Vous souhaitez limiter l’accès par adresse IP à votre fichier wp-login.php dans WordPress ?
La page de connexion de WordPress est souvent attaquée par des attaques DDoS et des pirates informatiques pour accéder à votre site Web. Limiter l’accès à des adresses IP spécifiques peut bloquer efficacement ces tentatives.
Dans cet article, nous allons vous montrer comment limiter facilement l’accès par IP à votre fichier wp-login.php dans WordPress.
Pourquoi limiter l’accès à wp-login.php par adresse IP ?
La page de connexion d’un site Web WordPress (généralement, wp-login.php) est l’endroit où les utilisateurs se connectent à votre site.
En tant que propriétaire du site, elle vous donne accès à la zone d’administration de WordPress où vous pouvez effectuer la maintenance du site, écrire du contenu et gérer votre site.
Cependant, les attaques par force brute courantes sur Internet sont connues pour cibler la page wp-login.php afin d’accéder aux sites Web. Même si elles n’y parviennent pas, elles peuvent ralentir votre site Web, voire le faire tomber en panne.
Une façon de faire face à cette situation est de bloquer les adresses IP d’où proviennent les attaques (nous en parlerons plus loin dans l’article).
Une adresse IP est comme un numéro de téléphone qui identifie un ordinateur spécifique sur Internet. Les pirates peuvent utiliser un logiciel pour modifier leur adresse IP.
Cependant, les attaques plus sophistiquées utilisent un plus grand nombre d’adresses IP et il n’est pas toujours possible de toutes les bloquer.
Dans ce cas, vous pouvez limiter l’accès à des adresses IP spécifiques utilisées par vous-même et par d’autres utilisateurs de votre site web.
Ceci étant dit, voyons comment limiter facilement l’accès au fichier wp-login.php par des adresses IP spécifiques en utilisant 3 moyens différents, dont le pare-feu de sécurité en nuage.
1. Limiter l’accès à la page de connexion de WordPress par adresse IP
Pour cette méthode, vous devez ajouter du code au fichier .htaccess.
Le fichier .htaccess est un fichier de configuration de serveur spécial qui se trouve dans le dossier racine de votre site Web et auquel vous pouvez accéder par FTP ou par l’application Gestionnaire de fichiers de votre panneau de contrôle d’hébergement WordPress.
Il suffit de se connecter à votre site WordPress à l’aide d’un client FTP et de modifier votre fichier .htaccess en ajoutant le code suivant en haut.
ordre deny,allow
Refuser à tous
# whitelist Votre propre adresse IP
allow from xx.xxx.xx.xx
#Liste blanche de l'adresse IP d'un autre utilisateur
autorisé à partir de xx.xxx.xx.xx
N’oubliez pas de remplacer les XX par vos propres adresses IP. Vous pouvez facilement trouver votre adresse IP en visitant la page SupportAlly.
Si d’autres utilisateurs doivent également se connecter à votre site Web, vous pouvez leur demander de fournir leur adresse IP. Vous pouvez ensuite les ajouter au fichier .htaccess.
Voici un autre exemple du code susmentionné.
ordre deny,allow
Refuser à tous
# Whitelist John comme administrateur du site web
autoriser à partir de 35.199.128.0
#Whitelist Tina comme éditeur
autorisé à partir de 108.59.80.0
# Whitelist Ali en tant que modérateur
autorisé à partir de 216.239.32.0
Désormais, les utilisateurs possédant ces adresses IP pourront consulter le fichier wp-login.php et se connecter à votre site Web. Les autres utilisateurs verront le message d’erreur suivant :
2. Blocage de l’accès à votre site Web par des adresses IP spécifiques
Cette méthode est totalement à l’opposé de la première.
Au lieu de limiter l’accès à la page de connexion de WordPress à des adresses IP spécifiques, vous serez en mesure de bloquer les adresses IP utilisées pour attaquer votre site Web.
Cette méthode est particulièrement utile pour les sites Web d’adhésion WordPress, les boutiques de commerce électronique, ou d’autres sites Web où plusieurs utilisateurs doivent se connecter pour accéder à leurs comptes.
L’inconvénient de cette méthode est que les pirates peuvent changer leurs adresses IP et continuer à attaquer votre site Web.
Heureusement, la plupart des tentatives de piratage de WordPress utilisent un ensemble fixe d’adresses IP, ce qui rend cette méthode efficace dans la plupart des cas.
Étape 1 : Trouver les adresses IP offensantes que vous voulez bloquer
Tout d’abord, vous devez trouver les adresses IP utilisées pour attaquer votre site Web.
Le moyen le plus simple de trouver ces adresses est de consulter les journaux de votre serveur. Il suffit de vous rendre dans le panneau de contrôle de votre compte d’hébergement et de cliquer sur l’icône Journaux d’accès brut.
Sur la page suivante, cliquez sur votre nom de domaine pour télécharger les journaux d’accès. Ceci téléchargera un fichier avec une extension gz.
Vous devrez extraire le fichier et l’ouvrir avec un éditeur de texte comme Notepad ou TextEdit.
Vous y trouverez les adresses IP qui accèdent de façon répétée à la page wp-login.php.
Copiez et collez les adresses IP dans un fichier texte distinct sur votre ordinateur.
Étape 2. Bloquer les adresses IP suspectes
Ensuite, vous devez vous connecter au panneau de contrôle de votre hébergement WordPress et cliquer sur l’icône du bloqueur d’IP.
Sur l’écran suivant, copiez et collez simplement les adresses IP que vous voulez bloquer et cliquez sur le bouton Ajouter.
Répétez le processus pour bloquer toutes les autres adresses IP suspectes que vous souhaitez.
C’est tout ! Vous avez réussi à bloquer complètement l’accès à votre site Web aux adresses IP suspectes.
Plus tard, si vous avez besoin de débloquer l’une de ces adresses IP, vous pouvez simplement le faire à partir de l’application de blocage d’adresses IP.
3. Protection de la connexion WordPress avec Website Firewall
En tant qu’administrateur de site Web, vous ne souhaitez peut-être pas passer trop de temps à gérer les adresses IP qui peuvent accéder à votre page de connexion WordPress.
Le moyen le plus simple de protéger vos pages de connexion WordPress est d’utiliser Sucuri. Il s’agit du meilleur pare-feu WordPress qui accompagne un plugin de sécurité WordPress complet.
Le pare-feu du site web de Sucuri filtre automatiquement les adresses IP suspectes pour les empêcher d’accéder aux fichiers principaux importants de WordPress sans qu’elles n’atteignent jamais votre site web.
Cette méthode améliore également les performances et la vitesse de votre WordPress, car elle empêche les activités suspectes de ralentir votre serveur.
En plus de cela, Sucuri est également livré avec un réseau CDN intégré. Il sert automatiquement les fichiers statiques comme les images, les feuilles de style et le JavaScript à partir d’un serveur plus proche de vos utilisateurs.
Vous pouvez facilement mettre sur une liste blanche les adresses IP des utilisateurs s’ils ne peuvent pas accéder aux pages de connexion de WordPress.
Alternative : Cloudflare Free CDN
Nous espérons que cet article vous a aidé à apprendre comment limiter l’accès par adresse IP à votre fichier wp-login.php. Vous pouvez également consulter notre guide complet sur la sécurité de WordPress ou ces conseils supplémentaires pour protéger la zone d’administration de WordPress.