Presque tout le monde sait comment atteindre la barrière de connexion à la zone d'administration de WordPress par défaut. Comme plus de 34% des sites web fonctionnent avec WordPress, il est facile pour les pirates de trouver et d'attaquer les zones de connexion de ces sites. C'est pourquoi les attaques de ce type, comme les attaques par force brute, font partie des attaques les plus fréquentes sur les sites WordPress. Une mesure de protection simple semble être de cacher la zone d'administration de WP. Je te montre aujourd'hui l'utilité de cette technique et comment tu peux la mettre en œuvre.
Les attaques par force brute sont probablement le type d'attaque le plus courant sur les sites WordPress. Rien que le fournisseur de sécurité Wordfence a mesuré près d'un milliard d'attaques de ce type en 2017, sans compter le nombre de cas non recensés. Pour limiter le risque de sécurité lié aux attaques par force brute, il est en principe judicieux de limiter les tentatives de connexion après un trop grand nombre de tentatives infructueuses. En outre, de nombreux webmasters WordPress utilisent une autre méthode : ils déplacent la zone WP-Admin de sorte qu'elle ne se trouve plus sous le suffixe wp-admin.
De nombreux plugins de sécurité proposent également une fonction correspondante. Ceux qui le peuvent s'aventurent aussi dans le fichier .htaccess. Mais cacher le domaine WP-Admin n'est pas une bonne mesure de sécurité en soi. Mais cela peut être un complément utile.
Cacher le WP Admin : Quel est l'intérêt ?
Derrière l'idée de cacher la zone d'administration de WP se cache le principe de security through obs curity ("sécurité par l' obscurité") - l'idée que la sécurité d'un système est plus forte tant que son fonctionnement reste secret. Autrement dit : si l'attaquant ne sait pas où se trouve ta porte d'entrée, il peut se faufiler autour de ta maison, mais il ne peut pas la cambrioler.
Lasécurité par l'obscurité - un tigre édenté en pratique
Cette approche est controversée parmi les experts - et ce n'est pas sans raison. Dans ce cas, le fait qu'une information soit sûre ne signifie pas qu'elle n'est plus accessible du tout. Elle existe, mais elle est cachée. Avec les bons outils, les pirates peuvent toujours trouver ta page de connexion s'ils le souhaitent.
Et c'est là qu'intervient le vrai problème de la security through obscurity: souvent, l'approche est utilisée pour masquer des problèmes qu'il faudrait plutôt éliminer complètement. Si ton nom d'administrateur est admin et ton mot de passe mot de passe123, le hacker sera en un clin d'œil dans ton backend s'il a trouvé ta page de connexion cachée.
En bref, une zone d'administration cachée n'empêche pas les attaquants de lancer une attaque, elle ne fait que prolonger le temps de travail à consacrer à l'attaque. Malheureusement, il est impossible de cacher complètement le fait que tes projets sont des sites WordPress. Cacher l'administrateur WP ne devrait donc en aucun cas être ta seule mesure de sécurité. Les personnes qui te visent ne s'en sortiront pas pour autant.
Le concept security through obscurity est donc idéalement une des nombreuses couches de ton concept de sécurité. Limit Login Attempts (LLA), un mot de passe fort avec une authentification à deux facteurs et - si tu en utilises un - un plugin de sécurité bien configuré sont un mélange judicieux. Cacher la zone d'administration n'est que la cerise sur le gâteau.
Dans certains cas, cacher l'administrateur du WP a toujours un sens
Il existe en fait des situations où il peut être parfaitement logique de cacher l'administrateur du WP :
- Le fait de cacher l'admin WP a une forte influence sur le sentiment de sécurité d'un site WordPress. Surtout si tu travailles pour un client, un WP-Admin caché a donc du sens pour maximiser le sentiment de sécurité de ton client.
- Si des pirates lancent une attaque par force brute sur ton site Web, il se peut que ton serveur Web "surchauffe" rien qu'en raison du nombre élevé de demandes. En déplaçant la zone d'administration, tu décourages au moins les attaques primitives par force brute dès le début.
- Tu peux surprendre certains clients en cachant la zone d'administration, par exemple en la déplaçant sous /NomDeL'Entreprise. Tu peux ainsi créer un petit effet de marque.
Comme vous pouvez le voir, ces mesures sont de nature plus cosmétique. Mais même une sécurité perçue comme plus élevée peut parfois aider. C'est pourquoi je vais vous montrer ci-dessous comment sécuriser votre administrateur WP avec et sans Plugins .
Utiliser des plugins uniquement pour cacher l'admin WP, est-ce que cela a un sens ?
