Puis-je renommer le dossier wp-admin?

- 75
- 72602 2010-08-11
Est-ilpossible de renommer le dossier wp-admin?

Je sais queje pourrais simplement le renommer,mais àmoins qu'ilne soitprisen chargepar le code,beaucoup de choses sebriseraient.

Sij'utilise unnom de dossierpersonnalisé,cela le rendra légèrementplus sécurisé,la sécuritépar l'obscuritéet tout ça.

Is it possible to rename the wp-admin folder?

I know I could just rename it, but unless it's supported by the code lots of things would break.

If I use a custom folder name, it will make it slightly more secure, security by obscurity and all that.

wp-admin security

10 réponses

votes

- 42
- 2010-08-11
Malheureusement,iln'est actuellementpaspossibleet ilne semblepas y avoir de volonté de le considérer comme unemodification comme vouspouvez le voirpar ceci fil de discussion récent sur la liste wp-hackers et ceticket surtrac .

Si vous souhaitez vraiment que cela soit revu,je vous suggère:

Présentez votre cas sur les wp-hackers mais soyezprévenu de votre cas d’utilisation.bonet non "sécuritépar l'obscurité" ouil sera abattu comme ci-dessus.

Présentez votre argumentation dans unticket Trac avec lesmêmesmisesen garde.

Encoremieux,téléchargez un correctif surtrac qui active lafonctionnalité souhaitée. Ilestbeaucoupplus difficile de direnon quand letravail a déjà étéfait (maisbien sûr,ilspréfèrent dire «non»beaucoupplus souvent que dire «oui»,alors soyezprévenus.)
Unfortunately it's not currently possible nor does there appear to be will to consider it as a modification as you can see by this recent thread on the wp-hackers list and this ticket on trac.

If you'd really like to see this be revisited I'd suggest:

Present your case on wp-hackers but be forewarned your use-case better be good and not "security through obscurity" or it will get shot down as above.

Present your argument in a trac ticket with the same caveats.

Even better, upload a patch to trac that enables your desired functionality. It's much harder to say no when the work has already been done (but of course, they do have a preference for saying "no" a lot more often than they say "yes" so be forewarned.)
- `+ 1` *ilspréfèrent dire"non "beaucoupplus souvent qu'ilsne disent" oui ",alors soyezprévenus * :)
  
  `+1` *they do have a preference for saying "no" a lot more often than they say "yes" so be forewarned* :)
  - 10
  - 2013-11-29
  - Sisir
- 12
- 2010-08-11
Non,vousne pouvezpas renommer le dossier.Le cheminest codéen dur àplusieursendroits dans la source de WordPress.

Detoutefaçon,la sécuritépar l'obscuritén'estpas vraiment une sécurité.

No, you cannot rename the folder. The path is hard-coded in multiple locations throughout WordPress' source.

Security through obscurity isn't really security anyway.
- Et c'est aumieux uneexcuseparesseusepourne pas changer lesmauvaisespratiques deprogrammation comme le codageen dur desnombresmagiques ou des chaînes.
  
  And it's a lazy excuse at best for not changing bad programming practices like hard-coding magic numbers or strings.
  - 23
  - 2011-01-10
  - hakre
- @hakre +100 Btw,laplupart desgens qui demandent comment cacher les dossiers "wp- *"ne recherchentpasnécessairement la sécurité,ils recherchenten fait l'obscurité ..ilsessaient de rendre l'analyse de leurs sitesplusexigeante.
  
  @hakre +100 Btw, most people asking how to hide "wp-*" folders are not necessarily looking for security, they are looking for obscurity actually..they try to make analyzing their sites more effort-requiring activity.
  - 6
  - 2011-07-05
  - Victor Farazdagi
- Enfait,cen'estpas la sécuritépar l'obscurité.C'est une URL obscure,unetechnique de sécurité valide.Voir la réponse ci-dessouspourplus de détails.
  
