Sécurisez votre page de connexion WordPress

Fin juillet, j’avais partagé avec vous une technique pour sécuriser votre page de connexion WordPress sans plug-in (extension). L’astuce passait par une page secrète et l’aide d’un petit cookie. Aujourd’hui, je vous propose une autre technique qui pourra bien entendu compléter la précédente méthode…

hackers

Sécuriser le compte admin de WordPress

Comme 80% des utilisateurs WordPress, vous avez changé le nom de votre identifiant par défaut. Vous avez changé admin par votre prénom ou un pseudo. Sauf que voilà, l’identifiant en lui-même (utilisé pour se connecter à WordPress) est toujours le même : admin… et ça les méchants pirates le savent trop bien. Impossible de le changer depuis l’interface d’administration de WordPress. Pour le changer, il va falloir le modifier en base de données. Je vous rassure, ce n’est pas très compliqué.

wp_users et user_login

Tout d’abord, il faut passer par PhpMyAdmin proposé par votre hébergeur. Si vous ne vous souvenez plus de vos paramètres, ouvrez le fichier wp-config.php à la racine de votre Blog. Une fois connecté à votre base de donnée, cherchez la table *_users (par défaut wp_users).

changer-user-login-wordpress

En face de la ligne admin, cliquez sur le bouton Modifier, changer la valeur du champ user_login pour avoir un identifiant que personne ne pourra deviner (éviter de mettre votre pseudo ou votre prénom). Ce dernier ne devra jamais être dévoilé. Il sera uniquement utilisé sur l’écran de connexion wp-login.php. Pour finaliser l’opération, vous n’oublierez pas de cliquer sur le bouton Exécuter en bas à droite de l’écran.

Conclusion

C’est simple et efficace. Avec les 2 méthodes, je suis passé d’une centaine d’attaque par jour (méthode brute-force) à zéro. Oui, vous avez bien lu 0. Attention, je ne dis pas que mon WordPress est inattaquable… bien au contraire.

Si vous souhaitez limiter certaines attaques et sécuriser assez simplement WordPress sans l’alourdir avec des extensions, il ne faut pas hésiter.