Les gros plugins de sécurité permettent, en plus de nombreuses autres fonctions, de cacher la zone d'administration et la nature exacte de ton site. Comme je l'ai déjà dit, je vois cela d'un œil critique : installer un plugin encombrant juste pour changer une URL ne résout pas tous tes problèmes d'un seul coup. Ce n'est qu'après une réflexion approfondie sur le sujet que tu pourras décider quelles mesures de sécurité ont un sens pour ton projet.
Mais en ce qui concerne les plugins, tu as en principe deux options :
- des plugins légers conçus uniquement pour cacher la zone de connexion
- Les plugins qui permettent de cacher la zone de connexion, mais qui peuvent faire beaucoup plus.
Les plugins de sécurité complets sont plus encombrants en raison de leurs fonctionnalités avancées. C'est pourquoi ils ne sont en principe utiles que si tu sais ce que tu veux en faire : par exemple bloquer des IP très spécifiques, utiliser le Web Application Firewall (WAF) ou profiter du reporting des plugins.
Par contre, installer un gros plugin uniquement pour cacher la zone d'administration est une erreur. Ta vitesse de chargement en pâtira et tu n'auras au final que peu de valeur ajoutée. Et ce n'est pas non plus un substitut à l'étude des fonctions de sécurité.
Cacher la zone d'administration avec un plugin n'est donc conseillé que si tu peux l'utiliser sans perte de performance ou de fonctionnalité - comme un "nice to have". Je ne te conseille pas d'installer un gros plugin comme iThemes Security ou Wordfence spécialement pour cela.
Voici à la place deux alternatives plus légères pour cacher ta zone d'administration :
WPS Cacher la connexion
Ce plugin gratuit fait exactement une chose : il change les deux URL /wp-admin et /wp-login.php en adresses que tu as définies. Cela ajoute un obstacle pour les pirates et rend ton site un peu plus sûr. Avec plus d'un million d'installations actives et une note moyenne de 4,9 étoiles (sur plus de 2 000 évaluations !), le plugin a fait ses preuves dans la pratique.
WP Hide & Security Enhancer
Ce plugin gratuit cache le fait que ton site web fonctionne avec WordPress. On peut se demander si cela a un sens (avec un outil comme BuiltWith, cela peut être rapidement mis en lumière), mais en même temps, il change les URL /wp-admin et /wp-login.php en une autre URL de ton choix. Plus de 80.000 webmasters utilisent actuellement le plugin, la note moyenne est de 4,3 étoiles.
N'ayez pas peur d'un mauvais code : Sécuriser avec le .htaccess
Si tu veux cacher le fait que ton site web est une installation WordPress, tu peux le faire en utilisant certains des plugins que nous venons d'énumérer. Tu peux aussi t'attaquer directement au fichier .htaccess. C'est l'un des fichiers les plus importants pour les installations WordPress qui fonctionnent sur des serveurs Apache. Le .htaccess définit par exemple quels fichiers et répertoires de ton site web sont visibles et qui a accès à quoi.
.htaccess et Raidboxes
Raidboxes Les sites web ne fonctionnent pas sur les serveurs Apache, le .htaccess n'a donc aucune influence sur le serveur web. Si tu héberges ton WordPress sur Raidboxes , tu peux utiliser notre protection de connexion.
En apportant de petites modifications à ce fichier, tu peux ajouter une couche supplémentaire de sécurité à ton site Web. Concrètement, tu insères des bouts de code qui limitent l'accès à wp-config.php ou qui bloquent certaines IP. Je te recommande vivement de faire une sauvegarde de ce fichier avant toute modification - si quelque chose se passe mal, tu peux ensuite revenir rapidement et facilement à l'état initial. Quant au .htaccess, il suffit d'une petite erreur dans le code pour que ton site soit paralysé.
Variante 1 : n'autoriser que certains PI
En principe, un .htaccess permet de protéger n'importe quel répertoire - dans ce cas, tu veux sécuriser spécifiquement la zone admin. C'est pourquoi tu télécharges un nouveau .htaccess dans le répertoire wp-admin. En effet, si tu définis à la place dans le répertoire principal de WordPress que seules certaines IP ont accès, tu exclues toutes les autres de l'ensemble de ton site web au lieu de la seule zone d'administration.
Dans le .htaccess du répertoire admin, tu as maintenant la possibilité de bloquer des IP spécifiques de l'accès à ce même répertoire. Si tu utilises une IP statique, il est recommandé d'exclure toutes les IP sauf la tienne. Ainsi, tu seras le seul à avoir accès à l'espace admin.
Tu peux faire la même chose pour exclure les IP du site wp-login.php. Les IP non autorisées peuvent par exemple être redirigées vers une page 404 (ou une autre page de ton choix) et ne peuvent plus accéder au masque de connexion. Pour ce faire, il suffit d'insérer le code correspondant.
