Si comme moi, vous avez un site qui tourne sous Wordpress, vous avez probablement des dizaines de tentatives d'intrusion par jour.
Pendant un temps, j'ai utilisé le plugin All in one Wordpress Security. Il bloque les adresses IP après 3 tentatives de login infructueuses, et vous envoie une notification. C'est très bien mais je l'ai trouvé un peu trop lourd pour ce que je cherchais à faire, à savoir sécuriser ma page de login.
Ne trouvant pas de solution simple pour masquer cette putain de page, j'ai décidé d'écrire mon propre plugin qui fait le boulot. C'était l'occasion d'apprendre à développer des plugins Wordpress, hé bien ce n'est pas si compliqué que ça en a l'air! Accessoirement, il bloque aussi les appels XML-RPC. Et comme side effect non prévu et très intéressant, les spams de commentaires... Je ne sais pas pourquoi, mais c'est ce que je constate chez moi en tout cas :)
Pour la petite histoire, j'ai tenté de le vendre via la plateforme codecanyon (je ne mets pas le lien, c'est volontaire car à mon humble avis ce sont des raclures). Pour ça, j'ai packagé mon petit bouzin, j'ai documenté le code à mort et je leur ai envoyé pour qu'ils l'analysent et le publient.
Deux semaines plus tard, j'ai reçu un email me disant que mon plugin a été refusé. Pourquoi? Parce que. Merci les gars pour la précision des explications, et allez vous faire empapaouter.
Alors tant pis pour la vente, je l'ai mis sous GPL2 et je l'ai publié sur Github.
Le principe est très simple. Normalement, quand on veut s'authentifier sur un site Wordpress, on tombe sur la page wp-login.php et on a accès au formulaire login/mot de passe.
Hé bien une fois que ce plugin est activé, il faut juste ajouter un paramètre de votre choix dans l'URL pour que la page de login soit visible. Par exemple, wp-login.php&dirty=marmotte
C'est tout. Vous pouvez essayer chez moi si vous voulez.
Vous pouvez aussi essayer d'envoyer des requêtes POST directement sur wp-login.php, même si le login/mot de passe est correct, si la clé n'est pas là ça ne passera pas;)
Et donc, je disais plus haut que ce plugin vous permet aussi de désactiver le XML-RPC, qui est un web service permettant d'effectuer des opérations sur Wordpress depuis des applications tierces. C'est un vecteur important d'attaques brute force, et il est activé par défaut alors que la plupart du temps il n'est pas utile.
Alors ça, c'est le point imprévu de ce plugin.
Je soupçonne que les spambots se basent sur la présence d'une page wp-login.php pour savoir si on est sur wordpress, et à partir de là, ils savent comment poster un commentaire de façon automatique.
Ici, comme il n'y a plus de wp-admin.php standard, ils ne sauraient pas comment envoyer un commentaire. Enfin c'est mon analyse, je ne sais pas si elle est correcte... Toujours est-il que sur mon blog, j'ai zéro spam détecté par akismet, et rien en file d'attente. C'est plutôt cool du coup. N'hésitez pas à me faire un petit retour si ce n'est pas le cas chez vous, et dans ce cas je corrigerai cet article.
Voici l'archive du plugin à installer dans Wordpress : wp-login-door.zip
Et si ce plugin vous plait, pourquoi pas faire un petit don?
A bientôt!