Par défaut, WordPress affiche des messages d'erreur sur la page de connexion lorsqu'une personne saisit un nom d'utilisateur ou un mot de passe incorrect. Bien que ces messages soient destinés à aider les utilisateurs, ils peuvent également donner des indices aux pirates qui tentent de s'introduire sur votre site.
Désactiver ces indices de connexion est un moyen simple de renforcer la sécurité de votre site.
En cachant ces détails, vous rendez plus difficile pour les pirates de deviner vos identifiants. Nous les désactivons toujours sur nos sites pour une couche de protection supplémentaire.
Dans cet article, nous vous expliquerons comment désactiver les indices de connexion dans WordPress pour vous aider à rendre votre site Web plus sécurisé.
Que sont les indices de connexion dans les messages d'erreur de connexion WordPress ?
Chaque fois que quelqu'un essaie de se connecter à votre site en utilisant un nom d'utilisateur ou un mot de passe incorrect, WordPress affichera un message d'erreur sur l'écran de connexion.
Si cette personne a saisi un nom d'utilisateur incorrect ou une adresse e-mail, WordPress affichera l'erreur suivante : « Le nom d'utilisateur n'est pas enregistré sur ce site. Si vous n'êtes pas sûr de votre nom d'utilisateur, essayez votre adresse e-mail à la place. »
Cela peut être utile pour les utilisateurs légitimes, mais cela permet également aux pirates de savoir qu'ils saisissent un nom d'utilisateur incorrect.
La saisie du nom d'utilisateur correct mais d'un mot de passe incorrect déclenche l'erreur : « Le mot de passe que vous avez saisi pour le nom d'utilisateur est incorrect. Mot de passe oublié ? »
Ceci confirme une supposition de nom d'utilisateur correcte pour les attaquants potentiels.
Si quelqu'un parvient à deviner votre nom d'utilisateur, le message d'erreur lui indiquera qu'il est sur la bonne voie. Cela signifie que seul votre mot de passe l'empêche d'accéder à votre compte.
Les propriétaires de sites WordPress peuvent également se connecter à leur site en utilisant une adresse e-mail au lieu de leur nom d'utilisateur. Cela signifie qu'un pirate pourrait essayer différentes adresses e-mail pour essayer de découvrir quelle adresse vous utilisez pour votre compte WordPress.
Dès que le pirate devine la bonne adresse e-mail, WordPress passera à l'erreur « Le mot de passe que vous avez entré pour le nom d'utilisateur est incorrect ».
Pour protéger votre blog ou site WordPress contre les pirates, vous devez toujours utiliser un nom d'utilisateur unique et un mot de passe fort pour votre compte.
Si vous avez ajouté d'autres utilisateurs ou auteurs WordPress à votre site, vous voudrez peut-être également utiliser un plugin WordPress pour forcer vos utilisateurs à créer un mot de passe fort.
Bien que ces étapes soient un excellent début, les indices de connexion peuvent aider les pirates à pénétrer sur votre site. Dans cet esprit, examinons comment vous pouvez masquer les indices de connexion dans les messages d'erreur de connexion WordPress.
Masquer les indices de connexion dans WordPress
Le moyen le plus simple de désactiver les indices de connexion dans les messages d'erreur de connexion WordPress est de coller du code dans WordPress. Bien que nous ne le suggérions normalement pas aux débutants, WPCode permet à quiconque d'ajouter facilement du code à son site Web WordPress.
Vous pouvez ajouter le fragment de code suivant en bas du fichier functions.php de votre site, mais cela pourrait faire planter votre site.
D'après notre expérience, WPCode est très convivial pour les débutants et garantit que même si vous faites une erreur en ajoutant du code personnalisé, votre site reste accessible. Pour en savoir plus, consultez notre avis détaillé sur WPCode.
Tout d'abord, vous devez installer et activer le plugin gratuit WPCode. Pour des instructions détaillées, vous pouvez consulter notre guide sur comment installer un plugin WordPress.
Une fois activé, il vous suffit d'aller dans Extraits de code » +Ajouter un extrait depuis votre tableau de bord d'administration WordPress. Ensuite, vous devrez survoler « Ajouter votre code personnalisé » avec votre souris et cliquer sur « Utiliser l'extrait ».
Après cela, il vous suffit de nommer votre nouvel extrait et de coller le code suivant dans la zone « Aperçu du code » :
function no_wordpress_errors(){ return 'Something is wrong!'; } add_filter( 'login_errors', 'no_wordpress_errors' ); Ce code modifie l'erreur par défaut de la page de connexion en un message personnalisé, tel que « Quelque chose ne va pas ! ».