  Actually, it's not security by obscurity. It's Obscure URL, a valid security technique. See answer below for details.
  - 5
  - 2013-03-15
  - cmc
- Ehbien,j'aiessayé depoursuivre avec unnouvelensemble d'arguments,mais la réponse était: "Ceciest un correctif wontfixfortpar livre"et leplutôtmorveux "la connexiongmailn'estpasnonplus une URL obscure".Aucune raisontechnique,aucuneexplication,aucun débat,ilsne leferonttout simplementpas.
  
  Well, I tried following up with a fresh set of arguments, but the answer was: "This is a strong wontfix in by book" and the rather snotty "the gmail login isnt obscure url either". No technical reasons, no explanation, no debate, they just won't do it.
  - 1
  - 2013-03-19
  - cmc
- Wordpressestbien plus vénérable quegmail.L'une des raisonsest que wordpressest open-source.Tout lemonde connaît le code.Detoutefaçon,la sécuritépar l'obscuritén'estpas vraiment la sécurité?Maisnousne sommespas des codeurs de wordpress.C'est open-source.Àmon avis,l'obscurité aide à assurer la sécurité.Pourquoi lesgens utilisent-ils alors unmot depasse crypté? Selon cette logique,iln'y apas d'utilisation demot depasse crypté ... Parce que si labase de donnéesest visible,lepiratepeuttoutfaire ... Mon wordpressestpiraté 2foiset 2fois le wordpress demonentrepriseen 10ans ... Et aucun demes 6-7 comptesgmailn'a étépiraté depuis 15 ansjusqu'àprésent ...
  
  Wordpress is far more venerable than gmail. One reason is, wordpress is open-source. Everyone knows code. Security through obscurity isn't really security anyway? But we are not coder of wordpress. It's open-source. In my views, obscurity do help in making secure. Why people use encrypted password then?According to this logic, there is no use of encryption password....Because if database is viewable, hacker can do anything...My wordpress is hacked 2 times and 2 times my company's wordpress in 10 years...And none of my 6-7 gmail accounts is hacked in 15 years so far...
  - 2
  - 2015-08-19
  - web2students.com
- Ce quiest demandé,cen'estpas la «sécuritépar l'obscurité» - c'est la sécurité ET l'obscurité.Même unebanque avec lemeilleur coffre-fort dumondene la rendraitpas directement accessible depuis la rue.Lamodification dunom du répertoire rend les attaques automatiséesbeaucoupplus difficiles.
  
  What's being asked for is not "security through obscurity" – it's security AND obscurity. Even a bank with the best safe in the world wouldn't make it directly accessible from the street. Changing the directory name makes automated attacks much harder.
  - 2
  - 2017-06-16
  - JoLoCo
- 9
- 2013-03-13
Une approche officiellementpriseen chargepar WordPress consiste à déplacer lesfichiers d'installation de WordPress dans un sous-répertoire,touten gardant le site à la racine,comme ceci:

URL du site: http://my-blog.com

URL de l'administrateur: http://my-blog.com/7nxnkkugrdzm/wp-admin

Bien que celane vous donnepas unetotale libertépour changer votre URL d'administrateur,cela signifie que vouspouvez la préfixer avec ce que vous voulez. C'esttout aussibien dupoint de vue de la sécurité. Il a également l'avantage de déplacertous lesfichiers d'installation de WordPress vers unemplacementinconnu des utilisateurs,il devrait doncfairepartie detoute stratégie de durcissement wordpress.

Àpartir du Codex WordPress: Donner à WordPress sonpropre répertoire

Deplus,notez que si ce schéma de sécuritéest appelé URL obscure ,cen'estpas lamême chose que sécuritépar obscurité . URL obscure est un schéma de sécuritéparfaitement valide quiest aussibon qu'unmot depasse,tandis que la sécuritépar l'obscurité repose sur l'utilisation deprocédures secrètesnonprouvées.

Lesmêmesmisesen garde s'appliquent cependant quepour lesmots depasse: appelez le dossierpersonnalisé quelque chose comme 7nxnkkugrdzm,pas happy-snappy-admin. Assurez-vous également que vos utilisateurs savent que l'URL de l'administrateurest un secret.

