Par défaut, WordPress affiche des messages d'erreur sur la page de connexion lorsqu'une personne saisit un nom d'utilisateur ou un mot de passe incorrect. Bien que ces messages soient destinés à aider les utilisateurs, ils peuvent également donner des indices aux pirates qui tentent de s'introduire sur votre site.
Désactiver ces indices de connexion est un moyen simple de renforcer la sécurité de votre site.
En cachant ces détails, vous rendez plus difficile pour les pirates de deviner vos identifiants. Nous les désactivons toujours sur nos sites pour une couche de protection supplémentaire.
Dans cet article, nous vous expliquerons comment désactiver les indices de connexion dans WordPress pour vous aider à rendre votre site Web plus sécurisé.
💡 Réponse rapide : Comment désactiver les indices de connexion dans WordPress
Voici comment désactiver les indices de connexion dans WordPress, étape par étape :
- Installez et activez WPCode.
- Créez un nouveau fragment de code personnalisé.
- Collez le fragment de code fourni.
- Définissez le type de code sur PHP.
- Activez et enregistrez le fragment de code.
- Testez votre nouveau message d'erreur.
Que sont les indices de connexion dans les messages d'erreur de connexion WordPress ?
Les indices de connexion sont des messages que WordPress affiche lorsque quelqu'un saisit un nom d'utilisateur ou un mot de passe incorrect. Bien qu'ils puissent aider les utilisateurs légitimes, ils donnent également des indices aux pirates qui tentent d'accéder à votre site.
Par exemple, si quelqu'un saisit un nom d'utilisateur ou un e-mail incorrect, WordPress affiche : « Le nom d'utilisateur n'est pas enregistré sur ce site. Si vous n'êtes pas sûr de votre nom d'utilisateur, essayez plutôt votre adresse e-mail. »
Cela indique aux attaquants que le nom d'utilisateur qu'ils ont essayé n'existe pas.
Si un nom d'utilisateur correct est saisi mais que le mot de passe est incorrect, WordPress affiche : « Le mot de passe que vous avez entré pour le nom d'utilisateur est incorrect. Mot de passe oublié ? »
Cela confirme que le nom d'utilisateur est valide, ne laissant que le mot de passe à deviner.
Étant donné que WordPress autorise également la connexion à l'aide d'une adresse e-mail, les pirates peuvent essayer différentes adresses e-mail pour voir lesquelles sont valides.
Une fois qu'ils ont trouvé un e-mail correct, le message d'erreur change pour indiquer que seul le mot de passe est incorrect, leur donnant un indice qu'ils sont sur la bonne voie.
Pour rester en sécurité, utilisez toujours un nom d'utilisateur unique et un mot de passe fort et difficile à deviner. Vous voudrez peut-être également utiliser un plugin pour imposer des mots de passe forts à tous les utilisateurs de votre site.
Même avec ces étapes, les indices de connexion peuvent toujours aider les pirates. Nous vous montrerons donc ensuite comment les masquer dans les messages d'erreur WordPress pour une meilleure sécurité.
Masquer les indices de connexion dans WordPress
La façon la plus simple de désactiver les indices de connexion dans les messages d'erreur de connexion WordPress est de coller du code dans WordPress. Bien que nous ne le suggérions normalement pas aux débutants, WPCode permet à quiconque d'ajouter facilement du code à son site Web WordPress.
Vous pouvez ajouter le fragment de code suivant en bas du fichier functions.php de votre site, mais cela pourrait faire planter votre site.
D'après notre expérience, WPCode est très convivial pour les débutants et garantit que même si vous faites une erreur en ajoutant du code personnalisé, votre site reste accessible. Pour en savoir plus, consultez notre examen détaillé de WPCode.
Étape 1 : Installer et activer le plugin WPCode
Tout d'abord, vous devez installer et activer le plugin gratuit WPCode. Pour des instructions détaillées, vous pouvez consulter notre guide sur comment installer un plugin WordPress.
Une fois activé, il vous suffit d'aller dans Extraits de code » +Ajouter un extrait depuis votre tableau de bord d'administration WordPress. Ensuite, vous devrez survoler « Ajouter votre code personnalisé » avec votre souris et cliquer sur « Utiliser l'extrait ».
Étape 2 : Collez le fragment de code pour désactiver les indices de connexion
Après cela, il vous suffit de nommer votre nouvel extrait et de coller le code suivant dans la zone « Aperçu du code » :
function no_wordpress_errors(){
return 'Something is wrong!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );
Ce code indique à WordPress d'afficher un message personnalisé au lieu de l'erreur par défaut, tel que « Quelque chose ne va pas ! ».
Vous pouvez modifier le texte « Quelque chose ne va pas ! » dans le code pour afficher le message personnalisé de votre choix.
return 'Something is wrong!';
Assurez-vous de sélectionner PHP dans le menu déroulant « Type de code », puis vous pouvez basculer le commutateur de « Inactif » à « Actif » et cliquer sur « Enregistrer le extrait ».
