Project Force Field

Trompez les agresseurs sur le lien de login

Si vous avez installé des plugins pour empêcher les attaques de force brute (des bots qui essaient de se connecter à votre administration en testant tous les login et mots de passe possibles) genre Login LockDown, vous pouvez regretter que votre serveur fasse les frais de cette protection puisqu’il doit travailler à contrôler les requêtes puis la gestion des IP valides ou pas, etc…
Project Force Field cherche à alléger ces problèmes en partant d’un principe simple: puisque les pirates cherchent la facilité, ils visent particulièrement l’URL de login de votre administrations à savoir www.monsite.com/wp-login.php. Il suffit donc de modifier cet URL pour tromper les méchants bots.
C’est ce que fait le plugin en ajoutant une couche de protection supplémentaire dynamique: si la nouvelle URL est attaquée, elle est modifiée à nouveau. Vous pouvez aussi définir vous-même le nom de l’URL en modifiant votre fichier wp-config.php.

Oui mais comment je fais pour me connecter à mon site ? Et bien, il suffit de se rendre sur l’URL wp-admin habituelle (qui redirige automatiquement vers l’URL générée par le plugin si vous n’êtes pas déjà connecté).

Inconvénients

Le plugin n’est plus maintenu à jour ce qui est embêtant pour un plugin de sécurité.
Si vous utilisez d’autres plugins ou fonction qui ont besoin de wp-login.php, vous risquez d’avoir des problèmes – je pense à des plugins de membres, de redirection après connexion, etc…
Il semblerait que le plugin ne soit pas compatible avec les URL https.

– site de l’extension : http://wordpress.org/plugins/project-force-field/
– compatibilité à ce jour: WP 3.8 > WP 3.9.2 (fonctionne sous WP 4.1.1)
– version testée: 0.6.1

Partagez

Si vous avez trouvé une faute d’orthographe, informez-nous en sélectionnant le texte en question et en appuyant sur Ctrl + Entrée s’il vous plaît,.

4 réponses sur “ Project Force Field ”
  1. Hello Li-An

    Effectivement c’est une bonne solution. Il existe un plugin qui remplit très bien cette tâche “SF Move login”, concocté et maintenu par Greg (ScreenFeed) et Julio (M. Sécurité).

    Très efficace car non seulement protège wp-login mais également les autres accès au dashboard (wp-admin, logout, register, lostpassword, resetpass)

    En combinaison avec Login Lockdown, c’est une paire gagnante !

    On le trouve là : https://wordpress.org/plugins/sf-move-login/

    1. J’en avais en effet déjà parlé – d’ailleurs il apparait dans les billets relatifs automatisés. Ce que j’aimais bien dans Project Force Field, c’est le fait qu’il réagisse en cas de recherche d’URL de substitution par les bots. Mais SF Move Login a le grand avantage d’être maintenu.

  2. Salut, j’utilise depuis quelques mois maintenant SF Move Login pour le changement d’URL qui est très bien lorsque l’on subit des attaques sur le wp-admin ou wp-login.

    Cependant celui-ci devint totalement inefficace lorsque les attaques ciblent directement les fonctions Admin ajax/post, j’ai donc du installer le plugin ‘IP Geo Block’ même si il n’est pas conçu pour cela, car pour le moment il me permet de mitiger les tentatives d’intrusion…

    Si quelqu’un à une solution pour bloquer les attaques sur Admin ajax/post je suis preneur, merci ! ;)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Notifiez-moi les commentaires à venir via email. Vous pouvez aussi vous abonner sans commenter.

Aucun support n’est fourni pour les extensions testées. Vous pouvez utiliser Markdown pour les commentaires.