Cacher le WP Admin : Populaire, coûteux et peu efficace

Tobias Schüring Dernière mise à jour le 20.10.2020
9 Min.
cacher wp admin
Dernière mise à jour le 20.10.2020

Presque tout le monde sait comment atteindre la barrière de connexion à la zone d'administration par WordPress défaut. Depuis plus de 34 % de l'ensemble des sites web il WordPress est facile pour les pirates de trouver et d'attaquer les zones de connexion de ces pages. C'est précisément pour cette raison que les piratages correspondants, comme Brute Forceles attaques, appartiennent à la les attaques les plus fréquentes sur les WordPress pages. Une simple mesure de protection semble être de cacher la zone d'administration du WP. Aujourd'hui, je vais vous montrer l'utilité de cette technique et comment vous pouvez la mettre en œuvre.

Brute Force Attaques sont probablement le type d'attaque le plus courant sur les WordPress pages en général. Le fournisseur de sécurité Wordfence a mesuré à lui seul près d'un milliard d'attaques de ce type en 2017 en quelques mois cette année, sans compter le nombre d'attaques non signalées. Afin de limiter le risque d'Brute Forceattaques, il est en principe logique de limiter les tentatives de connexion après un trop grand nombre d'échecs. En outre, de nombreux WordPress webmasters utilisent une autre méthode : ils déplacent le WP admin area, de sorte qu'il ne peut plus être trouvé sous le suffixe wp-admin.

De nombreux plugins de sécurité offrent donc une fonction correspondante. Qui peut également oser accéder au fichier .htaccess. Mais cacher la zone administrative du WP n'est pas vraiment une bonne mesure de sécurité en soi. Mais il peut être un complément utile.

Cacher le WP Admin : Quel est l'intérêt de tout cela ?

Derrière l'idée de cacher la zone d'administration du WP se cache le principe la sécurité par l'obscurité ("sécurité par l'obscurité/l'incertitude") - l'idée que la sécurité d'un système est plus forte tant que son fonctionnement reste secret. En d'autres termes : si l'agresseur ne sait pas où se trouve votre porte d'entrée, il peut se faufiler dans votre maison mais ne peut pas s'y introduire.

La sécurité par l'obscurité - en pratique, un tigre édenté

Cette approche fait l'objet de discussions controversées parmi les experts - et non sans raison. Dans ce cas, le fait qu'une information soit sécurisée ne signifie pas qu'elle ne soit pas accessible du tout. Elle est là - mais cachée. Mais avec les bons outils, les pirates peuvent toujours trouver votre page de connexion s'ils le souhaitent.

Et voici le véritable problème de la sécurité par l'obscurité dans le jeu : souvent, l'approche est utilisée pour cacher des problèmes qui devraient plutôt être complètement éliminés. Votre nom d'administrateur est-il admin et votre mot de passe Mot de passe 123 !le hacker est dans votre backend en un rien de temps s'il a trouvé votre page de connexion cachée.

En bref : une zone d'administration cachée n'empêche pas les attaquants de vous attaquer, mais ne fait que prolonger le temps de travail nécessaire pour réaliser l'attaque. Malheureusement, il est impossible de cacher complètement le fait que votre WordPress -projets autour de WordPress -pages. Cacher le WP-Admin ne devrait pas être votre seule mesure de sécurité. Celui qui vous vise ne pourra pas s'échapper.

Le concept la sécurité par l'obscurité est donc idéalement l'une des nombreuses couches de votre concept de sécurité. Les tentatives de connexion limitées (LLA), un mot de passe fort avec une authentification à deux facteurs et - si vous en utilisez finalement un - une sécuritéPlugin bien configurée constituent un mélange judicieux. La dissimulation de la zone administrative n'est que la cerise sur le gâteau.

