Move Login est une extension permettant de modifier l’URL de la page de connexion à l’administration de WordPress. l’URL pour l’inscription ainsi que celle de remise à zéro du mot de passe sont également modifiables.
Ce que fait Move Login
Exemples :
http://example.com/wp-login.php => http://example.com/login/
http://example.com/wp-login.php?action=register => http://example.com/register/
En parallèle, l’accès à http://example.com/wp-login.php sera interdit (par défaut, un message d’erreur sera affiché).
À noter pour les installations Multisite que chaque site aura droit à sa propre page de connexion.
Le but premier de cette extension n’est pas d’avoir une jolie URL facile à retenir, c’est un plus. Le vrai but de cette extension est stopper les tentatives de brute-force sur votre page de connexion.
De Wikipedia :
La méthode « Brute Force » est une approche exhaustive des problèmes : la solution est trouvée en testant tous les cas possibles jusqu’à la découverte de la solution.
En clair, on essaie toutes les combinaisons possibles de login/mot de passe jusqu’à trouver la bonne. Le but recherché étant bien sûr de pénétrer dans l’administration du site.
Mais au final, on ne fait que déplacer le problème ailleurs ?
Oui mais non. Certes, on peut toujours tenter de « brute forcer » votre login à la nouvelle adresse, mais ce n’est pas un humain qui fait ces tentatives, mais un robot (comprendre : un script/logiciel présent sur un serveur ou un ordinateur distant). Et le robot est bête (en général). Sur un site WordPress, la page de connexion se situe à l’adresse http://example.com/wp-login.php, il va donc tenter ses vils desseins à cette adresse, et pas ailleurs.
Configuration
On active l’extension, ça marche.
L’extension a une page de réglages où vous pourrez personnaliser ces URLs. Move Login a par contre besoin d’écrire dans le fichier .htaccess de votre site. S’il ne le peut pas, il le signalera et ce sera à vous d’ajouter les lignes nécessaires au fichier via un logiciel ftp.
Sur la page de réglages, on peut aussi décider de l’action à réaliser lorsque quelqu’un tente d’accéder à l’ancienne URL de la page de connexion, ou à l’administration.
L’extension prend en charge les serveurs IIS et Nginx (non testé avec IIS), et il faudra paramétrer le serveur manuellement.
Principaux filtres et actions
1- Action lors d’un accès à wp-login.php
C’est l’action à entreprendre lorsque quelqu’un tente d’accéder à wp-login.php
.
Cette action est paramétrable dans les réglages, cependant un hook est disponible :'sfml_wp_login_error'
(action).
Exemple, redirection vers une page spécifique du site :
1234567
remove_action( 'sfml_wp_login_error', 'sfml_wp_login_error' );
add_action( 'sfml_wp_login_error', 'my_wp_login_error' );
function my_wp_login_error() {
wp_redirect( get_permalink( 42 ) ); // ID de la page à personnaliser
exit;
}
Pour l’action à entreprendre lorsque quelqu’un tente d’accéder directement à l’administration, c’est la même chose mais avec l’action sfml_wp_admin_error
(normalement, la personne est redirigée vers la page de connexion).
2- Formulaires de connexion additionnels
Certaines extensions peuvent ajouter leur propre action à la page de connexion, c’est à dire un nouveau formulaire. Move Login gère déjà ces actions supplémentaires, sous la forme example.com/login/?action=my-custom-action
.
Un simple filtre permet d’ajouter cette action à la liste de celles personnalisables :
123456
add_filter( 'sfml_additional_slugs', 'foo_add_move_login_slug' );
function foo_add_move_login_slug( $slugs ) {
$slugs['my-custom-action'] = __( 'My custom action' );
return $slugs;
}
Ici, my-custom-action
est donc l’action, et __( 'My custom action' )
est le texte du champ texte dans la page de réglages de Move Login.
