Comment protéger votre connexion WordPress contre les attaques par force brute – Approche simple ?

Pour vous connecter au tableau de bord d’administration de votre blog wordpress, le wp-login.php est le fichier à visiter. De nombreux spammeurs forceront brutalement les mots de passe jusqu’à ce qu’ils soient corrects. Cela met non seulement la sécurité de votre blog en danger, mais consomme également la bande passante du trafic.

Vous pouvez consulter votre journal de visite et interdire certaines adresses IP, mais cette solution peut ne pas être générale et efficace si les attaques proviennent d’adresses IP multiples/distribuées, par exemple DDOS. La solution suivante est simple et pourtant puissante/efficace. Cela fonctionne en cachant le wp-login.php ou en mettant un verrou supplémentaire, que vous seul connaissez.

L’approche consiste à éditer le fichier wordpress functions.php (de préférence dans le dossier du modèle de thème enfant) et à ajouter les lignes de code PHP suivantes :

Enregistrez simplement le fichier, et la prochaine fois, si vous voulez vous connecter à votre tableau de bord, vous devrez l’appeler comme suit :

/wp-login.php?secret=helloacm

Vous pouvez modifier la paire clé-valeur en fonction de votre favori. Le fait de ne pas transmettre les valeurs secrètes redirigera les utilisateurs vers la page d’accueil, cependant, pour l’améliorer, vous voudrez peut-être renvoyer une erreur 404 – introuvable, ce qui peut confondre/induire en erreur les attaquants afin qu’ils abandonnent les attaques par force brute.