An approach that is officially supported by WordPress is to move the WordPress installation files into a sub-directory, while keeping the site in the root, like so:

Site URL: http://my-blog.com

Admin URL: http://my-blog.com/7nxnkkugrdzm/wp-admin

While this does not give you complete freedom in changing your admin url, it means you can prefix it with anything you like. This is just as good from a security point of view. It also has the benefit of moving all the WordPress installation files into a location unknown to users, so it should be part of any wordpress hardening strategy.

From the WordPress Codex: Giving WordPress Its Own Directory

Also, note that while this security scheme is called Obscure URL, it is not the same thing as security by obscurity. Obscure URL is a perfectly valid security scheme that is just as good as a password, while security by obscurity relies on using secret unproven procedures.

The same caveats apply though as with passwords: Call the custom folder something like 7nxnkkugrdzm, not happy-snappy-admin. Also, make sure your users are aware the admin url is a secret.
- 7
- 2011-01-09
Il y aen fait untrèsbontutoriel à ce sujetici:

Commentmasquer lesinformations WordPress de votre code source ^miroir

Comprend comment renommer wp-content,renommer wp-adminet supprimer labalise dugénérateur de WordPress.

There is actually a very good tutorial on this here:

How to Hide WordPress Info from Your Source Code ^mirror

Includes how to rename wp-content, rename wp-admin, and remove the generator tag from WordPress.

This tutorial will change obvious evidence or indications of it in your source-code, effectively removing WordPress info from your site.

It explains how to change the folder name, the wp-admin login url, and make sure that login.php redirects to the main site so that people can go there directly.
- 6
- 2010-11-15
Si vous souhaitezempêcher les utilisateurs deniveau abonné de voir le répertoire wp-admin,vouspouvez créer des versions autonomes despages de connexion/d'enregistrementet deprofil/d'édition dans leurspropres répertoires.Ensuite,vouspouvezprotéger votre dossier d'administration via htaccess ou une restriction IP.(Cependant,si vousfaites cela,vous devriezfaire uneexceptionpour lefichier admin-ajax,car certainsplugins l'utilisentpour ajouter,euh,desfonctionnalités AJAX).

Cette approche vous donne «l'obscurité» que vous voulez (ce quine faitpasgrand-chose,mais quipermet souvent aux clientset auxgestionnaires de se sentirmieux),et ajoute également une réelle sécuritéen limitant l'accès à l'administrateur.Deplus,honnêtement,une URL qui dit simplement "/login"estbien plusjolie que "wp-login.php".

Il va sans dire que celane rendpas votre site à l'épreuve desballes.Mais c'est unebelle amélioration debase.

If you want to keep subscriber-level users from seeing the wp-admin directory, you can create standalone versions of the login/registration and profile/edit pages in their own directories. Then, you can protect your admin folder via htaccess or IP restriction. (Though if you do this, you should make an exception for the admin-ajax file, as some plugins use it to add, um, AJAX functionality).

This approach gives you the "obscurity" you want (which doesn't really do much, but often makes clients and managers feel better), and also adds some real security by limiting access to the admin. Plus, honestly, a URL that just says "/login" looks a lot nicer than "wp-login.php".

It should go without saying that this doesn't make your site bulletproof. But it's a nice, basic enhancement.
- 3
- 2011-12-07
Unefaçon de verrouiller lepanneau de contrôle administratifest d'utiliser les règles .htaccess.Ajoutez simplement unfichier .htaccess à la racine du répertoire wp-admin.Après avoir ajouté cefichier,ajoutez simplement la règle suivantepour refusertoutes les adresses IPet n'autoriser que votre IP:

http://wp.tutsplus.com/tutoriels/10-étapes-pour-sécuriser-votre-installation-wordpress/

