Cacher l'admin WP : populaire, coûteux et peu efficace

Tobias Schüring Dernière mise à jour : 20.10.2020
9 Min.
wp admin hide
Dernière mise à jour : 20.10.2020

Presque tout le monde sait comment atteindre la barrière de connexion à la zone d'administration de WordPress par défaut. Comme plus de 34 % de tous les sites web fonctionnent avec WordPress , il est facile pour les pirates de trouver et d'attaquer les zones de connexion de ces sites. C'est exactement la raison pour laquelle les piratages correspondants, tels que les attaques Brute Force , sont parmi les plus courants les attaques les plus fréquentes sur les sites WordPress . Une simple mesure de protection semble être la dissimulation de la zone d'administration du WP. Aujourd'hui, je vais vous montrer à quel point cette technique est utile et comment vous pouvez la mettre en œuvre.

Brute Force Les attaques sont probablement le type d'attaque le plus fréquent sur les sites WordPress . Le fournisseur de sécurité Wordfence a mesuré à lui seul près d'un milliard d'attaques de ce type en 2017, certains mois de cette année - sans compter le nombre de cas non signalés. Afin de limiter le risque de sécurité des attaques sur Brute Force , il est en principe logique de limiter les tentatives de connexion après un trop grand nombre d'échecs. En outre, de nombreux webmasters de WordPress utilisent une autre méthode : ils déplacent lazone d'administration du WP, , de sorte qu'elle ne se trouve plus sous le suffixe wp-admin.

De nombreux plugins de sécurité offrent donc une fonction correspondante. Qui peut aussi oser le fichier .htaccess. Mais cacher la zone administrative du WP n'est pas en soi une très bonne mesure de sécurité. Mais il peut être un complément utile.

Cacher le WP Admin : Quel est l'intérêt ?

Derrière l'idée de cacher la zone d'administration du WP se cache le principe la sécurité par l'obscurité ("sécurité par l'obscurité") - l'idée que la sécurité d'un système est plus forte tant que sa fonctionnalité reste secrète. En d'autres termes, si l'agresseur ne sait pas où se trouve votre porte d'entrée, il peut se faufiler chez vous, mais il ne peut pas entrer par effraction.

Lasécurité par l'obscurité - un tigre édenté en pratique

Cette approche fait l'objet de discussions controversées parmi les experts - et non sans raison. Dans ce cas, le fait que les informations soient sécurisées ne signifie pas qu'elles ne sont plus du tout accessibles. Elle est là - mais elle est cachée. Mais avec les bons outils, les pirates peuvent toujours trouver votre page de connexion s'ils le souhaitent.

Et voici le vrai problème avec la sécurité par l'obscurité souvent utilisé pour cacher des problèmes qui devraient plutôt être éliminés. Si votre nom d'administrateur est admin et votre mot de passe est mot de passe123 !Si vous avez un compte, le hacker sera dans votre backend en un rien de temps dès qu'il aura trouvé votre page de connexion cachée.

En bref, une zone d'administration cachée n'empêche pas les attaquants d'attaquer, elle ne fait qu'augmenter le temps nécessaire pour effectuer l'attaque. Malheureusement, il est impossible de cacher complètement le fait que vos projets WordPress sont des sites WordPress . Cacher l'administrateur du WP ne devrait donc pas être votre seule mesure de sécurité. Celui qui vous vise ne pourra pas s'échapper.

Le concept la sécurité par l'obscurité est donc idéalement l'une des nombreuses couches de votre concept de sécurité. Les tentatives de connexion limitées (LLA), un mot de passe fort incluant une authentification à deux facteurs et - si vous en utilisez un - une sécurité proprement configuréePlugin sont un mélange judicieux. La dissimulation de la zone administrative n'est que la cerise sur le gâteau.

