Comment Trouver Ton URL de Connexion WordPress et La Mettre à Jour pour la Sécurité

Des mots de passe forts et uniques peuvent aider à prévenir l’accès non autorisé au site web WordPress de ta petite entreprise.

Cependant, les attaquants ont plusieurs manières astucieuses de les contourner.

Tout comme les jeunes insatiables qui semblent déjouer toutes les tactiques de sécurisation que tu leur opposes, les acteurs malveillants savent comment mener des attaques par force brute et trouver des portes dérobées via des plugins moins sécurisés.

Et voilà, ils sont sur ton site à voler des données plus vite qu’un bambin peut vider tous les tiroirs de ta cuisine (c’est-à-dire, remarquablement vite).

En d’autres termes, les mots de passe ne suffisent souvent pas à protéger correctement ton site contre les attaques.

Heureusement, il y a une chose relativement simple que tu peux faire pour réduire le risque que des pirates s’introduisent sur ton site — déplacer ta page de connexion WordPress vers une nouvelle URL. Cela te mettra dans une meilleure position pour te défendre contre les piratages et les attaques.

Si tu n’es pas très familier avec WordPress, cela n’aura probablement pas beaucoup de sens. C’est pourquoi cet article va examiner de plus près pourquoi tu devrais envisager de changer ton URL de connexion WordPress, comment trouver ton URL de connexion si tu l’as perdue, et, le plus important — quelques moyens de la modifier pour renforcer la sécurité.

Et si tu restes avec nous jusqu’à la fin, nous inclurons également une liste de conseils supplémentaires pour renforcer davantage la sécurité de ton WordPress.

Assurons notre sécurité !

Pourquoi Tu Devrais Mettre À Jour Une URL De Connexion WordPress Par Défaut

Puisque WordPress ne cache pas ta page de connexion, n’importe quel utilisateur peut la trouver tant qu’il sait comment WordPress structure ses URLs. Considérant que WordPress alimente près de la moitié de tous les sites web sur internet, on peut supposer que beaucoup de personnes — surtout celles qui savent exploiter les sites web — connaissent très bien la disposition commune de WordPress.

La structure par défaut pour une page de connexion ressemble généralement à ceci :

https://example.com/wp-login.php

Cela signifie que lorsque un utilisateur entre l’URL de ton site web là où il est écrit « https://exemple.com/ », il devrait voir une page dans son navigateur qui l’invite à se connecter au backend de ton site web :

Bien sûr, la plupart des pirates n’auront probablement pas les identifiants nécessaires. Cependant, cette structure reste risquée si ton mot de passe est commun, faible ou facile à deviner. Quelque chose comme 123456.

En clair, c’est une solution facile pour une vulnérabilité non nécessaire.

Pour simplifier, beaucoup de personnes préfèrent rester avec cette structure par défaut de wp-login pour se connecter à WordPress, mais la laisser telle quelle facilite l’accès des pirates à votre zone de connexion, ce qui revient à faire la moitié de leur travail pour eux.

WPScan a découvert que WordPress a actuellement plus de 50 000 vulnérabilités en 2024. La grande majorité se trouve dans les plugins WordPress, et des centaines, voire des milliers d’autres sont découvertes chaque année.

En bref, il est temps de renforcer la sécurité de ton site web.

Une manière réalisable de le faire est de changer ton URL de connexion WordPress pour prévenir l’accès non autorisé à ton site et réduire le risque d’attaques par force brute.

Voici Comment Trouver La Page De Connexion WordPress Par Défaut

Écoute, nous savons que tu as beaucoup de choses en cours. Lorsque tu as un million de choses à gérer en tant que propriétaire d’une petite entreprise, il n’est pas rare de perdre la trace de ton URL de connexion WordPress.

Comme nous l’avons mentionné dans la section précédente, WordPress utilise une structure de lien de connexion standard qui ressemble à ceci :

https://example.com/wp-login.php

Donc, tout ce que tu dois faire est d’ajouter le suffixe (cette partie : wp-login.php) à ton domaine, et tu devrais arriver sur ta page de connexion.

Tu peux également trouver ta page de connexion en essayant d’accéder à ton tableau de bord WordPress en étant déconnecté. Entre simplement “tonsite.com/admin” ou “tonsite.com/login” dans la barre de recherche et tu devrais arriver sur la même page de connexion.

Ça ne fonctionne pas ? Ne panique pas.

Certains hébergeurs modifient automatiquement ta page de connexion WordPress pour des raisons de sécurité. Tu pourrais donc déjà avoir une URL de connexion personnalisée. Si c’est le cas, nous allons te montrer comment la trouver dès maintenant.

URL De Connexion Personnalisée ? Voici Comment La Trouver

Si ton hébergeur a modifié ton lien de connexion, tu peux généralement le localiser dans ton panel après t’être connecté à ton compte d’hébergement.

Toutefois, si tu ne peux pas identifier ton URL de connexion personnalisée là-bas, tu peux toujours la localiser manuellement en te connectant à ton site en utilisant un client SFTP comme FileZilla.

Tu pourras peut-être trouver les identifiants pour cela dans ton compte d’hébergement ou demander les détails à ton hôte de site web.

Après avoir installé le client et t’être connecté avec ces identifiants, tu devrais arriver sur une page qui ressemble à ceci :

Trouve le dossier racine appelé public_html (tu peux le voir ci-dessus sur le côté droit de l’écran) et clique dessus pour localiser le fichier wp-config.php. Si tu ne le trouves pas sous le nom public_html, il pourrait être listé sous le nom de ton domaine.

Ouvre ce fichier sur ton ordinateur en utilisant un éditeur de texte comme Visual Studio Code. Il est préférable d’utiliser une option qui offre un outil de recherche et de remplacement. Utilise cet outil pour trouver une chaîne de code contenant site_url — cela te dirigera vers ton URL de connexion personnalisée.

Boom, tu l’as trouvé ! Maintenant que c’est fait, mettons à jour cet URL pour une meilleure sécurité.

Deux Stratégies Pour Modifier Ton URL De Connexion WordPress

Maintenant que tu sais où trouver l’URL de connexion WordPress, regardons deux manières faciles de la modifier.

Méthode 1 : Mettre À Jour Ton URL De Connexion WordPress Avec Un Plugin

La manière la plus simple de changer ton URL de connexion est en utilisant un plugin WordPress. Heureusement, il y en a beaucoup disponibles pour faciliter cela.

WPS Hide Login est une excellente option car il est léger et te permet de changer en toute sécurité ta page de connexion administrateur WordPress pour n’importe quoi que tu souhaites. Mieux encore, WPS Hide Login empêche également tous les utilisateurs déconnectés d’accéder au répertoire wp-admin et à wp-login.php.

Pour commencer, tu devras installer et activer le plugin en te rendant dans ton espace d’administration WordPress. Clique sur Plugins > Ajouter un nouveau plugin.

Recherche « WPS Hide Login » et clique sur le bouton Installer Maintenant. Reste sur cette page jusqu’à ce que l’installation soit terminée, puis utilise le bouton Activer .

Une fois activé, dans la barre latérale de ton admin WordPress, dirige-toi vers Paramètres > WPS Hide Login.

Tu verras que tu peux créer une nouvelle URL de connexion. Tape ce que tu veux et clique sur Enregistrer les modifications.

C’est aussi simple que cela.

Garde à l’esprit qu’une fois ce plugin activé et tes modifications effectuées, utiliser la nouvelle URL sera le seul moyen d’accéder à l’écran de connexion de ton site.

Alors ne perds pas cette URL. Et ne la partage pas publiquement ou avec quelqu’un qui n’en a pas absolument besoin !

De plus, souviens-toi que ton site reviendra à utiliser wp-admin et wp-login.php si tu désactives ce plugin.

Méthode 2 : Mets à Jour Ton URL de Connexion WordPress en Modifiant Ton Fichier wp-login.php

Cette seconde méthode est un peu plus complexe et convient probablement mieux aux utilisateurs expérimentés. Par conséquent, avant de commencer avec les étapes suivantes, il est préférable de faire une nouvelle sauvegarde de WordPress de ton site au cas où quelque chose se passerait mal.

Il est également important de savoir que tes modifications peuvent revenir à leurs paramètres précédents lorsque tu mets à jour ton thème. Si tu veux éviter ce problème, apprends à utiliser un thème enfant WordPress.

Maintenant, plongeons.

Tu devras accéder aux fichiers de ton site, tout comme nous l’avons fait précédemment pour retrouver ton URL de connexion personnalisée. Tu pourras le faire via le panneau d’administration de ton hôte de site web, ou SFTP.

Si c’est ce dernier cas, utilise tes identifiants pour te connecter à ton site via ton client SFTP de choix, et encore une fois, localise le fichier public_html (il pourrait également être listé sous le nom de ton domaine.) À l’intérieur, trouve le dossier wp-login.php. Le code derrière la page de connexion de ton site se trouve ici.

Ouvre le fichier avec ton éditeur de texte à nouveau.

Utilise la barre de recherche pour trouver chaque occurrence de wp_login_url, qui ressemblera à ceci :

Les chaînes suivant le wp_login_url contiendront ton URL de connexion actuelle. Modifie chacune pour utiliser la nouvelle URL de connexion que tu souhaites utiliser.

