Masquer les erreurs de login

Maintenant qu’on a passé en revue les grands principes de la sécurisation WordPress, à savoir :

Je vais partir dans une série de petites astuces à mettre en place sur votre WordPress pour en améliorer la sécurité. Et aujourd’hui, je vais vous expliquer comment masquer les erreurs de login.

Sur la page de login (/wp-admin/ ou wp-login.php), il est relativement simple de savoir si vous vous êtes trompé au niveau de l’identifiant ou du mot de passe grâce au message d’erreur qui s’affiche.

Par exemple, si je tape n’importe quoi comme login, j’obtiens le message suivant :

erreurlogin Sécuriser WordPress   Masquer les erreurs de login

Je sais donc que c’est le login qui n’est pas bon. Par contre, si j’ai le bon login, il m’indique ceci :

erreupass Sécuriser WordPress   Masquer les erreurs de login

Je sais donc qu’il ne me reste plus qu’à trouver le mot de passe. Niark niark niark !

Donc pour éviter qu’un attaquant ne se serve de cette information pour “deviner” votre identifiant, il suffit de masquer le message d’erreur grâce à ce petit bout de code à rajouter dans le fichier functions.php présent dans le répertoire de votre thème.

add_filter(‘login_errors’, create_function(‘$a’, “return null;”));

corrige Sécuriser WordPress   Masquer les erreurs de login

Ainsi, impossible de savoir si c’est au niveau du login ou du mot de passe qu’on s’est planté.

Une autre solution un peu plus élégante permet aussi de changer tout simplement le message d’erreur. Pour cela, mettez ceci dans le fichier functions.php de votre thème.

add_filter(‘login_errors’, create_function(‘$no_login_error’, “return ‘Mauvais identifiants’;”));

Ainsi que vous entriez un mauvais login ou un mauvais mot de passe, vous obtiendrez toujours le message suivant :

gloomy Sécuriser WordPress   Masquer les erreurs de login

A bientôt pour la suite !

korben