Par défaut, WordPress affiche des messages d'erreur sur la page de connexion lorsqu'une personne saisit un nom d'utilisateur ou un mot de passe incorrect. Bien que ces messages soient destinés à aider les utilisateurs, ils peuvent également donner des indices aux pirates qui tentent de s'introduire sur votre site.
Désactiver ces indices de connexion est un moyen simple de renforcer la sécurité de votre site.
En cachant ces détails, vous rendez plus difficile pour les pirates de deviner vos identifiants. Nous les désactivons toujours sur nos sites pour une couche de protection supplémentaire.
Dans cet article, nous vous expliquerons comment désactiver les indices de connexion dans WordPress pour vous aider à rendre votre site Web plus sécurisé.
Que sont les indices de connexion dans les messages d'erreur de connexion WordPress ?
Chaque fois que quelqu'un essaie de se connecter à votre site en utilisant un nom d'utilisateur ou un mot de passe incorrect, WordPress affichera un message d'erreur sur l'écran de connexion.
Si cette personne a saisi un nom d'utilisateur incorrect ou une adresse e-mail, WordPress affichera l'erreur suivante : « Le nom d'utilisateur n'est pas enregistré sur ce site. Si vous n'êtes pas sûr de votre nom d'utilisateur, essayez votre adresse e-mail à la place. »
Cela peut être utile pour les utilisateurs légitimes, mais cela permet également aux pirates de savoir qu'ils saisissent un nom d'utilisateur incorrect.
La saisie du nom d'utilisateur correct mais d'un mot de passe incorrect déclenche l'erreur : « Le mot de passe que vous avez saisi pour le nom d'utilisateur est incorrect. Mot de passe oublié ? »
Ceci confirme une supposition de nom d'utilisateur correcte pour les attaquants potentiels.
Si quelqu'un parvient à deviner votre nom d'utilisateur ou votre adresse e-mail, le message d'erreur « Le mot de passe que vous avez saisi pour le nom d'utilisateur est incorrect » leur fera savoir qu'ils sont sur la bonne voie.
Cela signifie que seul votre mot de passe les empêche d'accéder à votre compte.
C'est pourquoi nous recommandons d'utiliser plusieurs couches de sécurité. Cacher les indices de connexion rend le travail d'un pirate beaucoup plus difficile, mais c'est plus efficace lorsque vous le combinez avec d'autres pratiques de sécurité.
Dans cette optique, examinons comment vous pouvez masquer les indices de connexion dans les messages d'erreur de connexion WordPress.
Masquer les indices de connexion dans WordPress
La manière la plus simple de désactiver les indices de connexion dans les messages d'erreur de connexion WordPress est de coller du code dans WordPress. WPCode permet à quiconque d'ajouter facilement du code à son site Web WordPress.
Vous pouvez ajouter le fragment de code suivant en bas du fichier functions.php de votre site, mais cela pourrait faire planter votre site.
D'après notre expérience, WPCode est très convivial pour les débutants et garantit que même si vous faites une erreur en ajoutant du code personnalisé, votre site reste accessible. Pour en savoir plus, consultez notre avis détaillé sur WPCode.
Tout d'abord, vous devez installer et activer le plugin gratuit WPCode. Pour des instructions détaillées, vous pouvez consulter notre guide sur comment installer un plugin WordPress.
Une fois activé, il vous suffit d'aller dans Extraits de code » +Ajouter un extrait depuis votre tableau de bord d'administration WordPress. Ensuite, vous devrez survoler « Ajouter votre code personnalisé » avec votre souris et cliquer sur « Utiliser l'extrait ».
Après cela, il vous suffit de nommer votre nouvel extrait et de coller le code suivant dans la zone « Aperçu du code » :
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Ce code modifie l'erreur par défaut de la page de connexion en un message personnalisé, tel que « Quelque chose ne va pas ! ».
Ce code fonctionne en utilisant un « hook de filtre » WordPress appelé « login_errors ». Considérez un hook comme un moyen pour notre code de modifier le fonctionnement par défaut de WordPress.
Dans ce cas, il intercepte le message d'erreur standard et le remplace par le nôtre.
Vous pouvez modifier cette ligne pour afficher le message de votre choix. Par exemple, nous utilisons ici « Quelque chose ne va pas ! » comme message d'erreur :
return 'Something is wrong!';
Assurez-vous de sélectionner PHP dans le menu déroulant « Type de code », puis vous pouvez basculer le commutateur de « Inactif » à « Actif » et cliquer sur « Enregistrer le extrait ».
Une fois que vous avez fait cela, il est conseillé de tester votre nouveau message d'erreur.
Pour effectuer ce test, rendez-vous simplement sur la page de connexion de votre site Web et tapez le nom d'utilisateur, le mot de passe ou l'e-mail incorrect. Ensuite, cliquez sur le bouton « Se connecter ».
WordPress affichera désormais votre nouveau message d'erreur sans vous donner d'indices sur ce qui pourrait être erroné.
Notez que bien que ce code désactive les indices de connexion dans WordPress, il ne vous protégera pas contre les tentatives plus avancées ou les attaques par force brute.
La meilleure façon de protéger votre site contre les pirates est d'utiliser un plugin de sécurité WordPress comme WordFence ou un pare-feu d'application Web (WAF) comme Cloudflare.
Pour plus d'informations, vous pouvez lire notre guide ultime sur la façon de sécuriser votre site Web WordPress.
