Commentaires

  1. Thomas a écrit

    Merci je vais le tester au plus vite. Je cherchais justement une astuce dans ce genre là :)
    Est-il possible de personnaliser le nom de la page de connexion ?

    Et bravo pour ce blog très instructif :)

  2. a écrit

    Hello,

    Merci pour ce plugin les gars ! :)
    Par contre tout comme Thomas qui propose la personnalisation du « slug » (ou des slugs même), pour aller plus loin je ne vois même pas l’intérêt si on ne peut pas le personnaliser.

    Au lieu de tester « /wp-login.php » pour me connecter, je teste « /wp-login.php » et « /login », là où tester « /vasygros-connecte-moi » sera déjà moins souvent parcouru je pense :)

    Vu le code je ne pense pas que ce soit trop complexe à personnaliser :p

    En tout cas bien joué ;)
    Bonne continuation,
    Geoffrey

    • a écrit

      De rien mon ami.
      Modifier le slug ne le cache pas car si tu vas sur /wp-admin tu es alors redirigé vers la bonne URL, quelle qu’elle soit.
      Ce serait juste histoire de personnaliser, mais c’est tout.
    • a écrit

      Les bots qui visent les blogs/sites à brute-forcer n’ont pas la possibilité de connaitre ça de façon automatique. On reste la cible si un humain nous cible ou paramètre volontairement son bot contre nous, mais là, c’est un autre sujet. Entre être la cible d’un bot et la cible d’un vrai hacker, il y a un monde.
      Le plugin a été testé sur un site qui recevait trop de brute force justement, c’est pour cela que Greg a eu l’idée de se faire son plugin (oui chez nous on recrée en plus léger ce qui existe en lourd ailleurs hihi).
      Et donc sur ce site, 0 brute force grâce à ça !!
  3. a écrit

    Hello,

    Bravo pour la sortie de ce plugin ( je n’ai pas encore eu le temps de le testé par contre ).
    Si l’on appel le « wp-login.php » nous avons une erreur, c’est nickel.
    Par contre si l’on appel le « wp-admin/ » et que nous ne sommes pas authentifié, il y a la bonne redirection, à partir d’ici, l’attaquant peut connaitre l’URL.

    Moyen de prendre en charge la redirection si l’origine du REFERER est bien « /login » ?
    Le script kiddies ( ouai je l’appel de cette manière ) peut très rapidement modifier son script de manière à prendre en charge la bonne URL.

    Cordialement

    • a écrit

      L’url de login sera connue de toute façon, le but n’est pas de la cacher des script kiddies, la description du plugin indique bien que c’est pour empêcher les bots crawlers de wp-login.
      Il existe d’autres solutions pour cacher véritablement l’url comme ajouter manuellement un paramètre pour enfin l’afficher. Mais cette intervention manuelle est une plaie et vos membres vont vite se sauver.
      Le plugin a donc bien pour but de bloquer les robots et non les humains. Si vous êtes la cible d’un hacker, ce n’est pas le fait de cacher cette page qui va vous sauver ;(
    • a écrit

      C’est noté, je comprends donc mieux l’intérêt du plugin ( que je vais conseiller d’ailleurs à des clients ).
      De mon côté, je suis en train de voir comment définie de genre d’intervention en jouant avec le fichier « .htaccess » et en utilisant des alias ;) Tu trouverez surement cela sur mon blog dans la semaine à venir.

      Bonne continuation !

  4. a écrit

    Bonjour,

    Un bon plugin pratique et facile d’utilisation. Un peu de sécurité en plus ne fait pas de mal!
    Je pense que je vais pas mal le recommander à mon petit niveau ;-)

    En passant je tenais à dire, super blog, j’apprends beaucoup! Merci!

  5. Cuncta a écrit

    Bonjour,

    Je suis sur la construction d’un nouveau site qui nécessite quelques règles de sécurité élémentaires. Après avoir tenté des modifications sur le .htaccess moi même j’ai trouvé votre plugin intéressant. Ça m’a l’air d’être du bon travail et les personnes n’en disent que du bien. Voilà pour quoi je me dis que je suis tout pourri sur ce coup ^^

    Je ne parviens pas à faire fonctionner convenablement ce plugin. Les réécritures se font convenablement, mais j’ai toujours accès à /domaine/wp-admin (je tombe sur le formulaire de connexion), domaine/wp-login (là j’atterris encore sur le formulaire de connexion) domaine/wp-login.php (cette fois je suis bien redirigé vers ma page d’accueil). Par contre mon domaine/choixpathconnexion lui fonctionne aussi…

    C’est peut-être moi qui ne comprends pas trop le fonctionnement du plugin, mais j’aimerai complètement interdire l’accès au /domaine/wp-admin.

    Merci pour vos tuyaux ;-)

    Bonne journée !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>