Prendre rendez-vous

Votre espace admin restera vulnérable tant que vous ne faites pas ces 2 choses (Guide sécurité 2026)

Il y a quelque chose auquel vous n’avez sûrement pas pensé lors du développement (comme beaucoup d’éléments vus dans les autres guides) : le fait de cacher votre page wp-login.

 

Et oui, la moindre personne qui connaît un minimum WordPress peut avoir le réflexe de taper wp-login et tomber sur votre belle page de connexion que nous avons pris soin de personnaliser grâce à « Login Customizer ».

 

Mais voilà, ce n’est pas forcément optimal, et nous allons voir pourquoi.

Table des matières

Pourquoi est-il important de déplacer la porte d’entrée de son site ?

Il faut savoir que pour un bot malveillant qui arrive sur votre site, la première chose qu’il va faire est de tester les adresses /wp-admin et /wp-login.
Si ces pages n’ont pas été modifiées et qu’elles répondent, le bot sait qu’il a trouvé la console d’administration du site web.

Il ne lui reste alors plus qu’à tenter de bruteforcer le mot de passe.

 

C’est là que WPS Hide Login devient un excellent outil.
Il permet de déplacer l’URL de connexion, ce qui fait que la majorité des bots automatisés testent l’adresse classique, tombent sur une erreur 404, et passent tout simplement au site suivant.

 

Pour finir, cela apporte aussi un aspect plus professionnel.
Au lieu de vous connecter via une adresse du type wp-admin ou wp-login, vous arrivez sur une URL personnalisée, choisie par vos soins, ce qui permet également de masquer en apparence le CMS utilisé.

Pourquoi n’est-il plus suffisant de simplement cacher sa page de connexion pour son panel WordPress

Vous avez déplacé votre formulaire de connexion, bravo.
Vous passez déjà à côté d’une vague considérable de tentatives d’intrusion.

 

Mais il reste les autres.
Ceux qui finiront par trouver votre nouvelle URL et qui essaieront à nouveau d’entrer.

 

Et c’est là que notre deuxième outil va devenir essentiel.

 

Son rôle est simple : limiter les tentatives de connexion.
Au lieu de laisser quelqu’un essayer des centaines ou des milliers de combinaisons de mots de passe, le système va restreindre le nombre d’essais possibles.

 

Si un utilisateur dépasse cette limite, il pourra être temporairement bloqué, voire complètement interdit selon les réglages.

 

En plus de cela, vous pouvez recevoir des alertes pour être informé de l’attaque et réagir rapidement si nécessaire.

 

Il ne s’agit donc plus seulement de cacher la porte, mais aussi de contrôler qui peut insister pour entrer.

Avis sur WPS Hide Login

WPS Hide Login est une solution simple, mais elle fait partie de ces extensions qui ont un impact énorme sur la sécurité de votre site web.

 

Le principe du plugin est très facile à comprendre.
Une fois installé, en quelques clics, vous pouvez modifier l’URL de connexion afin de la masquer.

 

Ce plugin est particulièrement apprécié pour sa simplicité imbattable.
C’est d’ailleurs pour cela qu’il comptabilise plus de 2 millions d’installations actives, avec une note proche de 5/5 sur des milliers d’avis d’utilisateurs satisfaits.

J'étais victime de connexions de bots et de pirates informatiques, qui échouaient toutes jusqu'à ce que mon compte soit verrouillé. Il y en avait tellement chaque jour ! J'ai installé ce plug-in, modifié mon chemin d'accès URL personnalisé, et voilà ! Plus aucun piratage !

stephgphotos

Avis sur Limit Login Attempts

Le plugin Limit Login Attempts est un véritable indispensable, et les utilisateurs l’ont bien compris.
C’est pour cela qu’il est aujourd’hui installé sur plus de 2 millions de sites, avec une note proche de 5/5 sur plus de 1 400 avis.

 

Dans les retours, les utilisateurs apprécient particulièrement le niveau de sécurité apporté, mais aussi la facilité d’installation et la rapidité avec laquelle la protection devient active.

 

C’est typiquement le genre d’extension qui rassure immédiatement une fois mise en place.

Il s'agit d'un plugin fantastique qui contribue à améliorer la sécurité d'un site web WordPress.

arezvanov

Comment installer WPS Hide Login & Limit Login Attempts Reloaded

Pour installer le plugin WPS Hide Login et Limit Login Attempts Reloaded pour commencer, rendez-vous dans « Extensions > Ajouter une extension ».
Tapez ensuite dans la barre de recherche « WPS Hide Login ».

