Project Force Field

Trompez les agresseurs sur le lien de login

Si vous avez instal­lé des plugins pour empê­cher les attaques de force brute (des bots qui essaient de se connec­ter à votre admi­nis­tra­tion en testant tous les login et mots de passe possibles) genre Login Lock­Down, vous pouvez regret­ter que votre serveur fasse les frais de cette protec­tion puis­qu’il doit travailler à contrô­ler les requêtes puis la gestion des IP valides ou pas, etc…
Project Force Field cherche à allé­ger ces problèmes en partant d’un prin­cipe simple : puisque les pirates cherchent la faci­li­té, ils visent parti­cu­liè­re­ment l’URL de login de votre admi­nis­tra­tions à savoir www.monsite.com/wp-login.php. Il suffit donc de modi­fier cet URL pour trom­per les méchants bots.
C’est ce que fait le plugin en ajou­tant une couche de protec­tion supplé­men­taire dyna­mique : si la nouvelle URL est atta­quée, elle est modi­fiée à nouveau. Vous pouvez aussi défi­nir vous-même le nom de l’URL en modi­fiant votre fichier wp-config.php.

Oui mais comment je fais pour me connec­ter à mon site ? Et bien, il suffit de se rendre sur l’URL wp-admin habi­tuelle (qui redi­rige auto­ma­ti­que­ment vers l’URL géné­rée par le plugin si vous n’êtes pas déjà connecté).

Inconvénients

Le plugin n’est plus main­te­nu à jour ce qui est embê­tant pour un plugin de sécurité.
Si vous utili­sez d’autres plugins ou fonc­tion qui ont besoin de wp-login.php, vous risquez d’avoir des problèmes – je pense à des plugins de membres, de redi­rec­tion après connexion, etc…
Il semble­rait que le plugin ne soit pas compa­tible avec les URL https.

[alert type=« info » icon-size=« big »]- site de l’extension : https://​word​press​.org/​p​l​u​g​i​n​s​/​p​r​o​j​e​c​t​-​f​o​r​c​e​-​f​i​e​ld/
– compa­ti­bi­li­té à ce jour : WP 3.8 > WP 3.9.2 (fonc­tionne sous WP 4.1.1)
– version testée : 0.6.1
[/​alert]

Abon­­nez-vous par mail à l’Écho des Plugins
Vous rece­vrez un mail pour vous préve­nir de chaque nouvel article publié sur ce blog
En vous abon­nant, vous accep­tez notre poli­tique de confi­den­tia­li­té.

Ceci peut vous intéresser

Étiquettes

4 commentaires

  1. Hello Li-An

    Effec­ti­ve­ment c’est une bonne solu­tion. Il existe un plugin qui remplit très bien cette tâche « SF Move login », concoc­té et main­te­nu par Greg (Screen­Feed) et Julio (M. Sécurité).

    Très effi­cace car non seule­ment protège wp-login mais égale­ment les autres accès au dash­board (wp-admin, logout, regis­ter, lost­pass­word, resetpass)

    En combi­nai­son avec Login Lock­down, c’est une paire gagnante !

    On le trouve là : https://​word​press​.org/​p​l​u​g​i​n​s​/​s​f​-​m​o​v​e​-​l​o​g​in/

    • J’en avais en effet déjà parlé – d’ailleurs il appa­rait dans les billets rela­tifs auto­ma­ti­sés. Ce que j’ai­mais bien dans Project Force Field, c’est le fait qu’il réagisse en cas de recherche d’URL de substi­tu­tion par les bots. Mais SF Move Login a le grand avan­tage d’être maintenu.

  2. Salut, j’uti­lise depuis quelques mois main­te­nant SF Move Login pour le chan­ge­ment d’URL qui est très bien lorsque l’on subit des attaques sur le wp-admin ou wp-login.

    Cepen­dant celui-ci devint tota­le­ment inef­fi­cace lorsque les attaques ciblent direc­te­ment les fonc­tions Admin ajax/​post, j’ai donc du instal­ler le plugin ‘IP Geo Block’ même si il n’est pas conçu pour cela, car pour le moment il me permet de miti­ger les tenta­tives d’intrusion…

    Si quel­qu’un à une solu­tion pour bloquer les attaques sur Admin ajax/​post je suis preneur, merci ! ;)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Ce site embarque des cookies pour vous offrir la meilleur expérience possible

ACCEPTER PLUS D’INFOS

Spelling error report

The following text will be sent to our editors:

Send