Project Force Field

Trompez les agresseurs sur le lien de login

Si vous avez instal­lé des plugins pour empê­cher les attaques de force brute (des bots qui essaient de se connec­ter à votre admi­nis­tra­tion en testant tous les login et mots de passe possibles) genre Login Lock­Down, vous pouvez regret­ter que votre serveur fasse les frais de cette protec­tion puisqu'il doit travailler à contrô­ler les requêtes puis la gestion des IP valides ou pas, etc…
Project Force Field cherche à allé­ger ces problèmes en partant d'un prin­cipe simple : puisque les pirates cherchent la faci­li­té, ils visent parti­cu­liè­re­ment l'URL de login de votre admi­nis­tra­tions à savoir www.monsite.com/wp-login.php. Il suffit donc de modi­fier cet URL pour trom­per les méchants bots.
C'est ce que fait le plugin en ajou­tant une couche de protec­tion supplé­men­taire dyna­mique : si la nouvelle URL est atta­quée, elle est modi­fiée à nouveau. Vous pouvez aussi défi­nir vous-même le nom de l'URL en modi­fiant votre fichier wp-config.php.

Oui mais comment je fais pour me connec­ter à mon site ? Et bien, il suffit de se rendre sur l'URL wp-admin habi­tuelle (qui redi­rige auto­ma­ti­que­ment vers l'URL géné­rée par le plugin si vous n'êtes pas déjà connecté).

Inconvénients

Le plugin n'est plus main­te­nu à jour ce qui est embê­tant pour un plugin de sécurité.
Si vous utili­sez d'autres plugins ou fonc­tion qui ont besoin de wp-login.php, vous risquez d'avoir des problèmes – je pense à des plugins de membres, de redi­rec­tion après connexion, etc…
Il semble­rait que le plugin ne soit pas compa­tible avec les URL https.

[alert type="info" icon-size="big"]- site de l’extension : https://​word​press​.org/​p​l​u​g​i​n​s​/​p​r​o​j​e​c​t​-​f​o​r​c​e​-​f​i​e​ld/
– compa­ti­bi­li­té à ce jour : WP 3.8 > WP 3.9.2 (fonc­tionne sous WP 4.1.1)
– version testée : 0.6.1
[/​alert]

Ceci peut vous intéresser : 

Étiquettes

4 commentaires

  1. Hello Li-An

    Effec­ti­ve­ment c'est une bonne solu­tion. Il existe un plugin qui remplit très bien cette tâche "SF Move login", concoc­té et main­te­nu par Greg (Screen­Feed) et Julio (M. Sécurité).

    Très effi­cace car non seule­ment protège wp-login mais égale­ment les autres accès au dash­board (wp-admin, logout, regis­ter, lost­pass­word, resetpass)

    En combi­nai­son avec Login Lock­down, c'est une paire gagnante !

    On le trouve là : https://​word​press​.org/​p​l​u​g​i​n​s​/​s​f​-​m​o​v​e​-​l​o​g​in/

    • J'en avais en effet déjà parlé – d'ailleurs il appa­rait dans les billets rela­tifs auto­ma­ti­sés. Ce que j'aimais bien dans Project Force Field, c'est le fait qu'il réagisse en cas de recherche d'URL de substi­tu­tion par les bots. Mais SF Move Login a le grand avan­tage d'être maintenu.

  2. Salut, j'utilise depuis quelques mois main­te­nant SF Move Login pour le chan­ge­ment d'URL qui est très bien lorsque l'on subit des attaques sur le wp-admin ou wp-login.

    Cepen­dant celui-ci devint tota­le­ment inef­fi­cace lorsque les attaques ciblent direc­te­ment les fonc­tions Admin ajax/​post, j'ai donc du instal­ler le plugin 'IP Geo Block' même si il n'est pas conçu pour cela, car pour le moment il me permet de miti­ger les tenta­tives d'intrusion…

    Si quelqu'un à une solu­tion pour bloquer les attaques sur Admin ajax/​post je suis preneur, merci ! ;)

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Ce site embarque des cookies pour vous offrir la meilleur expérience possible

ACCEPTER PLUS D’INFOS