Dans certains cas, cacher le WP-Admin est néanmoins logique

Mais il y a en fait certaines situations dans lesquelles il peut être judicieux de cacher le WP-Admin :

  • Le fait de cacher le WP-Admin a une forte influence sur la perception de la sécurité d'un WordPress site. Surtout si vous travaillez pour le compte d'un client, un WP-Admin caché est judicieux pour maximiser la perception de sécurité de votre client.
  • Si les pirates informatiques trouvent un Brute Force Si une attaque est lancée sur votre site, votre serveur web peut "surchauffer" simplement en raison du nombre élevé de demandes. Si vous déplacez la zone d'administration, vous utiliserez au moins des Brute Force Attaque déjà au début le vent des voiles.
  • Vous pouvez surprendre certains clients en cachant la zone d'administration, par exemple si vous la déplacez sous /nom de l'entreprise. Ainsi, vous pouvez créer un effet de marque petit mais fin.

Comme vous pouvez le constater, ces mesures sont plutôt de nature cosmétique. Mais parfois, une perception plus élevée de la sécurité peut même aider. C'est pourquoi je vais vous montrer dans ce qui suit comment vous pouvez sécuriser votre WP-Admin avec et sansPlugins.

Plugins juste pour cacher l'administration, est-ce que cela a un sens ?

Parmi les caractéristiques de sécuritéPlugins intéressantes, citons la possibilité de masquer la zone d'administration et la nature exacte de votre site. Comme je l'ai déjà dit, j'adopte un point de vue critiqueL'installation d'un encombrant Pluginjuste pour changer une URL ne résout pas tous vos problèmes en même temps. Ce n'est qu'après un examen approfondi du sujet que vous pourrez décider des mesures de sécurité à prendre pour votre projet.

Mais dans les affairesPlugins, vous avez essentiellement deux options :

  • slimPlugins, qui ont été développés uniquement pour masquer la zone de connexion
  • Pluginsqui incluent le masquage de la zone de connexion, mais peuvent faire beaucoup plus

Sécurité globalePlugins sont plus volumineux en raison de leur fonctionnalité étendue. Par conséquent, elles n'ont en principe de sens que si vous savez ce que vous voulez en faire : par exemple, bloquer des IP très spécifiques, utiliser le pare-feu d'application Web (WAF) ou être exclu du signalement de la Plugins profit. La question de savoir dans quelle mesure la sécurité est senséePlugins sont réels, nous répondons aussi dans cet article.

Installer un grand Pluginécran juste pour cacher la zone d'administration est excessif. Votre vitesse de chargement en souffre et vous n'avez pratiquement aucune valeur ajoutée. Et cela ne remplace pas le traitement des éléments de sécurité.

Il est conseillé de masquer la zone d'administration avec un Pluginseul élément, uniquement si vous pouvez l'utiliser sans perte majeure de performance ou de fonctionnalité - comme un agréable à avoir. Un extra pour cela un grand Plugincomme iThemes Security ou Wordfenceà installer, je ne le recommanderais pas.

Voici plutôt quelques alternatives plus fines pour cacher votre zone d'administration :

WPS Cacher la connexion

wps cacher login
Le WP-Admin peut être caché avec le WPS Hide LoginPlugin, par exemple.

Ce libre Pluginfait exactement a Chose : Il modifie les deux URL /wp-admin et /wp-login.php pour les adresses que vous spécifiez. Cela constitue un obstacle supplémentaire pour les pirates informatiques et rend votre site un peu plus sûr. Avec plus de 400 000 installations actives et une note moyenne de 4,9 étoiles (avec plus de 1 100 notes !), cela Plugina été prouvé dans la pratique.

Protégez votre administration

protéger votre administration
En option, cela fonctionne également avec le programme PluginProtect Your Admin.

Le Plugin est, malgré quelques fonctionnalités supplémentaires, l'un des plus légers du marché et vous permet de spécifier une URL personnalisée pour /wp-admin et /wp-login.php. Toute personne essayant d'accéder à l'une ou l'autre de ces pages se retrouvera sur votre page d'accueil à la place. 40 000 utilisateurs ont utilisé cette Plugin actuellement installé, le classement moyen est de 3,8 étoiles. Une mise à niveau payante active certaines fonctionnalités supplémentaires comme un compteur de tentatives de connexion.

Scan de sécurité, antispam et malware de Cerber

analyse des logiciels malveillants antispam de cerber security
La sécurité Cerber garde également Pluginle WP-Admin.

