Je vais partir dans une série de petites astuces à mettre en place sur votre WordPress pour en améliorer la sécurité. Et aujourd’hui, je vais vous expliquer comment masquer les erreurs de login.

Sur la page de login (/wp-admin/ ou wp-login.php), il est relativement simple de savoir si vous vous êtes trompé au niveau de l’identifiant ou du mot de passe grâce au message d’erreur qui s’affiche.

Par exemple, si je tape n’importe quoi comme login, j’obtiens le message suivant :

erreurlogin

Je sais donc que c’est le login qui n’est pas bon. Par contre, si j’ai le bon login, il m’indique ceci :

erreupass

Je sais donc qu’il ne me reste plus qu’à trouver le mot de passe. Niark niark niark !

Donc pour éviter qu’un attaquant ne se serve de cette information pour « deviner » votre identifiant, il suffit de masquer le message d’erreur grâce à ce petit bout de code à rajouter dans le fichier functions.php présent dans le répertoire de votre thème.

add_filter('login_errors', create_function('$a', "return null;"));

corrige

Ainsi, impossible de savoir si c’est au niveau du login ou du mot de passe qu’on s’est planté.

Une autre solution un peu plus élégante permet aussi de changer tout simplement le message d’erreur. Pour cela, mettez ceci dans le fichier functions.php de votre thème.

add_filter('login_errors', create_function('$no_login_error', "return 'Mauvais identifiants';"));

Ainsi que vous entriez un mauvais login ou un mauvais mot de passe, vous obtiendrez toujours le message suivant :

gloomy

En continuant à utiliser le site, vous acceptez l’utilisation des cookies. Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer