Comment empêcher des malfaiteurs de se connecter à un blogue à titre d’administrateur ?

Publié le 21 mars 2025 | Temps de lecture : 5 minutes


 
L’administrateur accède à un blogue par le biais de la page d’accès. Avant de permettre cet accès, cette page exige qu’on lui précise deux choses : son nom d’utilisateur et son mot de passe.

Par défaut, la page d’accès porte le même nom pour tous les blogues sous WordPress.

De plus, au sein d’une entreprise, lorsque plusieurs personnes agissent en qualité d’administrateur, il n’est pas rare qu’on choisisse un nom d’administrateur facile à retenir comme ‘admin’ ou ‘wp-admin’.

Lorsqu’on commet cette imprudence, la seule protection du blogue contre les pirates devient le mot de passe.

Contrairement à une carte de crédit ou à un appareil mobile qui est automatiquement inactivé après trois tentatives d’accès infructueuses, ce n’est pas le cas d’un blogue; un pirate peut essayer un nombre illimité de fois. Avec le danger qu’il finisse par trouver par hasard le mot de passe.

Afin de ne pas se faire remarquer, les pirates font rarement plusieurs tentatives successives. Après un échec, ils choisissent de revenir un autre jour.

Depuis plusieurs années, j’utilise le logiciel d’appoint WP Statistics pour analyser l’audience du blogue. Sans y porter attention, j’avais observé que plusieurs internautes consultaient une page intitulée Stranica za prijavu sans savoir de quoi il s’agissait.

L’éditeur de ce logiciel d’appoint est slovaque. Dans cette langue, Stranica za prijavu désigne la page d’accès.


 
Dans la capture d’écran ci-dessus, on peut voir trois tentatives infructueuses.

Il existe d’autres logiciels d’appoint, plus spécialisés, dont le but est de bloquer temporairement ou définitivement l’accès du blogue aux internautes suspects.

Malheureusement, ils ont deux défauts.

Premièrement, ils sont peu efficaces. Du 1er novembre au 3 décembre dernier, les logiciels que j’ai testés m’ont avisé par courriel au sujet de seulement huit des 222 tentatives de connexion dénombrées par WP Statistics, soit une efficacité de 3,6 %.

Deuxièmement, pour réussir, ces logiciels devraient noter l’adresse IP du visiteur afin de la bannir. Or cela est interdit par les règles de confidentialité de l’Union européenne.

La meilleure solution consiste à faire en sorte que la page d’accès porte un autre nom que celui par défaut sous WordPress. Le logiciel que j’utilise à cette fin est WPS Hide Login.


 
La configuration de WPS Hide Login est simple.

La première boite de saisie permet de préciser le nouveau nom de la page d’accès. Il vous faudra retenir ce nom puisque dès lors, c’est elle qui vous permettra d’accéder à votre propre blogue.

La nouvelle page d’accès sera identique à celle que vous utilisiez auparavant (illustrée au début de ce texte).

Toutefois, ceux qui s’adresseront à l’ancienne page d’accès recevront un message d’erreur selon lequel cette page n’existe plus.

Plutôt que de recourir à cette page d’erreur standard, on peut opter pour un message d’erreur personnalisé. Dans mon cas, j’ai choisi de faire croire aux pirates qu’ils avaient été pris en flagrant délit.

Pour ce faire, il faut créer une page personnalisée.

Parmi tous les documents que peuvent consulter les lecteurs d’un blogue, WordPress distingue entre les ‘pages’ et les ‘articles’. Fondamentalement, c’est la même chose.

Les articles sont des documents qui s’ajoutent à la queue leu leu au fur et à mesure de leur publication. Par contre, les pages sont des documents ‘intemporels’ dans le sens qu’ils ne sont pas liés à une date de publication.


 
Les pages sont créées en cliquant sur ‘Pages’, à gauche dans le menu vertical du Tableau de bord, puis en cliquant sur ‘Ajouter une page’.


 
J’ai choisi d’appeler cette page de redirection ‘Interdit’. Tout ce qu’elle affiche, c’est l’image ci-dessus.

Si vous choisissez de créer une page de redirection, son nom pourrait apparaitre dans la liste des articles les plus consultés. Si vous évitez de lui donner un titre, il y aura une entrée vide dans cette liste (ci-contre).


 
Pour éviter cela, dans le menu latéral du Tableau de bord, il faut cliquer ‘Apparence’, ‘ Widgets ’, choisir le module ‘Pages et Articles Phares’ et décocher la case ‘Pages’.

Une fois toutes ces précautions prises, pour pirater votre blogue, un malfaiteur doit connaitre absolument trois choses : le nom de votre page d’accès, votre nom d’utilisateur et votre mot de passe. C’est beaucoup.

Depuis que j’utilise WPS Hide Login, aucun pirate n’a réussi à accéder à ma page d’accès. Cela signifie que personne n’a réussi à franchir ce premier obstacle.

Avez-vous aimé ce texte ?

Prière de choisir un nombre d’étoiles.

Moyenne : 0 / 5. Nombre de votes : 0

Soyez la première personne à voter.

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Ce texte a été classé sous Informatique.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

>