Recherche du plugin WPS Hide Login dans la page Ajouter des extensions de WordPress.

Cliquez ensuite sur « Installer maintenant », puis pensez bien à activer le plugin par la suite.

 

Si vous avez trouvé le plugin sur Internet au format .zip, ou si vous cherchez à installer la version pro, référez-vous à notre guide « Comment installer un plugin ».

Résultats de recherche d’extensions WordPress montrant le plugin WPS Hide Login avec le bouton Installer maintenant.

Répétez l’opération avec Limit Login Attempts.
S’il n’apparaît pas, tapez « Limit Login Attempts » dans la barre de recherche, cliquez sur « Installer maintenant », puis pensez bien de nouveau à activer le plugin.

Résultats de recherche d’extensions WordPress affichant le plugin Limit Login Attempts Reloaded avec le bouton Installer maintenant.

Comment modifier l’URL de sa page de connexion WordPress

Une fois que cela est fait, rendez-vous dans « Extensions > Extensions installées ».
Vous y retrouverez vos plugins fraîchement installés, Limit Login Attempts ainsi que WPS Hide Login.

 

Dans un premier temps, cliquez sur « Réglages ».

Page des extensions WordPress avec accès aux réglages du plugin WPS Hide Login.

Vous atterrissez dans « Réglages > Général ».
Tout en bas de la page, un module WPS Hide Login vient de s’ajouter.

 

Nous pouvons y voir l’URL de connexion, que nous allons pouvoir modifier afin de définir notre nouveau lien d’accès.

 

Juste en dessous, nous avons l’URL de redirection. Par défaut, elle renvoie vers une 404 pour les personnes non connectées qui essaient d’accéder à wp-login ou wp-admin.

 

Dans notre cas, nous n’allons pas toucher à ce paramètre.

Paramètres du plugin WPS Hide Login dans WordPress avec personnalisation de l’URL de connexion et redirection vers une page 404.

La partie qui nous intéresse est « URL de connexion ».
À ce moment-là, définissez l’adresse que vous souhaitez utiliser pour vous connecter. Le choix est totalement libre.

 

Pour le guide, nous allons par exemple utiliser « connexiontest ».

 

Pensez ensuite à enregistrer les modifications afin que le changement soit bien pris en compte.

Réglages du plugin WPS Hide Login dans WordPress pour personnaliser l’URL de connexion.

Une fois enregistré, vous voilà avec une nouvelle URL de connexion.
Vous pouvez vérifier que l’ancienne adresse /wp-login ne fonctionne désormais plus pour accéder au formulaire et qu’elle renvoie bien vers la page 404 précédemment configurée.

Page d’erreur 404 dans WordPress indiquant que la page est introuvable.

Comment limiter les tentatives de connexion simplement avec Limit Login Attempts Reloaded

Retournez une nouvelle fois dans « Extensions > Extensions installées ».
Sur votre extension Limit Login Attempts, cliquez sur « Tableau de bord ».

Liste des extensions WordPress avec Limit Login Attempts Reloaded activé.

Nous arrivons maintenant sur le tableau de bord du plugin.
C’est ici que nous pouvons avoir une vue d’ensemble de ce qu’il se passe sur la sécurité de notre page de connexion.

 

Nous retrouvons notamment le nombre de tentatives de connexion échouées sur les dernières 24 heures.
Cela permet de voir immédiatement si des bots ou des personnes essayent de forcer l’accès à votre administration.

 

Un graphique est aussi présent pour suivre l’évolution dans le temps.
Si un pic apparaît, cela veut dire qu’il y a probablement une vague d’attaques en cours.

 

Sur la droite, le plugin propose l’activation du Micro Cloud.
C’est une option supplémentaire qui permet de s’appuyer sur leur réseau pour bloquer encore plus efficacement certaines adresses IP connues pour être malveillantes.
Pour notre guide, nous n’allons pas entrer dans cette partie.

 

Plus bas, nous retrouvons différents accès rapides vers les outils, l’aide ou encore les options globales.

 

Ce qu’il faut retenir ici est simple :
ce tableau de bord va nous permettre de surveiller si des tentatives ont lieu après la mise en place de notre protection.

 

Et vous verrez qu’une fois les réglages activés correctement, le nombre de tentatives bloquées peut parfois être impressionnant.

Tableau de bord du plugin Limit Login Attempts affichant zéro tentative de connexion échouée.

poursuivez en cliquant sur « Reglages » sur la page nous nous retrouvons maintenant dans la partie la plus importante du plugin : les réglages.
C’est ici que nous allons définir comment les attaques sont bloquées, au bout de combien d’essais, et pendant combien de temps un utilisateur ou un bot sera verrouillé.