Dans certains cas, cacher l'administrateur du WP a toujours un sens

Il existe en fait des situations où il peut être parfaitement logique de cacher l'administrateur du WP :

  • Le fait de cacher l'administrateur du WP a un impact important sur la sécurité perçue d'un site WordPress . Surtout si vous travaillez pour le compte d'un client, un WP-Admin caché a du sens pour maximiser le sentiment de sécurité de votre client.
  • Si des pirates lancent une attaque Brute Force sur votre site, votre serveur web peut "surchauffer" simplement en raison du nombre élevé de requêtes. Si vous déplacez la zone d'administration, vous allez au moins couper l'herbe sous le pied des attaques primitives de Brute Force dès le départ.
  • Vous pouvez surprendre certains clients en cachant la zone d'administration, par exemple si vous la déplacez sous /nom de l'entreprise. Vous pouvez ainsi créer un petit mais bel effet de marque.

Comme vous pouvez le voir, ces mesures sont de nature plus cosmétique. Mais même une sécurité perçue comme plus élevée peut parfois aider. C'est pourquoi je vais vous montrer ci-dessous comment sécuriser votre administrateur WP avec et sans Plugins .

UtilisezPlugins uniquement pour vous cacher de l'administration, cela a-t-il un sens ?

La grande sécurité dePlugins offre également la possibilité de masquer la zone d'administration et la nature exacte de votre site, parmi de nombreuses autres fonctionnalités. Comme je l'ai déjà dit, je suis critique à ce sujet : installer un volumineux Plugin juste pour changer une URL ne résoudra pas tous vos problèmes d'un seul coup. Ce n'est qu'après un examen approfondi du sujet que vous pourrez décider des mesures de sécurité à prendre pour votre projet.

En ce qui concerne Plugins , deux options s'offrent toutefois à vous :

  • slim Plugins, conçu uniquement pour masquer la zone de connexion
  • Plugins, qui incluent le masquage de la zone de connexion, mais peuvent faire beaucoup plus

La sécurité globalePlugins est plus volumineuse en raison de ses fonctionnalités étendues. Par conséquent, elles n'ont de sens que si vous savez ce que vous voulez en faire : par exemple, bloquer des IP spécifiques, utiliser le pare-feu d'application web (WAF) ou bénéficier du signalement de Plugins . Cet article répond également à la question de savoir si la sécuritéPlugins est vraiment utile.

Installer un grand Plugin juste pour cacher la zone d'administration est exagéré. Votre vitesse de chargement en souffre et vous n'avez que peu de valeur ajoutée au bout du compte. Et cela ne remplace pas non plus le traitement des éléments de sécurité.

Cacher la zone d'administration avec un Plugin n'est donc conseillé que si vous pouvez l'utiliser sans perte majeure de performance ou de fonctionnalité - comme une sorte de agréable à avoir. Je ne recommande pas d'installer un gros Plugin comme iThemes Security ou Wordfence juste pour ça.

Au lieu de cela, voici quelques alternatives plus élégantes pour cacher votre zone d'administration :

WPS Cacher la connexion

wps hide login
Par exemple, l'administrateur du WP peut être caché avec le WPS Hide Login Plugin .

Ce site gratuit Plugin fait exactement un chose : il modifie les deux URL /wp-admin et /wp-login.php en fonction des adresses que vous spécifiez. Cela constitue un obstacle supplémentaire pour les pirates informatiques et rend votre site un peu plus sûr. Avec plus de 400 000 installations actives et une note moyenne de 4,9 étoiles (avec plus de 1 100 avis !), Plugin a fait ses preuves dans la pratique.

Protégez votre administration

protéger votre administration
En option, cela fonctionne également avec le site Plugin Protect Your Admin.

Le Plugin est, malgré quelques fonctionnalités supplémentaires, l'un des plus fins du marché et permet de spécifier une URL personnalisée pour /wp-admin et /wp-login.php. Toute personne essayant d'accéder à ces deux pages se retrouvera plutôt sur votre page d'accueil. 40 000 utilisateurs ont actuellement installé ce Plugin , et le classement moyen est de 3,8 étoiles. Une mise à niveau payante débloque certaines fonctionnalités supplémentaires comme un compteur de tentatives de connexion.

Sécurité, antispam et analyse des logiciels malveillants de Cerber

analyse des logiciels malveillants antispam de cerber security
Cerber Security Plugin garde également l'administration du WP.

Entre autres choses, ce Plugin cache /wp-login.php et affiche à la place un message d'erreur 404. Cependant, il peut faire beaucoup plus - il vaut donc la peine de jeter un coup d'œil détaillé à cet outil. La note est actuellement de 4,9 étoiles et il y a environ 100 000 utilisateurs actifs. Le site Plugin est gratuit.

