accès aux personnes qui ne sont pas invités ou tout simplement aux petits curieux.

Il existe toutes sortes de plugin pour le faire de manière simple et automatique (SF Move Login pour l’exemple) mais j’ai la bonne l’habitude de travailler avec un minimum de plugin pour un meilleur contrôle du code et du processus de manière générale.

Le plus « propre » est de sécuriser les pages wp-login et wp-admin et autre en modifiant le fichier .htaccess :

.htaccess
# CACHER LOGIN, REGISTER, ADMIN
# wp-login = mot-au-choix-login
RewriteRule ^mot-au-choix-login/?$ /wp-login.php?CLEF [R,L]
# wp-admin = mot-au-choix-admin
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
RewriteRule ^mot-au-choix-admin/?$ /wp-login.php?CLEF&redirect_to=/wp-admin/ [R,L]
#
RewriteRule ^mot-au-choix-admin/?$ /wp-admin/?CLEF [R,L]
# wp-login register = mot-au-choix-nouvel_utilisateur
RewriteRule ^mot-au-choix-nouvel_utilisateur/?$ /wp-login.php?CLEF&action=register [R,L]
#
RewriteCond %{SCRIPT_FILENAME} !^(.*)admin-ajax.php
RewriteCond %{HTTP_REFERER} !^(.*)URL-DE-VOTRE-SITE/wp-admin
RewriteCond %{HTTP_REFERER} !^(.*)URL-DE-VOTRE-SITE/wp-login.php
RewriteCond %{HTTP_REFERER} !^(.*)URL-DE-VOTRE-SITE/mot-au-choix-login
RewriteCond %{HTTP_REFERER} !^(.*)URL-DE-VOTRE-SITE/mot-au-choix-admin
RewriteCond %{HTTP_REFERER} !^(.*)URL-DE-VOTRE-SITE/mot-au-choix-nouvel_utilisateur
RewriteCond %{QUERY_STRING} !^CLEF
RewriteCond %{QUERY_STRING} !^action=logout
RewriteCond %{QUERY_STRING} !^action=rp
RewriteCond %{QUERY_STRING} !^action=register
RewriteCond %{QUERY_STRING} !^action=postpass
RewriteCond %{HTTP_COOKIE} !^.*wordpress_logged_in_.*$
# Si tentative d’entrer sur les anciennes url message : try_again
RewriteRule ^.*wp-admin/?|^.*wp-login.php /try_again [R,L]
#
RewriteCond %{QUERY_STRING} ^loggedout=true
RewriteRule ^.*$ /wp-login.php?CLEF [R,L]

 FONCTIONNEMENT :

  • mot-au-choix-login = un mot au choix qui remplacera /wp-login.php
  • mot-au-choix-admin = un mot au choix qui remplacera /wp-admin
  • mot-au-choix-nouvel_utilisateur = un mot au choix qui remplacera la page d’enregistrement d’un nouvel utilisateur
  • CLEF = une suite de lettre et de nombre au choix de préférence assez longue (20 caractère minimum)
  • URL-DE-VOTRE-SITE = url de votre site

Une fois les changements effectués, il faudra alors vous connecter a l’adresse :
votre-site.com/mot-au-choix-login

Have FUN.

 

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer