Pro­ject Force Field

Trom­pez les agres­seurs sur le lien de login

Si vous avez ins­tal­lé des plu­gins pour empê­cher les attaques de force brute (des bots qui essaient de se connec­ter à votre admi­nis­tra­tion en tes­tant tous les login et mots de passe pos­sibles) genre Login Lock­Down, vous pou­vez regret­ter que votre ser­veur fasse les frais de cette pro­tec­tion puisqu’il doit tra­vailler à contrô­ler les requêtes puis la ges­tion des IP valides ou pas, etc…
Pro­ject Force Field cherche à allé­ger ces pro­blèmes en par­tant d’un prin­cipe simple : puisque les pirates cherchent la faci­li­té, ils visent par­ti­cu­liè­re­ment l’URL de login de votre admi­nis­tra­tions à savoir www.monsite.com/wp-login.php. Il suf­fit donc de modi­fier cet URL pour trom­per les méchants bots.
C’est ce que fait le plu­gin en ajou­tant une couche de pro­tec­tion sup­plé­men­taire dyna­mique : si la nou­velle URL est atta­quée, elle est modi­fiée à nou­veau. Vous pou­vez aus­si défi­nir vous-même le nom de l’URL en modi­fiant votre fichier wp-config.php.

Oui mais com­ment je fais pour me connec­ter à mon site ? Et bien, il suf­fit de se rendre sur l’URL wp-admin habi­tuelle (qui redi­rige auto­ma­ti­que­ment vers l’URL géné­rée par le plu­gin si vous n’êtes pas déjà connecté).

Incon­vé­nients

Le plu­gin n’est plus main­te­nu à jour ce qui est embê­tant pour un plu­gin de sécurité.
Si vous uti­li­sez d’autres plu­gins ou fonc­tion qui ont besoin de wp-login.php, vous ris­quez d’avoir des pro­blèmes – je pense à des plu­gins de membres, de redi­rec­tion après connexion, etc…
Il sem­ble­rait que le plu­gin ne soit pas com­pa­tible avec les URL https.

- site de l’extension : http://​word​press​.org/​p​l​u​g​i​n​s​/​p​r​o​j​e​c​t​-​f​o​r​c​e​-​f​i​e​ld/
– com­pa­ti­bi­li­té à ce jour : WP 3.8 > WP 3.9.2 (fonc­tionne sous WP 4.1.1)
– ver­sion tes­tée : 0.6.1

Par­ta­gez

Si vous avez trou­vé une faute d’orthographe, infor­mez-nous en sélec­tion­nant le texte en ques­tion et en appuyant sur Ctrl + Entrée s’il vous plaît,.

4 réponses sur “ Pro­ject Force Field ”
  1. Hel­lo Li-An

    Effec­ti­ve­ment c’est une bonne solu­tion. Il existe un plu­gin qui rem­plit très bien cette tâche “SF Move login”, concoc­té et main­te­nu par Greg (Screen­Feed) et Julio (M. Sécurité).

    Très effi­cace car non seule­ment pro­tège wp-login mais éga­le­ment les autres accès au dash­board (wp-admin, logout, regis­ter, lost­pass­word, resetpass)

    En com­bi­nai­son avec Login Lock­down, c’est une paire gagnante !

    On le trouve là : https://​word​press​.org/​p​l​u​g​i​n​s​/​s​f​-​m​o​v​e​-​l​o​g​in/

    1. J’en avais en effet déjà par­lé – d’ailleurs il appa­rait dans les billets rela­tifs auto­ma­ti­sés. Ce que j’aimais bien dans Pro­ject Force Field, c’est le fait qu’il réagisse en cas de recherche d’URL de sub­sti­tu­tion par les bots. Mais SF Move Login a le grand avan­tage d’être maintenu.

  2. Salut, j’utilise depuis quelques mois main­te­nant SF Move Login pour le chan­ge­ment d’URL qui est très bien lorsque l’on subit des attaques sur le wp-admin ou wp-login.

    Cepen­dant celui-ci devint tota­le­ment inef­fi­cace lorsque les attaques ciblent direc­te­ment les fonc­tions Admin ajax/post, j’ai donc du ins­tal­ler le plu­gin ‘IP Geo Block’ même si il n’est pas conçu pour cela, car pour le moment il me per­met de miti­ger les ten­ta­tives d’intrusion…

    Si quelqu’un à une solu­tion pour blo­quer les attaques sur Admin ajax/post je suis pre­neur, merci ! ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Aucun support n’est fourni pour les extensions testées. Vous pouvez utiliser Markdown pour les commentaires.