WP Hide & Security Enhancer

wp hide security enhancer
Une autre alternative est le légèrement plus volumineux Plugin WP Hide Security Enhancer.
 

Ce Plugin gratuit cache le fait que votre site web fonctionne avec WordPress . Il reste à voir si cela a un sens en principe (avec un outil comme BuiltWith, cela peut être rapidement mis en évidence à nouveau), mais en même temps, cela change les URL /wp-admin et /wp-login.php en n'importe quelle autre URL. Plus de 50 000 webmasters utilisent actuellement Plugin , la note moyenne est de 4,3 étoiles.

N'ayez pas peur d'un mauvais code : Sécuriser avec le .htaccess

Si vous voulez cacher le fait que votre site est une installation WordPress , vous pouvez le faire via certains des fichiers Plugins que je viens d'énumérer. Vous pouvez également modifier directement le fichier .htaccess. Il s'agit de l'un des fichiers les plus importants des installations de WordPress fonctionnant sur les serveurs Apache (remarque : les sites RAIDBOXES ne fonctionnent pas sur les serveurs Apache, le .htaccess n'a donc aucune influence sur le serveur web). Le .htaccess définit, par exemple, quels fichiers et répertoires de votre site sont visibles et qui a accès à quoi.

En apportant de petites modifications à ce fichier, vous pouvez donner à votre site web un niveau de sécurité supplémentaire. Plus précisément, vous ajoutez des extraits de code individuels qui restreignent l'accès à wp-config.php ou bloquent certaines IP. Je vous recommande de toujours faire une sauvegarde de ce fichier avant de faire des modifications - si quelque chose ne va pas, vous pouvez alors rapidement et facilement revenir à l'état initial. Et avec .htaccess, même une petite erreur dans le code peut suffire à paralyser votre site.

Variante 1 : n'autoriser que certains PI

En principe, tout répertoire peut être protégé par un .htaccess - dans ce cas, vous voulez protéger spécifiquement la zone d'administration. Par conséquent, vous téléchargez un nouveau .htaccess dans le répertoire wp-admin. Si vous spécifiez plutôt dans le répertoire principal de WordPress que seules certaines IP ont accès, vous excluez toutes les autres de l'ensemble de votre site et non pas seulement de la zone d'administration.

Dans le .htaccess du répertoire admin, vous avez maintenant la possibilité de bloquer l'accès à ce répertoire à certaines IP. Si vous utilisez vous-même un IP statique, il est recommandé d'exclure tous les IP sauf le vôtre. De cette façon, vous seul aurez accès à l'espace d'administration.

Au fait, vous pouvez faire de même pour exclure les adresses IP de la page wp-login.php. Les IP non autorisés peuvent, par exemple, être redirigés vers une page 404 (ou une autre page de votre choix) et ne plus atteindre l'écran de connexion. Cela peut se faire en insérant le code approprié.

  • Le codexWordPress décrit comment vous pouvez protéger les répertoires individuels de votre installation WordPress .
  • Les collègues du WP-Beginner vous montrent en détail comment protéger le WP-Admin via .htaccess
  • Le fabricant de plugins wpmudev montre dans un guide complet comment vous pouvez utiliser le .htaccess pour protéger vos sites

Variante 2 : Configuration de la protection par mot de passe (ou authentification à deux facteurs)

Une autre possibilité très souvent utilisée pour protéger la zone d'administration avec le .htaccess est de créer une authentification HTTP supplémentaire. Le serveur a alors déjà besoin des données d'accès correspondantes pour accéder à votre page de connexion WordPress .

Cela signifie un peu plus d'effort pour vous lorsque vous vous connectez, mais beaucoup d'agresseurs jettent l'éponge à ce stade. Brute Force Les attaques sont bloquées avant même d'avoir commencé. Cependant, même cette protection n'est pas totalement infaillible, car de nombreuses attaques passent par l'interface XMLrpc. Les pirates peuvent lancer des attaqueBrute Force s DDoS et par l'intermédiaire de cette interface, qui est mise en œuvre par défaut. Les attaques sont similaires à celles du site wp-admin, mais ici des centaines de combinaisons de logins et de mots de passe peuvent être demandées simultanément. Par conséquent, il faut dire à ce stade que la protection la plus sensée n'est pas une connexion supplémentaire, mais une authentification à deux facteurs.