Souviens-toi, tu peux le garder simple tant que c’est original (et différent du défaut). Par exemple, tu pourrais préférer quelque chose comme « access.php » ou « wp-new-login ».

Une fois que tu es satisfait de tes modifications, enregistre-les et ferme l’éditeur. Ensuite, renomme le fichier avec la nouvelle URL que tu as choisie (comme “access.php”).

Note : Tu peux techniquement nommer le fichier comme tu le souhaites, mais il est plus facile de le suivre et de s’en souvenir si tu le nommes d’après la nouvelle URL que tu prévois d’utiliser.

Glisse le fichier depuis ton bureau dans le fichier public_html.

Désormais, tu peux télécharger le nouveau fichier dans ton répertoire racine en utilisant ton client FTP ou le gestionnaire de fichiers de ton hébergeur. Nous allons te montrer comment faire cela en utilisant le filtre hook “login_url” de WordPress.

Commence par naviguer dans wp-content > themes, sélectionne ton thème actif et ouvre le fichier functions.php (de préférence sous un thème enfant). Cela indique à WordPress où se trouve le nouveau fichier de connexion « vit ».

Ici, tu peux coller la ligne de code suivante dans le fichier :

/*
*Changer l'URL du fichier de connexion WP en utilisant le hook de filtre “login_url”
*https://developer.wordpress.org/reference/hooks/login_url/
*/
add_filter( ‘login_url’, ‘custom_login_url’, PHP_INT_MAX );
function custom_login_url( $login_url ) {
$login_url = site_url( ‘wp-ton-nouveau-nom-de-fichier-de-connexion.php’, ‘login’ );
return $login_url;
}

Remplace wp-your-new-login-file-name par le nom du fichier que tu viens de créer. Ensuite, sauvegarde tes modifications et teste ton nouveau login.

Tu devras taper le domaine de ton site avec ta nouvelle URL de connexion à la fin.

Par exemple : « https://example.com/access.php. »

Si tu peux accéder à la page de connexion de ton site WordPress, ça a fonctionné !

Et maintenant, tu peux supprimer le fichier original wp-login.php, car le nouveau fichier que tu as ajouté l’a remplacé.

Quelque chose à retenir – une fois que tu as mis à jour ta page de connexion, tu dois mettre à jour les pages qui référencent le fichier wp-login.php que nous venons de supprimer. Plus précisément, tu dois mettre à jour le logout_url filter et le lostpassword_url filter.

4 Autres Façons De Sécuriser Le Processus De Connexion WordPress

Changer ton URL de connexion WordPress est excellent pour renforcer la sécurité de ton site. Toutefois, ce n’est pas tout ce que tu peux faire.

Voici quelques méthodes supplémentaires pour sécuriser davantage ton processus de connexion WordPress :

1. Limiter les Tentatives de Connexion

Lorsque tu limites les tentatives de connexion, tu peux arrêter les pirates et les bots qui tentent d’accéder à ton site en essayant des centaines de noms d’utilisateur et de mots de passe. En d’autres termes, une attaque par force brute.

La manière la plus simple de faire cela est d’utiliser un plugin comme Limit Login Attempts Reloaded.

Ce plugin commence à fonctionner dès qu’il est activé sur ton site. Par défaut, les utilisateurs ont quatre chances de se connecter avant d’être bloqués hors de WordPress.

Toutefois, tu peux jouer avec les paramètres, en modifiant le nombre de tentatives, la durée des blocages, et plus encore. Le tableau de bord admin du plugin peut te montrer combien d’attaques par force brute ont été bloquées par le plugin.

Et dans l’onglet « Logs », tu peux même bloquer manuellement des adresses IP spécifiques.

2. Mettre En Place L’authentification À Deux Facteurs (2FA)

2FA est l’une des fonctionnalités de sécurité les plus utilisées par les utilisateurs de WordPress.

Dans ce processus, les utilisateurs doivent soumettre plus que leurs identifiants de connexion. Avant de se connecter, les utilisateurs doivent également générer une deuxième authentification. Cela est souvent un code envoyé par message texte, email ou une application.

Étant donné que les bots et les pirates ne peuvent pas produire la deuxième authentification requise, c’est un excellent moyen de prévenir l’accès non autorisé à ton site. Une des meilleures façons d’ajouter cette fonctionnalité à ton site est d’utiliser un plugin comme miniOrange.

Une fois activé, dirige-toi vers le nouveau lien miniOrange à deux facteurs dans la barre latérale de ton admin WordPress > Mon Compte.

Ici, tu devras t’inscrire pour un compte. Ensuite, tu recevras un code qui te permettra de vérifier ton email.