Ce Plugin cache /wp-login.php entre autres et affiche à la place un message d'erreur 404. Mais il peut faire beaucoup plus - c'est pourquoi il vaut la peine d'examiner cet outil en détail. La note est actuellement de 4,9 étoiles et il y a environ 100 000 utilisateurs actifs. Le Plugin est libre.

WP Cacher et renforcer la sécurité

wp hide security enhancer
Une autre alternative est le WP Hide Security Enhancer, un peu plus Pluginvolumineux.
 

Cette gratuité Plugincache le fait que votre site web fonctionne égalementWordPress . La question de savoir si cela a un sens en principe est discutable (avec un outil comme BuiltWith peut être mis en évidence rapidement), mais en même temps change les URL /wp-admin et /wp-login.php en n'importe quelle autre URL. Plus de 50 000 webmasters Pluginl'utilisent actuellement, la note moyenne est de 4,3 étoiles.

Aucune crainte du code du mal : Sécurisation avec le .htaccess

Si vous voulez cacher le fait que WordPress -Si vous avez besoin d'une installation de ce type, vous pouvez Pluginsle faire par rapport à celles qui viennent d'être énumérées. Vous pouvez également accéder directement au fichier .htaccess. Il s'agit d'un des dossiers les plus importants de WordPress -installations fonctionnant sur des serveurs Apache (Attention : RAIDBOXESles pages .htaccess ne fonctionnent pas sur les serveurs Apache, de sorte que le .htaccess n'a aucune influence sur le serveur web) Par exemple, le .htaccess définit quels fichiers et répertoires de votre site sont visibles et qui a accès à quoi.

En apportant de petites modifications à ce fichier, vous pouvez donner à votre site web une couche de sécurité supplémentaire. Plus précisément, vous ajoutez des extraits de code individuels qui restreignent l'accès à wp-config.php ou bloquent certains IP. Je recommande qu'avant toute modification, vous vous assuriez d'avoir un Backup de ce dossier - en cas de problème, vous pouvez alors revenir rapidement et facilement à l'état initial. Et avec .htaccess, même une petite erreur dans le code peut suffire à paralyser votre site.

Variante 1 : n'autoriser que certains PI

Avec un .htaccess, vous pouvez en principe protéger chaque répertoire - dans ce cas, vous voulez protéger la zone d'administration. Vous devez donc télécharger un nouveau .htaccess dans le répertoire wp-admin. Si vous spécifiez à la place dans le répertoire racine de WordPress ce répertoire que seules certaines IP ont accès, vous excluez toutes les autres de l'ensemble de votre site au lieu de n'autoriser que la zone d'administration.

Dans le .htaccess du répertoire d'administration, vous avez maintenant la possibilité de bloquer l'accès à ce répertoire pour des IP spécifiques. Si vous utilisez vous-même un IP statique, il est recommandé d'exclure tous les IP sauf le vôtre. Vous êtes donc le seul à avoir accès à la zone d'administration.

Au fait, vous pouvez faire de même pour exclure les IP de la page wp-login.php. Les IP non autorisés peuvent être redirigés vers une page 404 (ou toute autre page de votre choix), par exemple, et ne pourront pas du tout accéder à l'écran de connexion. Cela peut se faire en insérant le code approprié.

  • Avec notre WordPress Codex est décrit comment vous pouvez protéger les répertoires individuels de votre WordPress installation
  • Les collègues du WP-Beginner Voir en détail comment protéger le WP-Admin via le .htaccess
  • Le producteur du plugin wpmudev montre dans un guide completcomment utiliser le .htaccess pour protéger vos sites

Variante 2 : Configuration de la protection par mot de passe (ou authentification à deux facteurs)

Une autre possibilité très souvent utilisée pour protéger la zone d'administration avec .htaccess est de créer une authentification HTTP supplémentaire. Le serveur a alors déjà besoin des données d'accès appropriées pour accéder à votre WordPress page de connexion.