Tutoriel vidéo
Pour vous faciliter la tâche, nous avons également créé un tutoriel vidéo sur la façon de désactiver les indices de connexion dans les messages d'erreur de connexion WordPress.
Astuce bonus : Améliorer la sécurité de votre connexion WordPress
Maintenant que vous connaissez l'importance d'un nom d'utilisateur et d'un mot de passe solides, explorons d'autres moyens de renforcer la sécurité de votre connexion. C'est important non seulement pour vous, mais aussi pour toute personne contribuant à votre blog, surtout si plusieurs auteurs s'en occupent.
Voici quelques conseils supplémentaires pour sécuriser davantage vos comptes :
🔐 Activez l'authentification à deux facteurs (2FA) : Cela ajoute une couche de sécurité supplémentaire en exigeant une deuxième forme de vérification, comme un code par SMS ou une question de sécurité.
🔑 Utilisez un gestionnaire de mots de passe : Ces outils vous aident à créer et à stocker des mots de passe complexes en toute sécurité, afin que vous n'ayez pas à vous en souvenir de tous.
🔄 Mettez régulièrement à jour votre mot de passe : Changez vos mots de passe tous les quelques mois pour minimiser le risque d'accès non autorisé. Il est encore mieux si vous pouvez forcer la mise à jour des mots de passe pour les utilisateurs.
🚫 Évitez d'utiliser le Wi-Fi public pour les connexions sensibles : Si possible, utilisez une connexion sécurisée et privée lorsque vous vous connectez à des comptes importants.
🛠️ Maintenez vos logiciels à jour : Les mises à jour régulières peuvent vous protéger contre les vulnérabilités de sécurité que les attaquants pourraient exploiter.
En plus de tout cela, vous voudrez peut-être limiter les tentatives de connexion sur votre site WordPress.
Lors d'une attaque par force brute, les pirates utilisent des logiciels automatisés pour deviner à plusieurs reprises les mots de passe en raison de l'autorisation par défaut de la plateforme pour des tentatives de connexion illimitées.
Limiter les tentatives de connexion échouées, comme le blocage temporaire des utilisateurs après 5 essais infructueux, réduit considérablement le risque d'accès non autorisé par des attaques par force brute.
Protégez votre site avec des sauvegardes faciles
Duplicator facilite la création d'une sauvegarde complète de votre site WordPress. Avant d'apporter des modifications ou des mises à jour de sécurité, avoir une sauvegarde récente vous procure une tranquillité d'esprit totale au cas où quelque chose tournerait mal. C'est le filet de sécurité ultime pour votre site web.
Foire aux questions sur la sécurité de connexion WordPress
Voici quelques questions fréquemment posées par nos lecteurs sur la sécurité de connexion WordPress :
Désactiver les indices de connexion est-il suffisant pour sécuriser entièrement mon site ?
Non, la désactivation des indices de connexion n'est qu'une couche de sécurité. C'est une étape importante dans une stratégie plus large visant à rendre votre site Web une cible plus difficile pour les attaquants.
Pour une protection complète, vous devriez toujours utiliser un plugin de sécurité WordPress complet, imposer des mots de passe forts pour tous les utilisateurs et activer l'authentification à deux facteurs.
Serai-je bloqué si j'oublie mon mot de passe après avoir désactivé les indices ?
Pas du tout. La désactivation de ces indices n'affecte pas le lien « Mot de passe oublié ? » ni le processus de réinitialisation du mot de passe.
Vous pourrez toujours récupérer votre compte en toute sécurité en suivant les étapes standard de réinitialisation du mot de passe envoyées à votre adresse e-mail.
Puis-je désactiver les indices de connexion sans utiliser de plugin ?
Oui, vous pouvez ajouter le fragment de code directement au fichier functions.php de votre thème. Cependant, nous déconseillons fortement cette méthode pour la plupart des utilisateurs.
Modifier ce fichier directement peut casser votre site en cas d'erreur, et vos modifications seront perdues lors de la mise à jour de votre thème. Un plugin comme WPCode est le moyen le plus sûr d'ajouter du code personnalisé.
Quelle est la manière la plus efficace de protéger ma page de connexion ?
Le moyen le plus efficace de sécuriser votre connexion WordPress est d'activer l'authentification à deux facteurs (2FA). Cela nécessite un deuxième code, généralement de votre téléphone, en plus de votre mot de passe.
Même si un pirate parvient à voler votre mot de passe, il ne pourra pas se connecter sans accès physique à votre appareil de vérification.
Nous espérons que cet article vous a aidé à apprendre comment masquer les indices de connexion dans les messages d'erreur de connexion WordPress. Ensuite, vous voudrez peut-être également consulter notre guide sur comment créer un portail client avec des connexions et des pages privées ou comment ajouter une connexion sociale à WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Dennis Muthomi
Thrive Comments est devenu mon outil de prédilection pour gérer les commentaires sur mes sites web. J'avais l'habitude de passer des heures à ouvrir des onglets séparés juste pour voir à quoi les gens répondaient, mais maintenant je peux tout voir directement. Cela a littéralement réduit mon temps de modération de moitié ! Voici ce qui fonctionne à merveille pour moi : je consulte les commentaires deux fois par jour à des moments précis. Cela permet aux conversations de se dérouler harmonieusement et m'aide à rester maître de la situation sans me sentir dépassé.
Le meilleur dans tout ça ? Comme je peux voir instantanément à quoi chaque commentaire répond, je fais beaucoup moins d'erreurs de modération, surtout sur mes sites les plus fréquentés. Cela a fait une énorme différence !