 

Prenez le temps de comprendre cette page, car ce sont ces paramètres qui vont réellement protéger votre site au quotidien.

– Le plugin nous indique que la protection est active en local (version gratuite).
Cela signifie que le blocage se fait directement sur votre site, sans passer par leur infrastructure cloud.

 

Une version premium existe avec davantage de services (partage d’IP malveillantes, synchronisation, support…), mais pour la grande majorité des sites, la version locale fait déjà un excellent travail.

 

Ils proposent aussi l’option Micro Cloud.
Le principe est simple : vous partagez certaines données d’IP et en échange vous profitez d’un aperçu de leurs fonctions avancées.

 

Pour notre guide, nous restons en version gratuite locale.
Pas besoin d’activer autre chose pour être correctement protégé.

Sélection du mode application active (local version gratuite) dans Limit Login Attempts sur WordPress.

Les règles de verrouillage : 

Nous allons définir :

 

  • le nombre de tentatives autorisées

 

  • la durée du verrouillage

 

  • l’augmentation de la sanction en cas de récidive

 

  • le délai avant remise à zéro

 

Dans la configuration affichée :

 

Après 4 tentatives échouées, l’adresse IP est bloquée pendant 20 minutes.

 

Si dans les 24 heures suivantes plusieurs blocages se répètent et que le seuil est à nouveau atteint, la sanction passe directement à 24 heures.

 

Autrement dit :
quelqu’un qui insiste comprend très vite que continuer ne sert à rien.

 

Et c’est exactement ce que nous voulons.

Paramètres de tentatives de connexion et durée de verrouillage dans Limit Login Attempts sur WordPress.

Les origines d’IP de confiance :

  • Un champ permet de choisir la manière dont le plugin récupère l’adresse IP du visiteur.

    La valeur par défaut est REMOTE_ADDR.

    Et honnêtement, sauf cas très spécifique avec proxy ou configuration serveur avancée, il ne faut rien changer ici.

Modifier ce paramètre sans savoir ce que vous faites peut fausser les détections.

Paramètres de verrouillage et définition des origines IP de confiance dans Limit Login Attempts sur WordPress.

Les réglages généraux

 

Plus bas, nous retrouvons des options complémentaires.

 

RGPD

 

  • Le plugin peut afficher un message indiquant que l’adresse IP est traitée par un outil de sécurité.
    Cela peut être utile selon votre politique de confidentialité.

    Ce n’est pas obligatoire, mais bon à savoir.

 

Notifications par email

 

  • Nous pouvons recevoir un mail après un certain nombre de verrouillages.

    C’est pratique pour être alerté si une attaque importante est en cours.

    Par exemple après 3 blocages, vous êtes prévenu.

 

Éléments d’interface

 

  • Afficher dans le menu du haut, dans le menu de gauche, masquer le widget…
    Ce sont surtout des préférences d’affichage.
    Rien d’essentiel pour la sécurité.

 

Message d’erreur personnalisé

 

  • Permet de modifier le texte vu par un utilisateur bloqué.
    Là encore, optionnel.
Réglages généraux de Limit Login Attempts dans WordPress avec les options RGPD et les notifications en cas de verrouillage.

Pour terminer la présentation du plugin, il nous reste une partie très intéressante à comprendre.

 

Nous avons la possibilité de gérer des listes d’IP.

 

Concrètement, cela signifie que nous pouvons décider que certaines adresses auront le droit de passer au-dessus des règles de sécurité, tandis que d’autres seront bloquées immédiatement, sans même avoir la possibilité d’essayer de se connecter.

Page Statistiques de l’extension Limit Login Attempts dans WordPress avec les listes d’autorisation et de refus d’adresses IP.

Votre site est maintenant devenu plus sûr en seulement quelques minutes.

 

Ce type d’action peut paraître simple, presque anodin, mais en réalité il fait une vraie différence.
Beaucoup d’attaques automatisées visent en priorité les sites mal protégés, avec des accès laissés visibles et sans limite de tentatives. Désormais, vous avez déjà éliminé une énorme partie de ces risques.

 

S’informer sur les options de sécurité comme celles que nous venons de mettre en place est essentiel.
La protection de vos données, de vos utilisateurs, de votre travail et parfois même de votre chiffre d’affaires peut dépendre directement de ces réglages.

 

Faire les bons choix dès maintenant, c’est éviter des problèmes bien plus lourds à gérer plus tard.

Table des matières
Guides à la une