Cela signifie un peu plus de travail pour vous connecter, mais beaucoup d'agresseurs jetteront l'éponge à ce stade. Brute Force Les attaques sont bloquées avant même d'avoir commencé. Toutefois, même cette protection n'est pas totalement infaillible, car de nombreuses attaques sont menées via le Interface XMLrpc courir. Cette interface, mise en œuvre par défaut, permet aux pirates informatiques d'effectuer des DDoS et Brute Force Attaques courir. Les attaques sont similaires à celles du site wp-admin, mais ici des centaines de combinaisons de logins et de mots de passe peuvent être demandées simultanément. Il faut donc dire à ce stade que la protection la plus sensée n'est pas un login supplémentaire, mais une authentification à deux facteurs

Mais pour ajouter une protection par mot de passe supplémentaire, vous avez besoin d'un autre fichier en plus du .htaccess, le soi-disant .htpasswd. Il contient les données d'accès dont vous avez besoin pour l'authentification. Pour les créer, vous pouvez des outils en ligne appropriés l'utilisation. Ils cryptent votre mot de passe souhaité (par exemple Günterdergrosse86) selon le format MD5 (Günterdergrosse86 ressemble à ceci : $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 est l'un des cinq formats de mot de passe avec lesquels le serveur Apache peut fonctionner. Mais en fin de compte, il vous suffit de vous souvenir du mot de passe non crypté - le serveur fera le reste automatiquement.

Le .htpasswd ainsi créé est placé au même niveau que le .htaccess, généralement le niveau supérieur du WordPress répertoire.

Dans le fichier .htaccess, vous définissez maintenant que l'authentification HTTP doit avoir lieu lors de l'accès à wp-login.php et vous créez un lien vers le fichier .htpasswd via un extrait de code. Cela permet au serveur d'accéder aux données d'accès précédemment définies dans l'autre fichier. Comment cela se fait, par exemple ici expliqué.

Le .htaccess précise ensuite qu'une autorisation est nécessaire pour accéder à /wp-login.php et où le serveur peut trouver les données d'accès correspondantes (notamment dans le .htpasswd). De plus, vous bloquez l'accès aux fichiers .htaccess, .htpasswd et wp-config.php pour vous assurer que personne d'autre que vous ne puisse reconfigurer votre installation.

Tout cela vous semble-t-il assez compliqué ? C'est le cas. En outre, il peut arriver que cette protection supplémentaire par mot de passe Compatibilité des Pluginspersonnes handicapées. C'est pourquoi je recommande toujours une authentification à deux facteurs. Ce système est rapidement mis en place Pluginpar le biais d'un et offre également une protection encore plus grande contre les intrusions non autorisées. Parce que les codes d'authentification sont transmis par un système externe.

Conclusion : cacher le WP-Admin peut représenter beaucoup de travail - et apporte plus d'avantages cosmétiques

Idéalement, vous devriez protéger votre zone d'administration du WP de la manière la plus mince possible. Vous ne devriez installer un grand plugin de sécurité que si vous configurez et utilisez ses autres fonctions de manière judicieuse. Si vous voulez seulement cacher le WP-Admin, nous vous recommandons une version Pluginallégée. Tout le reste serait excessif.

En tant que mesure de sécurité distincte, le fait de cacher le WP-Admin est de toute façon négligeable. En principe, les dispositions suivantes s'appliquent également : Non Plugin remplace un mot de passe fort et la connaissance des failles de sécurité WordPress les plus importantes. Et chaque nouvelle Plugin comporte le risque d'introduire des failles de sécurité dans le code. Il est donc important de bien réfléchir à la nature et à la quantité des installations.

La protection à 100 % n'existe pour aucun site web. À notre avis, cacher la section wp-admin n'apporte pas vraiment plus de sécurité. Mais elle peut contribuer énormément au sentiment de sécurité. En particulier si vous travaillez pour le compte d'un client, vous ne devez pas sous-estimer le pouvoir de la perception du client. Toutefois, elle n'est en aucun cas suffisante en tant que mesure de sécurité unique ou centrale. Toutefois, si l'URL modifiée est conçue comme l'une des nombreuses couches de votre système de sécurité, elle peut très bien compléter votre concept de sécurité.

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve tous les moyens possibles pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, il est souvent Slack retrouvé la nuit.

Articles connexes

Commentaires sur cet article

Ecrire un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont marqués par * .