Move Login est une extension permettant de modifier l’URL de la page de connexion à l’administration de WordPress. l’URL pour l’inscription ainsi que celle de remise à zéro du mot de passe sont également modifiables.
Ce que fait Move Login
Exemples :
http://example.com/wp-login.php => http://example.com/login/
http://example.com/wp-login.php?action=register => http://example.com/register/
En parallèle, l’accès à http://example.com/wp-login.php sera interdit (par défaut, un message d’erreur sera affiché).
À noter pour les installations Multisite que chaque site aura droit à sa propre page de connexion.
Le but premier de cette extension n’est pas d’avoir une jolie URL facile à retenir, c’est un plus. Le vrai but de cette extension est stopper les tentatives de brute-force sur votre page de connexion.
De Wikipedia :
La méthode « Brute Force » est une approche exhaustive des problèmes : la solution est trouvée en testant tous les cas possibles jusqu’à la découverte de la solution.
En clair, on essaie toutes les combinaisons possibles de login/mot de passe jusqu’à trouver la bonne. Le but recherché étant bien sûr de pénétrer dans l’administration du site.
Mais au final, on ne fait que déplacer le problème ailleurs ?
Oui mais non. Certes, on peut toujours tenter de « brute forcer » votre login à la nouvelle adresse, mais ce n’est pas un humain qui fait ces tentatives, mais un robot (comprendre : un script/logiciel présent sur un serveur ou un ordinateur distant). Et le robot est bête (en général). Sur un site WordPress, la page de connexion se situe à l’adresse http://example.com/wp-login.php, il va donc tenter ses vils desseins à cette adresse, et pas ailleurs.
Configuration
On active l’extension, ça marche.
L’extension a une page de réglages où vous pourrez personnaliser ces URLs. Move Login a par contre besoin d’écrire dans le fichier .htaccess de votre site. S’il ne le peut pas, il le signalera et ce sera à vous d’ajouter les lignes nécessaires au fichier via un logiciel ftp.
Sur la page de réglages, on peut aussi décider de l’action à réaliser lorsque quelqu’un tente d’accéder à l’ancienne URL de la page de connexion, ou à l’administration.
L’extension prend en charge les serveurs IIS et Nginx (non testé avec IIS), et il faudra paramétrer le serveur manuellement.
Principaux filtres et actions
1- Action lors d’un accès à wp-login.php
C’est l’action à entreprendre lorsque quelqu’un tente d’accéder à wp-login.php
.
Cette action est paramétrable dans les réglages, cependant un hook est disponible :'sfml_wp_login_error'
(action).
Exemple, redirection vers une page spécifique du site :
1234567
remove_action( 'sfml_wp_login_error', 'sfml_wp_login_error' );
add_action( 'sfml_wp_login_error', 'my_wp_login_error' );
function my_wp_login_error() {
wp_redirect( get_permalink( 42 ) ); // ID de la page à personnaliser
exit;
}
Pour l’action à entreprendre lorsque quelqu’un tente d’accéder directement à l’administration, c’est la même chose mais avec l’action sfml_wp_admin_error
(normalement, la personne est redirigée vers la page de connexion).
2- Formulaires de connexion additionnels
Certaines extensions peuvent ajouter leur propre action à la page de connexion, c’est à dire un nouveau formulaire. Move Login gère déjà ces actions supplémentaires, sous la forme example.com/login/?action=my-custom-action
.
Un simple filtre permet d’ajouter cette action à la liste de celles personnalisables :
123456
add_filter( 'sfml_additional_slugs', 'foo_add_move_login_slug' );
function foo_add_move_login_slug( $slugs ) {
$slugs['my-custom-action'] = __( 'My custom action' );
return $slugs;
}
Ici, my-custom-action
est donc l’action, et __( 'My custom action' )
est le texte du champ texte dans la page de réglages de Move Login.
Ainsi, l’URL deviendra example.com/my-custom-action/
par défaut, et sera personnalisable dans les réglages. Un détail par contre, l’utilisateur devra se rendre sur la page de réglages et enregistrer les réglages, car le fichier .htaccess devra encore être édité par Move Login pour prendre en compte cette nouvelle action.
Au secours !
Bloqué à l’extérieur ? Un truc qui foire ? Vous ne pouvez plus vous connecter ?
Il y a une solution. Avec un logiciel ftp, ajoutez la ligne suivante à votre fichier wp-config.php
(situé à la racine du site) : define('SFML_ALLOW_LOGIN_ACCESS', true);
Vous aurez alors accès à la page de connexion traditionnelle, le temps de trouver où se situe le problème.
Besoin d’aide ? Les commentaires sont ouverts, ainsi que le forum sur le site de WordPress.
Co-développeur : Julio Potier.
Commentaires
Commentaire de Martin.
Bonjour
Cela fait deux jours que je subis des attaques brutes force, ma sécurité est en place, mais j’aurais voulu compléter le tout avec SF move Login par contre il ne marche pas du tout avec mon site.
Celui-ci est dans un sous domaine wwww=>home=>mon site j’ai un htaccess à la racine du www et un à la racine du home.