De plus, ce code indique à WordPress d'afficher un message personnalisé au lieu de l'erreur par défaut. Dans l'exemple de code ci-dessus, nous utilisons « Quelque chose ne va pas ! » comme message d'erreur.
Vous pouvez modifier cette ligne pour afficher le message de votre choix. Par exemple, nous utilisons ici « Quelque chose ne va pas ! » comme message d'erreur :
return 'Something is wrong!'; Assurez-vous de sélectionner PHP dans le menu déroulant « Type de code », puis vous pouvez basculer le commutateur de « Inactif » à « Actif » et cliquer sur « Enregistrer le extrait ».
Une fois que vous avez fait cela, il est conseillé de tester votre nouveau message d'erreur.
Pour effectuer ce test, rendez-vous simplement sur la page de connexion de votre site Web et tapez le nom d'utilisateur, le mot de passe ou l'e-mail incorrect. Ensuite, cliquez sur le bouton « Se connecter ».
WordPress affichera désormais votre nouveau message d'erreur sans vous donner d'indices sur ce qui pourrait être erroné.
Notez que bien que ce code désactive les indices de connexion dans WordPress, il ne vous protégera pas contre les tentatives plus avancées ou les attaques par force brute.
La façon la plus simple d'empêcher les pirates d'accéder à votre site est d'utiliser un plugin de sécurité WordPress comme Cloudflare ou WordFence.
Pour plus d'informations, vous pouvez lire notre guide ultime sur la façon de sécuriser votre site Web WordPress.
Tutoriel vidéo
Pour vous faciliter la tâche, nous avons également créé un tutoriel vidéo sur la façon de désactiver les indices de connexion dans les messages d'erreur de connexion WordPress.
Astuce bonus : Améliorer la sécurité de votre connexion WordPress
Maintenant que vous connaissez l'importance d'un nom d'utilisateur et d'un mot de passe solides, explorons d'autres moyens de renforcer la sécurité de votre connexion. C'est important non seulement pour vous, mais aussi pour toute personne contribuant à votre blog, surtout si plusieurs auteurs s'en occupent.
Voici quelques conseils supplémentaires pour sécuriser davantage vos comptes :
🔐 Activez l'authentification à deux facteurs (2FA) : Cela ajoute une couche de sécurité supplémentaire en exigeant une deuxième forme de vérification, comme un code par SMS ou une question de sécurité.
🔑 Utilisez un gestionnaire de mots de passe : Ces outils vous aident à créer et à stocker des mots de passe complexes en toute sécurité, afin que vous n'ayez pas à vous en souvenir de tous.
🔄 Mettez régulièrement à jour votre mot de passe : Changez vos mots de passe tous les quelques mois pour minimiser le risque d'accès non autorisé. Il est encore mieux si vous pouvez forcer la mise à jour des mots de passe pour les utilisateurs.
🚫 Évitez d'utiliser le Wi-Fi public pour les connexions sensibles : Si possible, utilisez une connexion sécurisée et privée lorsque vous vous connectez à des comptes importants.
🛠️ Maintenez vos logiciels à jour : Les mises à jour régulières peuvent vous protéger contre les vulnérabilités de sécurité que les attaquants pourraient exploiter.
En plus de tout cela, vous voudrez peut-être limiter les tentatives de connexion sur votre site WordPress.
Lors d'une attaque par force brute, les pirates utilisent des logiciels automatisés pour deviner à plusieurs reprises les mots de passe en raison de l'autorisation par défaut de la plateforme pour des tentatives de connexion illimitées.
Limiter les tentatives de connexion échouées, comme le blocage temporaire des utilisateurs après 5 essais infructueux, réduit considérablement le risque d'accès non autorisé par des attaques par force brute.
Nous espérons que cet article vous a aidé à apprendre comment masquer les indices de connexion dans les messages d'erreur de connexion WordPress. Ensuite, vous voudrez peut-être également consulter notre guide sur comment créer un portail client avec des connexions et des pages privées ou comment ajouter une connexion sociale à WordPress.
Si cet article vous a plu, abonnez-vous à notre chaîne YouTube pour des tutoriels vidéo WordPress. Vous pouvez également nous retrouver sur Twitter et Facebook.
Dennis Muthomi
Je suggérerais d'aller plus loin en implémentant l'authentification à deux facteurs pour une couche de sécurité supplémentaire. J'ai désactivé les indices de connexion et implémenté la 2FA juste pour être sûr (j'ai déjà été piraté).