- Le codex WordPress décrit comment tu peux protéger les répertoires individuels de ton installation WordPress.
- Nos collègues de WP-Beginner montrent en détail comment protéger l'admin WP via le .htaccess
- L'éditeur de plugins wpmudev montre dans un guide complet comment utiliser .htaccess pour protéger tes sites web.
Variante 2 : Configuration de la protection par mot de passe (ou authentification à deux facteurs)
Une autre façon très utilisée de protéger la zone d'administration avec le .htaccess est de créer une authentification HTTP supplémentaire. Le serveur demande alors déjà les données d'accès correspondantes pour pouvoir accéder à ta page de connexion WordPress.
Cela signifie un peu plus d'efforts pour toi lors de la connexion, mais beaucoup d'attaquants jettent l'éponge à ce stade. Les attaques par force brute sont ainsi bloquées avant même d'avoir commencé. Cependant, même cette protection n'est pas complètement infaillible, car de nombreuses attaques passent par l'interface XMLrpc. Les pirates peuvent lancer des attaques DDoS et Brute Force via cette interface implémentée par défaut. Les attaques sont similaires à celles sur le site wp-admin, mais des centaines de combinaisons de logins et de mots de passe peuvent être demandées simultanément. C'est pourquoi il faut dire ici que la protection la plus utile n'est pas un login supplémentaire, mais une authentification à deux facteurs.
Mais pour ajouter une protection supplémentaire par mot de passe, tu as besoin d'un autre fichier en plus du .htaccess, à savoir le .htpasswd. Il contient les données d'accès dont tu as besoin pour t'authentifier. Pour les créer, tu peux utiliser les outils en ligne correspondants. Ils encodent ton mot de passe souhaité (par exemple Günterdergroße86) selon le format MD5 (Günterdergroße86 ressemble alors à : $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 fait partie des cinq formats de mot de passe avec lesquels le serveur Apache peut travailler. Au final, tu ne dois retenir que le mot de passe non crypté - le serveur se charge automatiquement du reste.
Le .htpasswd ainsi créé est placé au même niveau que le .htaccess, généralement le premier niveau de répertoire du répertoire WordPress.
Dans le .htaccess, tu définis maintenant que l'authentification HTTP doit avoir lieu lors de l'accès à wp-login.php, et tu crées un lien vers le .htpasswd via un extrait de code. Ainsi, le serveur peut accéder aux données d'accès préalablement définies dans l'autre fichier. Comment cela fonctionne est expliqué par exemple ici.
Le .htaccess précise ensuite qu'une autorisation est nécessaire pour accéder à /wp-login.php, et où le serveur trouvera les informations d'identification appropriées (notamment dans le .htpasswd). En outre, vous interdisez l'accès aux fichiers .htaccess, .htpasswd et wp-config.php pour garantir que personne d'autre que vous ne puisse reconfigurer votre installation.
Tout semble compliqué ? C'est vrai. De plus, il peut arriver que cette protection supplémentaire par mot de passe affecte la compatibilité des plugins. C'est pourquoi je conseille toujours une authentification à deux facteurs. Celle-ci est rapidement mise en place via un plugin et offre en outre une protection supplémentaire contre les intrusions non autorisées. En effet, les codes d'authentification sont transmis via un système externe.
"*" indique les champs requis
Conclusion : cacher l'admin WP peut être un gros travail - et les bénéfices sont plutôt cosmétiques.
Idéalement, vous protégez votre zone d'administration du WP de la manière la plus rationnelle possible. Vous ne devriez installer un grand plugin de sécurité que si vous configurez et utilisez également ses autres fonctions de manière raisonnable. Donc, si vous ne souhaitez que cacher l'administration du WP, nous vous conseillons d'aller aussi vite que possible Plugin. Toute autre solution serait excessive.
En tant que mesure de sécurité personnelle, le fait de cacher l'admin WP est de toute façon négligeable. En principe, aucun plugin ne remplace un mot de passe fort et la connaissance des principales failles de sécurité de WordPress. Et chaque nouveau plugin risque d'apporter des failles de sécurité dans le code. Il est donc important de bien réfléchir à ceux que tu installes et à leur nombre.
La protection à 100% n'existe pour aucun site web. A notre avis, cacher le domaine wp-admin n'apporte pas vraiment de sécurité supplémentaire. Mais cela peut contribuer fortement à la sécurité perçue. Surtout si tu travailles pour un client, tu ne dois pas sous-estimer le pouvoir de la perception du client. Mais cela ne suffit en aucun cas comme mesure de sécurité unique ou centrale. Mais si l'URL modifiée est conçue comme l'une des nombreuses couches de ton système de sécurité, elle peut tout à fait compléter ton concept de sécurité.