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all whitelist address allow from <IP ADDRESS HERE> </LIMIT>
One way to lock down the administrative control panel is to utilize .htaccess rules. Just add an .htaccess file to the root of the wp-admin directory. After you add this file, just add the following rule to deny all IP addresses and allow only your IP:

http://wp.tutsplus.com/tutorials/10-steps-to-securing-your-wordpress-installation/

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all whitelist address allow from <IP ADDRESS HERE> </LIMIT>
- 1
- 2016-05-16
Si vous souhaitez renommer le wp-admin dans lebut d'ajouter une couche de sécurité supplémentaire à votreinstallation WordPress,vouspouvez égalementessayer le Boilerplate WordPress Roots/Bedrock .Celapeut aider àisoler la racine Webpour limiter l'accès auxfichiersnon Web.Ilpeut également aider à organiser/sécuriser l'ensemble dunoyau WordPressen leplaçant dans sonpropre sous-répertoire,comme renommer wp-content/to app/ainsi que cesfonctionnalités supplémentaires:

Gestion des dépendances avec Composer

Configuration WordPressfacile avec desfichiers spécifiques à l'environnement

Variables d'environnement avec Dotenv

Autoloaderpourmu-plugins (utilisez desplugins réguliers commemu-plugins)

Sécurité renforcée (racine Web séparéeet mots depasse sécurisés avec wp-password-bcrypt)

Vouspouvez également consulter leur GitHub Repo pour une utilisationplus détaillée:
If you want to rename the wp-admin with the aim of adding additional layer of security to your WordPress installation, you can also try the Roots / Bedrock WordPress Boilerplate. It can help isolate the web root to limit access to non-web files. It can also help in organizing/securing the whole WordPress core by putting it in its own subdirectory like renaming wp-content/ to app/ as well as these additional features:

Dependency management with Composer

Easy WordPress configuration with environment specific files

Environment variables with Dotenv

Autoloader for mu-plugins (use regular plugins as mu-plugins)

Enhanced security (separated web root and secure passwords with wp-password-bcrypt)

You can also check their GitHub Repo for a more detailed usage:
- 0
- 2010-11-14
Jetez un œil à http://wordpress.org/extend/plugins/stealth-login/ celapeut vous aider.

Take a look at http://wordpress.org/extend/plugins/stealth-login/ this may help you out.
- J'aieu desproblèmes avec ceplugin lorsqueje l'aiessayé.Etilne semble actuellementpas êtremaintenu ou compatible avec WP 3.x
  
  I had issues with that plugin when I tried it. And it currently doesn't seem to be maintained or compatible with WP 3.x
  - 0
  - 2010-11-14
  - Rarst
- ah ... dommage,je ne l'aipas vérifié,je l'ai désinstalléil y a quelquetemps.Maisbon ...peut-être que quelqu'unpeut le réparer s'ilen a vraimentbesoin.
  
  ah... to bad, did not check it, i deinstalled it some time ago. But hey... maybe someone can fix it if in real need.
  - 0
  - 2010-11-15
  - edelwater
- comme alternative,veuillez consulter http://wordpress.stackexchange.com/questions/4037/how-to-redirect-rewrite-all-wp-login-requests
  
  as an alternative, please see http://wordpress.stackexchange.com/questions/4037/how-to-redirect-rewrite-all-wp-login-requests
  - 0
  - 2011-01-10
  - hakre
- 0
- 2011-01-10
Non,iln'estpaspossible de renommer le dossier wp-admin avec un short de code ou un hack htaccess,

Dans lepassé,j'aifait lamême chosepour un clienten effectuant une recherche de dossier complète via Coda (l'éditeur quej'utilise)pour labalise "wp-admin,wp-content ...etc"et je supprime le "wp- "àpartir desfichiers.

Après cela,vouspourrez l'installermais:
Vous devezfaire demême avec lesplugins que vous souhaitezinstaller, Vous devezmettre àjour lenoyaumanuellementen effaçant labalise "wp-" desnouvelles versions.

