Move Login

Move Login est une extension permettant de modifier l’URL de la page de connexion à l’administration de WordPress. l’URL pour l’inscription ainsi que celle de remise à zéro du mot de passe sont également modifiables.

Ce que fait Move Login

Exemples :
http://example.com/wp-login.php => http://example.com/login/
http://example.com/wp-login.php?action=register => http://example.com/register/
En parallèle, l’accès à http://example.com/wp-login.php sera interdit (par défaut, un message d’erreur sera affiché).
À noter pour les installations Multisite que chaque site aura droit à sa propre page de connexion.

Le but premier de cette extension n’est pas d’avoir une jolie URL facile à retenir, c’est un plus. Le vrai but de cette extension est stopper les tentatives de brute-force sur votre page de connexion.

De Wikipedia :

La méthode « Brute Force » est une approche exhaustive des problèmes : la solution est trouvée en testant tous les cas possibles jusqu’à la découverte de la solution.

En clair, on essaie toutes les combinaisons possibles de login/mot de passe jusqu’à trouver la bonne. Le but recherché étant bien sûr de pénétrer dans l’administration du site.

Mais au final, on ne fait que déplacer le problème ailleurs ?

Oui mais non. Certes, on peut toujours tenter de « brute forcer » votre login à la nouvelle adresse, mais ce n’est pas un humain qui fait ces tentatives, mais un robot (comprendre : un script/logiciel présent sur un serveur ou un ordinateur distant). Et le robot est bête (en général). Sur un site WordPress, la page de connexion se situe à l’adresse http://example.com/wp-login.php, il va donc tenter ses vils desseins à cette adresse, et pas ailleurs.

Configuration

On active l’extension, ça marche.
L’extension a une page de réglages où vous pourrez personnaliser ces URLs. Move Login a par contre besoin d’écrire dans le fichier .htaccess de votre site. S’il ne le peut pas, il le signalera et ce sera à vous d’ajouter les lignes nécessaires au fichier via un logiciel ftp.

Sur la page de réglages, on peut aussi décider de l’action à réaliser lorsque quelqu’un tente d’accéder à l’ancienne URL de la page de connexion, ou à l’administration.

L’extension prend en charge les serveurs IIS et Nginx (non testé avec IIS), et il faudra paramétrer le serveur manuellement.

Principaux filtres et actions

1- Action lors d’un accès à wp-login.php

C’est l’action à entreprendre lorsque quelqu’un tente d’accéder à wp-login.php.
Cette action est paramétrable dans les réglages, cependant un hook est disponible :'sfml_wp_login_error' (action).
Exemple, redirection vers une page spécifique du site :

1234567

remove_action( 'sfml_wp_login_error', 'sfml_wp_login_error' );
add_action( 'sfml_wp_login_error', 'my_wp_login_error' );

function my_wp_login_error() {
	wp_redirect( get_permalink( 42 ) ); // ID de la page à personnaliser
	exit;
}

Pour l’action à entreprendre lorsque quelqu’un tente d’accéder directement à l’administration, c’est la même chose mais avec l’action sfml_wp_admin_error (normalement, la personne est redirigée vers la page de connexion).

2- Formulaires de connexion additionnels

Certaines extensions peuvent ajouter leur propre action à la page de connexion, c’est à dire un nouveau formulaire. Move Login gère déjà ces actions supplémentaires, sous la forme example.com/login/?action=my-custom-action.
Un simple filtre permet d’ajouter cette action à la liste de celles personnalisables :

123456

add_filter( 'sfml_additional_slugs', 'foo_add_move_login_slug' );

function foo_add_move_login_slug( $slugs ) {
	$slugs['my-custom-action'] = __( 'My custom action' );
	return $slugs;
}

Ici, my-custom-action est donc l’action, et __( 'My custom action' ) est le texte du champ texte dans la page de réglages de Move Login.
Ainsi, l’URL deviendra example.com/my-custom-action/ par défaut, et sera personnalisable dans les réglages. Un détail par contre, l’utilisateur devra se rendre sur la page de réglages et enregistrer les réglages, car le fichier .htaccess devra encore être édité par Move Login pour prendre en compte cette nouvelle action.

Au secours !