Ainsi, l’URL deviendra example.com/my-custom-action/
par défaut, et sera personnalisable dans les réglages. Un détail par contre, l’utilisateur devra se rendre sur la page de réglages et enregistrer les réglages, car le fichier .htaccess devra encore être édité par Move Login pour prendre en compte cette nouvelle action.
Au secours !
Bloqué à l’extérieur ? Un truc qui foire ? Vous ne pouvez plus vous connecter ?
Il y a une solution. Avec un logiciel ftp, ajoutez la ligne suivante à votre fichier wp-config.php
(situé à la racine du site) : define('SFML_ALLOW_LOGIN_ACCESS', true);
Vous aurez alors accès à la page de connexion traditionnelle, le temps de trouver où se situe le problème.
Besoin d’aide ? Les commentaires sont ouverts, ainsi que le forum sur le site de WordPress.
Co-développeur : Julio Potier.
Commentaires
Commentaire de Mylène.
Bonjour et merci pour ce plugin bien utile ainsi que ce site très riche en informations !
Une petite question de débutante, j’ai installé Move Login, tout bien paramétré et ensuite j’ai testé de me connecter à mon site avec : http://www.monsite.fr/wp-login sans le .php, et ça redirige vers la page de connexion…
C’est normal ?
Je précise que j’ai installé Noop et choisi pour les deux actions « Afficher un message d’erreur ».
Ceci dit, c’est peu-être pas important, mais j’me demandais…
Encore merci pour votre travail !
Mylène
Commentaire de Grégory Viguier.
Bonjour, désolé pour le temps de réponse.
Non, wp-login ne devrait pas rediriger vers la page de connexion. Je ne vois pas trop ce qui pourrait causer cela, un autre plugin je suppose.
Cela n’a pas vraiment d’importance à priori.
Commentaire de Yves.
Bonjour,
Merci pour ce plut-in que je viens de mettre sur mes sites WP suite à une double attaque. Par contre, je ne peux plus retourner sur mon admin, en tout cas plus avec la même adresse et je n’ai pas compris comment le faire… J’ai un dossier sur la racine (wp) avec wordpress et un fichier index sur cette même racine qui mène sur wp.
Je voulais surtout consulter ma version layer évolution qui semble être le souci!
Desolé si je n’ai pas compris… et merci
Commentaire de Grégory Viguier.
Bonjour.
Ça me semble être le but de ce plugin, ne pas accéder à wp-login.php :)
Par défaut, la page de connexion se trouve à /login/.
Commentaire de Yves.
Bonjour,
Oui, je comprends, mais j’ai beau faire la page est introuvable. Avec /wp-admin j’obtient une redirection.
Mon dossier wordpress est dans dans un dossier wp, lui-même étant à la racine avec une copie de l’index. Problème ici?
Commentaire de Grégory Viguier.
/wp-admin/ redirige vers quelle adresse ?
J’avoue que c’est une configuration que je n’ai jamais rencontrée. Du coup, l’URL de connexion était /wp/wp-login.php ou /wp-login.php ?
Commentaire de Yves.
Je viens de pouvoir me loguer sur un site avec http://www.monsite.ch/wp/login
Donc ça marche. Je dois peut-être voir côté cache pour les deux autres. Pour ma configuration, c’était pour avoir les fichiers wordpress dans un dossier à lui et ne pas mélanger avec ceux en racine. Pour ma connexion d’origine: /wp/wp-admin
Commentaire de Grégory Viguier.
Et oui, il ne faut pas oublier le /wp/ :)
L’ancienne adresse était donc http://www.monsite.ch/wp/wp-login.php, donc c’est bon, tout est normal.
Oui je m’en doutais. En revanche je ne savais pas que WP pouvait fonctionner d’une telle manière.
Bonne soirée.
Commentaire de Yves.
Oui, je vais me débrouiller avec les deux autres car je crois que ça viens d’un fichier .htaccess
Merci et bonne soirée également
Commentaire de Frédéric.