Thomas Maier
Bonjour, comment puis-je traduire le code ci-dessus dans différentes langues ? J'en ai besoin pour la connexion woocommerce pour les clients.
Support WPBeginner
Vous voudriez changer le texte « Quelque chose ne va pas ! » par le texte que vous souhaitez, mais si vous voulez que le texte change dans plusieurs langues, cela nécessiterait un peu plus de codage que ce que nous aurions pour un article pour débutants. Dans ce cas, vous voudriez jeter un œil aux plugins multilingues.
Admin
Vahn
Merci beaucoup ! J'ai passé des heures à chercher l'endroit où changer cela.
Support WPBeginner
Glad our guide was helpful
Admin
Izzy
Lorsque j'ajoute cela à mon plugin WpTouch, une partie du code s'affiche dans mon en-tête...
Support WPBeginner
Tant que le code fonctionne sur la version de bureau, vous devriez contacter WPTouch pour leur signaler ce problème afin qu'ils l'examinent.
Admin
Anand
Eh bien, il est facile de connaître le nom d'utilisateur s'il est correct, car lorsque le nom d'utilisateur est entré correctement et le mot de passe incorrect, le champ du nom d'utilisateur ne devient pas vide même après avoir reçu l'avertissement « quelque chose ne va pas ». Ce qui est clairement un indice que oui, c'est le nom d'utilisateur correct. Y a-t-il un moyen de rendre le champ du nom d'utilisateur vide dans ce scénario. S'il vous plaît, aidez-moi.
Shane
Y a-t-il un moyen de changer le texte du message d'erreur sur la page lostpassword qui dit par défaut : « Veuillez entrer votre nom d'utilisateur ou votre adresse e-mail. Vous recevrez un lien pour créer un nouveau mot de passe par e-mail. » ?
Je n'arrive pas à trouver de documentation sur le sujet
Nick
Je me posais la même question. Pourquoi ne pouvons-nous pas simplement changer le libellé du message d'erreur au lieu d'ajouter une fonction qui pourrait être écrasée lors de la prochaine mise à jour ?
Paco
La seule chose, c'est que lorsque vous entrez un nom d'utilisateur correct et un mot de passe incorrect, un message s'affiche « quelque chose ne va pas », mais vous pouvez voir le nom d'utilisateur, ce qui le confirme au cas où vous l'auriez deviné. Je ne sais pas si cela se produit dans WordPress 4.5. Y a-t-il un moyen de laisser le champ nom d'utilisateur vide même s'il est correct ? Merci
maudenicholson2
Je suis curieux de savoir quel système de blog vous utilisez ? J'ai quelques petits problèmes de sécurité avec mon dernier site web et j'aimerais trouver quelque chose de plus sécurisé. Avez-vous des solutions ?
Support WPBeginner
Nous utilisons WordPress avec Sucuri.
Admin
freyaewu73605919
Je suis vraiment reconnaissant au propriétaire de cette page web qui a partagé cet article énorme à ce moment-là.
deneengranger
Avez-vous une vidéo de cela ? J'aimerais trouver des informations supplémentaires.
Support WPBeginner
La vidéo sera bientôt disponible. Veuillez vous abonner à notre chaîne YouTube.
Admin
Bob
WP Simple Firewall ou Shield vous donne la possibilité de masquer le menu de connexion, de verrouiller le tableau de bord et il est livré avec la prévention des attaques Sucuri et Brute. C'est un plugin gratuit, utilisez-le en conjonction avec un gestionnaire de mots de passe, afin de ne pas oublier ou perdre vos mots de passe. J'utilise Lastpass, qui est également gratuit. Shield a remplacé six plugins de sécurité et a accéléré mon site web.
Phillip George
Existe-t-il une ligne d'assistance en Australie car j'ai oublié mon nom d'utilisateur pour la connexion, étant un peu âgé, c'est un problème
Bob
G’day Phillip, désolé mate, pas de ligne d'assistance. Essayez de passer par celui qui héberge votre site Web, il devrait pouvoir vous aider. Une fois réinitialisé, utilisez un gestionnaire de mots de passe comme Lastpass, vous n'avez qu'à vous souvenir d'un seul mot de passe. ÉCRIVEZ-LE ; ai-je dit écrivez-le parce que si vous ne le faites pas, ÉCRIVEZ-LE vous serez vraiment dans la panade, sans pagaie.