Bloqué à l’extérieur ? Un truc qui foire ? Vous ne pouvez plus vous connecter ?
Il y a une solution. Avec un logiciel ftp, ajoutez la ligne suivante à votre fichier wp-config.php (situé à la racine du site) : define('SFML_ALLOW_LOGIN_ACCESS', true);
Vous aurez alors accès à la page de connexion traditionnelle, le temps de trouver où se situe le problème.

Besoin d’aide ? Les commentaires sont ouverts, ainsi que le forum sur le site de WordPress.

Co-développeur : Julio Potier.

Commentaires

Commentaire de Perfine.

8 Juin 2017 @ 9:02

Bonjour, j’ai vu qu’une nouvelle version était disponible et j’ai tenté le coup et… je n’ai aucun problème. Avez-vous une idée de ce qui s’est passé ? Bonne journée
- Commentaire de Perlfine.
  
  8 Juin 2017 @ 9:11
  
  Aïe, j’ai parlé trop vite… Cela marche pour un de mes sites, mais pas pour le deuxième ! Impossible d’accéder à la page administration de nouveau pour celui-là.
Commentaire de woh.

31 Août 2017 @ 12:04

Bonjour,

Après avoir téléchargé et modifié l’url de connection pour mon site et ayant oublié de noter la nouvelle (oui je suis un chef ! :p) , je ne retrouve pas l’adresse pour me connecter.
N’ayant que quelques connaissances en HTML et CSS , j’ai essayé par diverses moyens de suivre l’indication « Au secours ! » de cette page, en téléchargeant FileZella… mais rien n’y fait.

Il y’aurait une solution plus simple ? Help meeeeeee !

Belle journée à vous.
- Commentaire de VINCE40.
  
  31 Août 2017 @ 15:36
  
  Bonjour,
  Ça arrive même aux meilleurs ;)
  Tout est marqué à la fin du post sur cette page ;)
  … Au secours !
  Bloqué à l’extérieur ? Un truc qui foire ? Vous ne pouvez plus vous connecter ?
  Il y a une solution. Avec un logiciel ftp, ajoutez la ligne suivante à votre fichier wp-config.php (situé à la racine du site) : define(‘SFML_ALLOW_LOGIN_ACCESS’, true);
  Vous aurez alors accès à la page de connexion traditionnelle, le temps de trouver où se situe le problème.
Commentaire de Woh.

31 Août 2017 @ 14:28

Bonjour,

J’ai changé l’Url de connexion à mon site web , grace à Move Login.Cependant, n’ayant pas mémorisé le nouvel url , je ne peux plus me connecter sur le site admin (oui je suis un chef!).
J’ai bien lu la partie « Au secours! » et ai rajouté une ligne a wp-config.php mais cela ne marche toujours pas …
Que dois-faire ?

Belle journée.
Commentaire de pascal.

7 Fév 2018 @ 15:29

Bonjour,
J’ai installé le plugin sur mon site.
J’ai téléchargé mon site en local, après avoir désactivé le plugin et rajouté dans wp-config : define(‘SFML_ALLOW_LOGIN_ACCESS’, true);
Il m’est impossible d’accéder à wp-admin ou réinitialisation.
J’ai tout essayé mais impossible.
Ceci est handicapant car je ne peux plus modifier mon site hors ligne.
Avez-vous une idée de ce que je dois modifier.
Bonne journée et merci pour votre aide.
- Commentaire de Grégory Viguier.
  
  8 Fév 2018 @ 11:54
  
  Bonjour.
  Si le plugin est désactivé, ajouter ceci dans wp-config.php ne fera rien.
  Il faut probablement supprimer les règles de réécriture du fichier .htaccess, lesquelles sont normalement supprimées lors de la désactivation du plugin. Elles sont dans un bloc mentionnant « Move Login ».
Commentaire de Emilie.

30 Mar 2018 @ 15:23

Bonjour
J’ai testé l’extension qui redirige bien ma page de connexion.
Toutefois, l’accès à mes pages protégées par mot de passe (je suppose que c’est pareil pour les articles mais je n’en ai pas créé) ne sont plus accessibles. Le message suivant apparaît : « Forbidden
You don’t have permission to access /wp-login.php on this server. » :-S
après avoir tapé le mot de passe. L’url qui s’affiche est http ://url-de-mon-site.com/wp-login.php?action=postpass
…