Étape 3 : Testez le nouveau message d'erreur de connexion
Une fois que vous avez fait cela, il est conseillé de tester votre nouveau message d'erreur.
Pour effectuer ce test, rendez-vous simplement sur la page de connexion de votre site Web et tapez le nom d'utilisateur, le mot de passe ou l'e-mail incorrect. Ensuite, cliquez sur le bouton « Se connecter ».
WordPress affichera maintenant votre nouveau message d'erreur sans vous donner d'indices sur ce qui pourrait poser problème.
Notez maintenant que si ce code désactive les indices de connexion dans WordPress, il ne vous protégera pas contre les tentatives plus avancées ou les attaques par force brute.
La façon la plus simple d'empêcher les pirates d'accéder à votre site est d'utiliser un plugin de sécurité WordPress dédié comme Sucuri, ou un service comme Cloudflare qui fournit un pare-feu d'application Web (WAF).
Pour plus d'informations, vous pouvez lire notre guide ultime sur la façon de sécuriser votre site Web WordPress.
Tutoriel vidéo
Pour vous faciliter la tâche, nous avons également créé un tutoriel vidéo sur la façon de désactiver les indices de connexion dans les messages d'erreur de connexion WordPress.
Astuce bonus : Améliorer la sécurité de votre connexion WordPress
Maintenant que vous connaissez l'importance d'un nom d'utilisateur et d'un mot de passe forts, explorons d'autres moyens de renforcer la sécurité de votre connexion. C'est important non seulement pour vous, mais aussi pour toute personne contribuant à votre blog, surtout si plusieurs auteurs le gèrent.
Voici quelques conseils supplémentaires pour sécuriser davantage vos comptes :
- Activez l'authentification à deux facteurs (2FA) : Cela ajoute une couche de sécurité supplémentaire en exigeant une deuxième forme de vérification, comme un code par SMS ou une question de sécurité.
- Utilisez un gestionnaire de mots de passe : Ces outils vous aident à créer et à stocker des mots de passe complexes en toute sécurité, afin que vous n'ayez pas à vous en souvenir de tous.
- Mettez régulièrement à jour votre mot de passe : Changez vos mots de passe tous les quelques mois pour minimiser le risque d'accès non autorisé. C'est encore mieux si vous pouvez forcer la mise à jour des mots de passe pour les utilisateurs.
- Évitez d'utiliser le Wi-Fi public pour les connexions sensibles : Si possible, utilisez une connexion sécurisée et privée lorsque vous vous connectez à des comptes importants.
- Gardez vos logiciels à jour : Les mises à jour régulières peuvent vous protéger contre les vulnérabilités de sécurité que les attaquants peuvent exploiter.
De plus, vous voudrez peut-être limiter les tentatives de connexion sur votre site WordPress.
Lors d'une attaque par force brute, les pirates utilisent des logiciels automatisés pour deviner à plusieurs reprises les mots de passe en raison de l'autorisation par défaut de la plateforme pour des tentatives de connexion illimitées.
La limitation des tentatives de connexion échouées, comme le blocage temporaire des utilisateurs après 5 tentatives infructueuses, réduit considérablement le risque d'accès non autorisé par des attaques par force brute.
Questions fréquemment posées sur la façon de masquer les indices de connexion dans WordPress
Voici quelques questions que nos lecteurs nous ont fréquemment posées sur la façon de masquer les indices de connexion dans les messages d'erreur de connexion WordPress :
Comment corriger une erreur de connexion WordPress dans l'administration de WordPress ?
Pour corriger une erreur de connexion WordPress dans l'administration de WordPress, vérifiez d'abord que votre nom d'utilisateur et votre mot de passe sont corrects. Si le problème persiste, essayez de vider les cookies de votre navigateur, de désactiver les plugins via FTP ou de réinitialiser votre mot de passe via phpMyAdmin.
Comment supprimer l'option de connexion dans WordPress ?
Vous pouvez supprimer l'option de connexion dans WordPress en redirigeant la page de connexion par défaut vers une autre page ou en utilisant un plugin tel que WPS Hide Login. Ceci est utile pour les sites d'adhésion ou les sites qui souhaitent limiter l'accès aux seuls utilisateurs enregistrés.
Quelles sont les erreurs de connexion WordPress courantes ?
Les erreurs de connexion WordPress courantes incluent « Mot de passe incorrect », « Nom d'utilisateur inconnu », « Trop de tentatives de connexion échouées » et « Les cookies sont bloqués ou non pris en charge ». Celles-ci se produisent généralement en raison de mauvais identifiants, de conflits de plugins ou de problèmes de mise en cache.
Comment vider le journal d'erreurs WordPress ?
Vous pouvez vider le journal d'erreurs WordPress en accédant au dossier wp-content sur votre serveur, en localisant le fichier debug.log et en supprimant son contenu. Alternativement, vous pouvez désactiver la journalisation dans votre fichier wp-config.php pour empêcher l'enregistrement de nouvelles erreurs.