J’ai tout essayé et à chaque fois je suis bloqué en dehors de mon site et doit modifier le wp-config pour re rentrer.
Avez-vous une idée de ce que je pourrais mettre en place pour pouvoir utiliser votre plugin qui est vraiment génial
http://m-art-work.com
Commentaire de E. Roy.
Bonjour,
Suite à une série continue de tentatives de connexion sur mon entrée administrateur, j’ai installé votre plugin : il fonctionne très bien — lorsque je le teste en tous cas — donc, ravi, merci!
Et pourtant, je continue de recevoir des avis de Wordfence de type : « A user with IP address xx.xx.xxx.xxx has been locked out from the signing in or using the password recovery form for the following reason :Used an invalid username ‘xxxxx’ to try to sign in. »
J’en reçois un peu plus si je désactive Move Login, mais la différence n’est pas très significative.
Auriez-vous une explication, car comme je le constate moi-même, mon login n’est plus à l’adresse que Wordfence me signale…
Cordialement,
E. Roy
Commentaire de Grégory Viguier.
Bonjour.
Il est possible que ces tentatives de connexion se fassent via XML-RPC. Pour cela il est possible de désactiver XML-RPC si vous n’en avez pas besoin, par exemple avec cette extension.
Commentaire de E. Roy.
Merci, ça fonctionne en effet! plus aucune tentative de connexion ne m’est notifiée!
Commentaire de Jean-Luc @ Aircraft Cabin Leader.
Bonjour,
J’ai une question un peu basique pour un pro comme vous, mais je n’arrive pas à faire fonctionner Move Login et je cherche à comprendre.
J’ai installé wordpress dans un répertoire et pas à la racine et je me demandais s’il est nécessaire d’avoir un htaccess à la racine et un dans le répertoire où se trouvent tous les fichiers WP ?
A chaque fois que je tape http://www.monsite/repertoire/login j’obtiens une page 404 et je ne peux plus me connecté.
j’ai pourtant suivi vos insctructions en ajoutant
define('SFML_ALLOW_LOGIN_ACCESS', true);
dans le wp-config.php – Pouvez-vous m’aider ?Commentaire de Grégory Viguier.
Bonjour.
Le plugin est prévu pour fonctionner dans une telle situation normalement. Le fichier .htaccess est créé dans le répertoire http://www.monsite/repertoire/. S’il ne marche pas c’est qu’un autre plugin est probablement en conflit.
Juste pour confirmer, le fichier wp-login.php est bien dans ce même répertoire ?
Commentaire de Jean-Luc @ Aircraft Cabin Leader.
Oui le fichier wp-login.php est bien dans le répertoire où se trouvent tous les fichiers WordPress. voici les plugins qui sont installés : Contact-form-7, Akismet, All-in-One WP Migration, Document Gallery, Easy, Theme and Plugin Upgrades, Envato WordPress Toolkit, Master Slider Pro, Revolution Slider, SF Move Login, UpdraftPlus – Backup/Restore, Wordfence, Security, WP Google Maps, WP-Optimize, WPBakery Visual Composer (Artbees Modified Version) and YoastSEO
Auriez-vous une idée, de par votre expérience , duquel le conflit peut venir ?
J’ai laissé Move admin activé pour éviter de recevoir les notifiactions de Wordfence mais à chaque fois je dois passer par Ftp pour déactiver et pouvoir me connecter. Je continue mes recherches.
Commentaire de Gosofo P. Inalosotufe.
Bonjour,
J’ai installé MoveLogin et il ne fonctionne pas.
La page renvoie sur une page inconnue…
Il fonctionne sur un autre site (plugin noop toujours actif).
Ici je n’ai pas installé noop, puisqu’apparemment ce n’est plus nécessaire.
l’adresse de connection est http://www.botanique.org/parole/
J’aurais aimé également déplacer le wp-config, mais je sèche…
Merci
Vincent
Commentaire de Akro Web.
Bonjour,
Merci pour ce super plugin.
Et merci pour l’ensemble des tutos sur votre site qui m’ont dépanné plus d’une fois.
Commentaire de vince40.
Bonjour Gregory,
Après la dernière mise à jour aujourd’hui V.2.4 j’ai le même soucis que d’autre (vu sur le forum wordpress)
à priori un conflit avec WP Rocket selon tes dires !
Voilà l’erreur : L’extension n’a pas pu être activée, car elle a déclenché une erreur fatale.
Fatal error: Using $this when not in object context in /home/vince40/eco-conception-aquitaine/wp-content/plugins/sf-move-login/inc/classes/class-sfml-options.php on line 171
Serveur en php5.6
J’ai la possibilité de passer en 7.0 ou 7.1 mais pas testé encore …
Donc comme solution avant une éventuelle mise à jour de WP Rocket pour corriger où puis-je trouver l’ancienne version de move login v2.3 ? merci
Commentaire de Grégory Viguier.
Salut Vince.
Je ne pense pas que changer de version PHP aide. Tu peux trouver la version 2.3 ici. Le problème est actuellement en cours de correction du côté de WP Rocket.
Bonne soirée.