Sommaire
Il est important de protéger votre site web à tout prix. Même les plus petits blogs sont des cibles pour les pirates et les robots. Un problème auquel beaucoup de gens ne pensent pas est le message d’erreur de connexion. Il peut fournir des indices à quelqu’un qui essaie d’y accéder sans que vous vous en rendiez compte. Dans ce cas, il est préférable de créer un message d’erreur de connexion WordPress personnalisé.
Bien que des plugins comme WordFence fonctionnent bien contre les attaques par force brute en limitant le nombre de tentatives d’accès, une personne plus patiente peut toujours essayer d’y accéder.
Disons, par exemple, qu’un pirate informatique ait une idée de votre nom d’utilisateur. S’il essaie avec un mauvais mot de passe, WordPress lui répondra par un message d’erreur : “Le mot de passe que vous avez entré pour le nom d’utilisateur BobsAccount est incorrect”. Ceci est un indice clair que le nom d’utilisateur “BobsAccount” est un compte réel dans WordPress.
Dans le cas contraire, le système répondrait par un message d’erreur “Nom d’utilisateur incorrect”.
Aujourd’hui, je vais vous montrer comment personnaliser le message d’erreur de connexion à WordPress pour supprimer ce genre d’allusion. Si vous y réfléchissez bien, le nom d’utilisateur ne représente que 50 % de l’accès, ce qui signifie qu’un pirate informatique est à mi-chemin de l’accès à votre site web.
Utilisation de LoginPress
Dans ce tutoriel, je vais faire une démonstration de LoginPress. C’est un outil très utile qui vous aide à personnaliser les messages d’erreur de connexion ainsi que l’écran de connexion lui-même. C’est un excellent moyen d’ajouter un attrait visuel supplémentaire si vous autorisez les utilisateurs à s’inscrire ou si vous protégez simplement votre site si vous êtes le seul à y accéder.
Installez et activez le plugin “LoginPress”.
Une nouvelle fonction apparaîtra dans la colonne de gauche de l’administration. Cliquez sur “LoginPress” pour ouvrir l’écran des paramètres.
À partir de là, vous pouvez activer des éléments comme le reCAPTCHA, les champs de mot de passe personnalisés et l’ordre de connexion. C’est pratique, surtout si vous souhaitez n’autoriser que les noms d’utilisateur ou les mots de passe. Par défaut, WordPress autorise les deux.
Utilisation du personnalisateur LoginPress
Cliquez sur le lien “Personnalisateur” dans la colonne de gauche.
Cet écran est similaire au Customizer utilisé pour modifier les thèmes. Dans ce cas, l’outil est utilisé pour personnaliser votre écran de connexion. Vous pouvez modifier les couleurs, les images ou ajouter votre propre CSS. Cliquez sur l’option LoginPress à gauche.
C’est là que réside la véritable fonctionnalité de LoginPress. De là, vous disposez d’une myriade de possibilités pour créer la page de connexion parfaite pour votre site WordPress. Pour ce tutoriel, cliquez sur l’option “Messages d’erreur”.
À partir de cet écran, vous pouvez modifier n’importe lequel des messages d’erreur de connexion afin de supprimer les indices de WordPress. Par exemple, vous pouvez modifier le message qui apparaît si quelqu’un essaie d’enregistrer un compte en utilisant un courriel qui existe déjà. Cela permet aux pirates de savoir qu’un courriel spécifique est enregistré sur le site.
Vous pouvez modifier de tels messages pour qu’ils soient plus généraux. Quelque chose d’aussi simple que “Erreur : Email Address Invalid” ne confirme ni ne nie qu’une adresse électronique spécifique est accessible sur le compte.
Pour cet exemple, je vais changer à la fois le nom d’utilisateur et le mot de passe incorrects pour ce message : “Utilisateur non valide”.
Une fois que vous avez personnalisé les messages d’erreur de connexion à WordPress, cliquez sur le bouton “Publier” en haut à gauche. Cela enregistrera vos modifications, qui seront immédiatement mises en ligne.
Cliquez sur l’icône “X” dans le coin supérieur gauche pour fermer le personnalisateur.
Désormais, lorsque vous essayez d’entrer un nom d’utilisateur ou un mot de passe erroné, le message d’erreur indique simplement “Invalid User”.
Ce type d’erreur générique supprime toute indication d’un nom d’utilisateur ou d’un mot de passe existant.
Protection de votre écran de connexion
Ce n’est là qu’un moyen de limiter l’accès à votre site. En vérité, il existe de nombreuses façons de verrouiller l’écran de connexion. Qu’il s’agisse de le déplacer dans un sous-répertoire ou de limiter les adresses IP, il n’y a jamais trop de sécurité.
Si vous choisissez d’autoriser l’enregistrement des utilisateurs sur votre site web, vous devez mettre en place un système pour vous protéger ainsi que les visiteurs. Par exemple, si vous gérez un site de commerce électronique ou hébergez un centre social, vous ne voulez pas que l’élément criminel y ait accès.
J’ai déjà mentionné que des outils tels que WordFence Security sont de bons ajouts. Nombre d’entre eux permettent de protéger l’écran de connexion contre la plupart des attaques de robots et de pirates. L’utilisation de LoginPress en conjonction avec un outil de sécurité permet de renforcer encore la protection.
Veillez à toujours utiliser des noms d’utilisateur et des mots de passe uniques pour votre site WordPress. Par exemple, le compte “admin” par défaut est peut-être l’un des plus grands indices de connexion disponibles pour les pirates informatiques. En fait, je suggère de ne même pas installer le profil “admin” lors de l’installation de WordPress. C’est peut-être l’un des plus grands exploits que vous pouvez ajouter.
Une once de prévention…
Il est toujours préférable d’éviter qu’un problème ne se développe plutôt que de le régler plus tard. L’élimination des indices de connexion dans WordPress n’est qu’une petite partie de cette prévention. Ne supposez jamais que votre site est suffisamment protégé. Rien ne protège votre site à 100 %, c’est pourquoi vous devez rester proactif.
Sinon, vous pourriez donner à quelqu’un le plein fonctionnement de votre site sans vous en rendre compte.
À quelle fréquence utilisez-vous le personnalisateur WordPress pour donner à votre site un aspect et une convivialité uniques ? Avez-vous acheté les versions pro des plugins de sécurité pour WordPress, si oui, trouvez-vous qu’il est plus avantageux ?