Bonjour,
Merci pour ce plugin :) Avant de l’installer, j’ai une petite question. Est-ce que ce la fonctionne avec le plugin Wordfence et surtout avec l’identification par sms ?
Merci d’avance pour votre réponse.
Bien à vous
Frédéric
Commentaire de Grégory Viguier.
Bonjour.
La réponse est simple : je n’en sais rien :D
Je ne teste pas mes plugins avec tous ceux disponibles ;) Tout ce que je peux dire c’est que pour l’instant je n’ai pas eu de retour négatif à ce sujet.
Bonne journée.
Commentaire de Michael.
Bonjour,
Un grand merci pour ce plugin qui me permettra de mettre des battons dans les roues des robots (j’ai compté 10 000 tentatives de connexion dans mes logs en deux heures, à ce rythme là, ils allaient bien finir par le trouver mon mot de passe !).
J’avais juste une question sur la configuration des messages d’erreur. Puis-je les modifier ?
Merci par avance et bravo pour cette extension.
Michaël
Commentaire de Grégory Viguier.
Bonjour.
Oui, en quelque sorte. Si vous avez la vrai page de réglages vous pouvez déjà choisir entre 404 / redirection vers l’accueil / message d’erreur.
Sinon pour changer le message d’erreur lui-même il faut en passer par un bout de code :
123456
(à mettre dans le fichier functions.php de votre thème par exemple)
Commentaire de Adier.
Salutations . Excellent plugin . Je l’utilise sur une installation normale de wordpress et fonctionne parfaitement . Mais maintenant installer dans un multisite et me redirige pour aller à la page d’erreur 404. Ne laissez pas la session . Je ai appris à effacer le plugin de rentrer . Apprécierait votre aide que je pouvais oublier. Merci
Commentaire de Grégory Viguier.
Hi Adier.
If you speak English, it would be better than google translate ;)
I understand you have trouble with a multisite installation. Is that right?
Commentaire de Gérald.
Bonjour Grégory,
tout d’abord bravo pour votre travail et sa mise à disposition gracieuse.
J’ai été successivement blacklisté google suite à l’infection de mon site par le fameux revolution slider puis j’ai subit des attaques force brute par salve depuis : je me suis aussitôt tourné vers la solution sucuri.
Je précise que je ne m’y connait pas assez pour résoudre ces problèmes seuls.
Les attaques continuants et signalés par sucuri, j’ai installé votre excellent plugin et le module noop. Je pense avoir tout installé correctement en lisant les nombreuses explications ci et là mais lorsque je me connecte avec monsite/login/ j’accède bien à la page de connection et lorsque je rentre identifiant et mdp, j’ai le message suivant : « Trop de redirectionssont survenues en tentant d’ouvrir « monsite/login ».Ceci peut se produire lorsque vous ouvrez une page qui est redirigée vers une autre page laquelle se redirige à son tour vers la page originale » : j’imagine que cela vient de sucuri ? A chaque fois il me faut repasser par le ftp, du coup, je vais laisser tomber : une idée ?
Par avance, merci et bonne année à venir.
Cordialement
Commentaire de Grégory Viguier.
Bonjour Gérald.
De rien ;)
Il semblerait en effet qu’un plugin fasse une redirection au niveau de la page de login. À vue de nez, je dirais que ça viendrait d’un plugin qui permet de personnaliser l’apparence de la page de connexion ou d’un plugin de sécurité. Comme tu mentionnes Securi, il est probable que cela vienne de lui. Non pas qu’il y ait un problème dans Securi, mais sûrement que les 2 plugins ne sont pas compatibles ensemble. As-tu essayé de désactiver Securi pour voir si le problème persiste ?
Commentaire de Gérald.
Merci pour ta réponse, je vais essayer cette solution, en attendant les attaques persistes alors je bascule le plugin move sur « on » la nuit …
Bonnes fêtes