Detoutes lesmanières dontje ne vous suggèrepas defaire quelque chose comme ça, laissez-letel quelet essayez demettreen œuvre unepage de connexion/enregistrement/profil utilisateurpour offrir à vos utilisateurs/clients unemeilleureexpérience.

Cristian de Cozmolabs ont rédigez untrèsbontutoriel. Vouspouvez éditez unpeu le codeet faites-lefonctionner n'importe quelthème WordPress.

Vouspouvez également ajouter unformulaire depublication àpartir dufrontend afin que l'administrateuret les utilisateurs ayant les capacités d'écrire unmessagepuissent lefaire àpartir dufrontend.

Ici,vouspouvez voir unexempleet un code sur la création d'unepage Frontend Post. Soumission demessagefrontal

Vouspouvez égalementjeter un œil à quelques pluginsici quifont demême avecplus defonctionnalités.

No it's not possible to rename the wp-admin folder with any short of code or htaccess hack,

In the past i done the same for a client by performing a complete folder search via Coda (the editor i use) for the tag "wp-admin, wp-content...etc" and i remove the "wp-" from the files.

After that you will be able to install it but:
You have to do the same with the plugins you want to install, You have to update the core manually by clearing the "wp-" tag from the new versions.

In all the ways i don't suggest you to do something like this, leave it as is and try to implement a User Login/Register/Profile page to give your users/clients a better experience.

Cristian from Cozmolabs have write a very good tutorial. You can edit the code a bit and make it run in any WordPress theme.

You can also add a Post form from the frontend so the Admin and Users with the Capabilities to write a post can do it from the frontend.

Here you can see an example and code on how to create a Frontend Post page. Front-End Post Submission

Also you can take a look for some nice plugins here that do the same with more functionality.

2019-04-27

QU'EN EST-IL DE TRAVAILLER WP-ADMIN À PARTIR D'UN IFRAME?

Créez unenouvellepage dans letableau debord wp appelée "Admin".parexemple: votre domaine/admin/

Vouspouvezfaire une déclaration de cas avec header.php page.phpet/ou footer.phppour désactiver les éléments sur lemodèlepasnécessaire,en utilisant:

 <?php
if(!is_page('admin')): //if not the admin page.

//wrap code not needed or wanted.

else: ?>

<style type="text/css">
    .responsive-iframe {
    position: relative;
    padding-bottom: 56.25%; /*16:9*/
    height: 0;
    overflow: hidden;

    iframe {
        position: absolute;
        top:0;
        left: 0;
        width: 100%; //or 100vw
        height: 100%; //or 100vh
    }
}   
</style>

<div class="responsive-iframe">
<iframe seamless="seamless" scrolling="yes" src="http://yourdomain/wp-admin/" frameborder="0" allowfullscreen></iframe>
</div>

<?php 
endif;

Cen'estpasjoli,mais aumoins dans une certainemesure,vouspouvezmasquer wp-admin de l'url. Une autrefaçonest d'utiliser éventuellement letransfert de domaine avec l'URL demasque activée.

WHAT ABOUT WORKING WP-ADMIN FROM AN IFRAME?

Make a new page in wp dashboard called "Admin". e.g: yourdomain/admin/

You can make a case statement with the header.php page.php and/or footer.php to disable things on the template not needed, using:

<?php
if(!is_page('admin')): //if not the admin page.

//wrap code not needed or wanted.

else: ?>

<style type="text/css">
    .responsive-iframe {
    position: relative;
    padding-bottom: 56.25%; /*16:9*/
    height: 0;
    overflow: hidden;

    iframe {
        position: absolute;
        top:0;
        left: 0;
        width: 100%; //or 100vw
        height: 100%; //or 100vh
    }
}   
</style>

<div class="responsive-iframe">
<iframe seamless="seamless" scrolling="yes" src="http://yourdomain/wp-admin/" frameborder="0" allowfullscreen></iframe>
</div>

<?php 
endif;

This is not pretty, but atleast to some extent you can hide wp-admin from url. Another way is to possibly use domain-forwarding with mask url enabled.