Ensuite, nous te recommandons de suivre le « Setup Wizard » utile du plugin pour t’assurer que le 2FA est complètement configuré pour quiconque utilise ton site.

3. Utilise CAPTCHA

CAPTCHA ou reCAPTCHA de Google fournit une couche supplémentaire de sécurité pour ton site web.

Généralement, il est utilisé pour contrôler l’accès aux pages sensibles. Quoi de plus ? Cela peut empêcher les bots de créer du spam ou d’accéder à des informations personnelles sur ton site web via des formulaires de commande ou des formulaires de connexion.

Encore une fois, un plugin est la manière la plus simple d’activer cette fonctionnalité sur ton site. Dans notre guide du reCAPTCHA, nous te guidons sur la manière de le mettre en place via un plugin en seulement six étapes.

Si tu préfères le faire manuellement, c’est aussi une option !

4. Imposer des Mots de Passe Forts

Bien sûr, changer l’URL de connexion pour ton site WordPress est une excellente idée, afin de ne pas utiliser le suffixe facilement devinable « admin ». Cependant, tes efforts sont vains si tu continues à utiliser des mots de passe faibles ou répétés qui exposent ton compte à un risque accru d’attaque.

Seulement 13% des personnes utilisent un générateur de mots de passe pour créer des expressions uniques et hautement sécurisées pour différents sites web. La majorité utilise plutôt des chiffres et des mots qui leur sont significatifs, ce qui les rend plus évidents pour les pirates.

Nous recommandons d’utiliser Solid Security, un plugin WordPress qui peut encourager les utilisateurs à utiliser des mots de passe robustes. Si tu t’inquiètes qu’un mot de passe fasse partie d’une violation de données, tu peux également utiliser Passwords Evolved, qui envoie une alerte si des mots de passe d’utilisateurs sont compromis

En ce moment, il est préférable de réinitialiser ton mot de passe sur WordPress s’il est réutilisé ou facile à deviner. À l’avenir, opte pour des mots de passe longs combinant des lettres majuscules et minuscules avec des chiffres et des caractères spéciaux. Nous te recommandons également d’utiliser un gestionnaire de mots de passe comme 1Password pour avoir un peu plus de tranquillité d’esprit.

De plus, il est important d’encourager l’utilisation de mots de passe forts par les utilisateurs ayant accès à ton site. Tu peux le préciser dans l’email de bienvenue que les utilisateurs reçoivent lors de leur inscription sur ton site.

Bonus : Encore Plus de Conseils Pour Renforcer la Sécurité de WordPress

En tant que système de gestion de contenu (CMS) le plus populaire sur le marché, WordPress est également l’un des plus souvent attaqués.

Nous ne disons pas cela pour te faire peur et te décourager de l’utiliser, mais juste pour te sensibiliser à l’importance de sécuriser ton site WordPress sur tous les fronts.

Pour une sécurité globale au-delà de la phase de connexion, nous recommandons un autre plugin puissant pour automatiser le processus : Jetpack.

Veiller à ce que ton certificat SSL/TLS soit à jour est le meilleur moyen de garantir que les données importantes de ton site et des utilisateurs soient cryptées. Cela a souvent un impact positif sur l’optimisation pour les moteurs de recherche (SEO) de ton site web également.

Apprends à utiliser le plugin WordPress Really Simple SSL ici.

Te sens-tu prêt à aller encore plus loin dans la sécurité WordPress ? Consulte notre guide Tout Ce Que Tu Dois Savoir Sur La Sécurité WordPress pour encore plus de méthodes de renforcement de site.

Construis Une Entreprise Impénétrable Avec Le Meilleur Hébergeur WordPress

Une manière finale, mais excellente de renforcer définitivement la sécurité de ton WordPress ?

S’associer à un hébergeur web expérimenté et engagé.

Chez DreamHost, nous proposons une gamme de solutions adaptées à tous les types d’utilisateurs, de sites web et de besoins en sécurité.

Nos packages d’hébergement WordPress géré sont parfaits pour les propriétaires et opérateurs de petites entreprises qui préfèrent ne pas intervenir, et nos options d’hébergement VPS géré sont idéales lorsque tu es prêt à évoluer.

Explore tous nos plans d’hébergement pour choisir celui qui te convient le mieux ! Et pendant que tu y es, découvre DreamCare pour obtenir une surveillance, un rapport et une maintenance de sécurité professionnels, ainsi tu peux cocher cela sur ta liste de tâches à faire pour ton entreprise.

Cette page contient des liens d’affiliation. Cela signifie que nous pouvons gagner une commission si tu achètes des services via notre lien sans aucun coût supplémentaire pour toi.