Nous espérons que cet article vous a aidé à apprendre comment masquer les indices de connexion des messages d'erreur de connexion WordPress. Ensuite, vous voudrez peut-être aussi consulter notre guide sur la façon de créer un portail client avec des connexions et des pages privées ou comment ajouter une connexion sociale à WordPress.
Si vous avez aimé cet article, abonnez-vous à notre Chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous trouver sur Twitter et Facebook.
Dennis Muthomi
Je suggérerais d'aller plus loin en implémentant l'authentification à deux facteurs pour une couche de sécurité supplémentaire. J'ai désactivé les indices de connexion et implémenté la 2FA juste pour être sûr (j'ai déjà été piraté).
Thomas Maier
Bonjour, comment puis-je traduire le code ci-dessus dans différentes langues ? J'en ai besoin pour la connexion woocommerce pour les clients.
Support WPBeginner
Vous voudriez changer le texte « Quelque chose ne va pas ! » par le texte que vous souhaitez, mais si vous voulez que le texte change dans plusieurs langues, cela nécessiterait un peu plus de codage que ce que nous aurions pour un article pour débutants. Dans ce cas, vous voudriez jeter un œil aux plugins multilingues.
Admin
Vahn
Merci beaucoup ! J'ai passé des heures à chercher l'endroit où changer cela.
Support WPBeginner
Glad our guide was helpful
Admin
Izzy
Lorsque j'ajoute cela à mon plugin WpTouch, une partie du code s'affiche dans mon en-tête...
Support WPBeginner
Tant que le code fonctionne sur la version de bureau, vous devriez contacter WPTouch pour leur signaler ce problème afin qu'ils l'examinent.
Admin
Anand
Eh bien, il est facile de connaître le nom d'utilisateur s'il est correct, car lorsque le nom d'utilisateur est entré correctement et le mot de passe incorrect, le champ du nom d'utilisateur ne devient pas vide même après avoir reçu l'avertissement « quelque chose ne va pas ». Ce qui est clairement un indice que oui, c'est le nom d'utilisateur correct. Y a-t-il un moyen de rendre le champ du nom d'utilisateur vide dans ce scénario. S'il vous plaît, aidez-moi.
Shane
Y a-t-il un moyen de changer le texte du message d'erreur sur la page lostpassword qui dit par défaut : « Veuillez entrer votre nom d'utilisateur ou votre adresse e-mail. Vous recevrez un lien pour créer un nouveau mot de passe par e-mail. » ?
Je n'arrive pas à trouver de documentation sur le sujet
Nick
Je me posais la même question. Pourquoi ne pouvons-nous pas simplement changer le libellé du message d'erreur au lieu d'ajouter une fonction qui pourrait être écrasée lors de la prochaine mise à jour ?
Paco
La seule chose, c'est que lorsque vous entrez un nom d'utilisateur correct et un mot de passe incorrect, un message s'affiche « quelque chose ne va pas », mais vous pouvez voir le nom d'utilisateur, ce qui le confirme au cas où vous l'auriez deviné. Je ne sais pas si cela se produit dans WordPress 4.5. Y a-t-il un moyen de laisser le champ nom d'utilisateur vide même s'il est correct ? Merci
maudenicholson2
Je suis curieux de savoir quel système de blog vous utilisez ? J'ai quelques petits problèmes de sécurité avec mon dernier site web et j'aimerais trouver quelque chose de plus sécurisé. Avez-vous des solutions ?
Support WPBeginner
Nous utilisons WordPress avec Sucuri.
Admin
freyaewu73605919
Je suis vraiment reconnaissant au propriétaire de cette page web qui a partagé cet article énorme à ce moment-là.
deneengranger
Avez-vous une vidéo de cela ? J'aimerais trouver des informations supplémentaires.
Support WPBeginner
La vidéo sera bientôt disponible. Veuillez vous abonner à notre chaîne YouTube.
Admin
Bob
WP Simple Firewall ou Shield vous donne la possibilité de masquer le menu de connexion, de verrouiller le tableau de bord et il est livré avec la prévention des attaques Sucuri et Brute. C'est un plugin gratuit, utilisez-le en conjonction avec un gestionnaire de mots de passe, afin de ne pas oublier ou perdre vos mots de passe. J'utilise Lastpass, qui est également gratuit. Shield a remplacé six plugins de sécurité et a accéléré mon site web.
Phillip George
Existe-t-il une ligne d'assistance en Australie car j'ai oublié mon nom d'utilisateur pour la connexion, étant un peu âgé, c'est un problème
Bob
G’day Phillip, désolé mate, pas de ligne d'assistance. Essayez de passer par celui qui héberge votre site Web, il devrait pouvoir vous aider. Une fois réinitialisé, utilisez un gestionnaire de mots de passe comme Lastpass, vous n'avez qu'à vous souvenir d'un seul mot de passe. ÉCRIVEZ-LE ; ai-je dit écrivez-le parce que si vous ne le faites pas, ÉCRIVEZ-LE vous serez vraiment dans la panade, sans pagaie.