Toutefois, pour mettre en place une protection par mot de passe supplémentaire, vous avez besoin d'un autre fichier en plus du .htaccess, à savoir le .htpasswd. Il contient les données d'accès dont vous avez besoin pour l'authentification. Pour le créer, vous pouvez utiliser les outils en ligne appropriés. Ils cryptent le mot de passe que vous souhaitez (par exemple Günterdergroße86) selon le format MD5 (Günterdergroße86 ressemble alors à ceci : $apr1$R71r9bVr$6S99bG1Z9R9yYHXcOCG6m/). MD5 est l'un des cinq formats de mot de passe avec lesquels le serveur Apache peut fonctionner. Mais en fin de compte, il suffit de se souvenir du mot de passe non crypté - le serveur s'occupe du reste automatiquement.

Le .htpasswd ainsi créé est placé au même niveau que le .htaccess, généralement au niveau supérieur du répertoire WordPress .

Dans le fichier .htaccess, vous définissez maintenant que l'authentification HTTP doit avoir lieu lors de l'accès à wp-login.php et vous créez un lien vers le fichier .htpasswd via un extrait de code. De cette façon, le serveur peut accéder aux informations d'identification spécifiées précédemment dans l'autre fichier. Nous expliquons ici, par exemple, comment cela fonctionne.

Le .htaccess précise ensuite qu'une autorisation est nécessaire pour accéder à /wp-login.php, et où le serveur trouvera les informations d'identification appropriées (notamment dans le .htpasswd). En outre, vous interdisez l'accès aux fichiers .htaccess, .htpasswd et wp-config.php pour garantir que personne d'autre que vous ne puisse reconfigurer votre installation.

Tout cela vous semble-t-il assez lourd ? C'est le cas. En outre, cette protection supplémentaire par mot de passe peut compromettre la compatibilité de Plugins . C'est pourquoi je recommanderais toujours une authentification à deux facteurs. Ce système est rapidement mis en place via Plugin et offre également une protection encore plus grande contre les intrusions non autorisées. En effet, les codes d'authentification sont transmis par un système externe.

Conclusion : cacher le WP-Admin peut représenter beaucoup de travail - et apporte un avantage plutôt cosmétique

Idéalement, vous protégez votre zone d'administration du WP de la manière la plus rationnelle possible. Vous ne devriez installer un grand plugin de sécurité que si vous configurez et utilisez également ses autres fonctions de manière raisonnable. Donc, si vous ne souhaitez que cacher l'administration du WP, nous vous conseillons d'aller aussi vite que possible Plugin. Toute autre solution serait excessive.

Comme mesure de sécurité en soi, cacher l'administrateur du WP est de toute façon d'une efficacité négligeable. En principe, ce qui suit s'applique également : aucun Plugin ne remplace un mot de passe fort et la connaissance des vulnérabilités de sécurité les plus importantes de WordPress . Et chaque nouveau Plugin comporte le risque d'introduire des failles de sécurité dans le code. Il est donc important de bien réfléchir à la nature et à la quantité des installations.

La protection à 100 % n'existe pour aucun site web. À notre avis, cacher la zone wp-admin n'augmente pas vraiment la sécurité. Mais elle peut contribuer énormément à la perception de la sécurité. Surtout si vous travaillez pour le compte d'un client, vous ne devez pas sous-estimer le pouvoir de la perception du client. Cependant, elle n'est certainement pas suffisante en tant que mesure de sécurité unique ou centrale. Toutefois, si l'URL modifiée est conçue comme l'une des nombreuses couches de votre système de sécurité, elle peut constituer un ajout utile à votre concept de sécurité.

En tant qu'administrateur système, Tobias veille sur notre infrastructure et trouve chaque vis pour optimiser les performances de nos serveurs. Grâce à ses efforts inlassables, on peut souvent le trouver la nuit sur le site Slack .

Articles connexes

Commentaires sur cet article

Laisse un commentaire

Ton adresse électronique ne sera pas publiée. Les champs obligatoires sont marqués d'un *.