Page de connexion WordPress : sécuriser et personnaliser (2026)

L’URL de connexion WordPress par défaut

Toute installation WordPress utilise la même adresse pour se connecter : votresite.com/wp-login.php. L’alias votresite.com/wp-admin/ redirige vers cette même page si vous n’êtes pas connecté. C’est pratique. C’est aussi un problème de sécurité majeur.

Pourquoi ? Parce que chaque bot, chaque script d’attaque brute-force sur la planète connaît cette URL. Ils n’ont même pas besoin de la chercher. Ils bombardent /wp-login.php avec des combinaisons admin/password en boucle, 24 heures sur 24. Sur un WordPress non protégé, j’ai mesuré jusqu’à 3 000 tentatives de connexion par jour sur des sites clients. Trois mille.

Ce n’est pas un risque théorique. En formation, je montre les logs d’accès en temps réel aux stagiaires. La tête qu’ils font quand ils voient défiler les tentatives de connexion sur leur site flambant neuf — installé depuis 20 minutes — vaut tous les discours sur la sécurité.

La bonne nouvelle : sécuriser cette page prend moins de 10 minutes. Et personnaliser son apparence, à peine plus.

Sécuriser la page de connexion (priorité absolue)

Avant de parler couleurs et logo, parlons survie. Un site WordPress dont la page de connexion n’est pas protégée est un site en sursis. Voici les quatre couches de protection, par ordre de priorité.

Changer l’URL de connexion avec WPS Hide Login

La mesure la plus efficace et la plus simple. WPS Hide Login remplace /wp-login.php par l’URL de votre choix — par exemple /mon-acces-secret/. Les bots qui tapent sur /wp-login.php reçoivent une erreur 404. Ils passent leur chemin.

WPS Hide Login — v1.9.18 — 2 000 000+ installations actives

Je connais bien ce plugin : je l’ai créé. Avec plus de 2 millions d’installations actives, c’est le plugin de masquage d’URL de connexion le plus utilisé au monde. Il fait une seule chose, et il la fait bien : il change l’URL, sans toucher aux fichiers WordPress ni au .htaccess. Tout se passe en mémoire. C’est ce qui le rend compatible avec pratiquement tous les hébergeurs et toutes les configurations.

Le principe est simple : quand quelqu’un tente d’accéder à /wp-login.php, WordPress renvoie une page 404 au lieu du formulaire de connexion. L’attaquant ne sait même pas que c’est un site WordPress. Votre vraie URL de connexion, elle, ne fonctionne que pour ceux qui la connaissent.

L’installation prend 30 secondes :

• Installez et activez WPS Hide Login depuis Extensions → Ajouter
• Allez dans Réglages → Général
• En bas de la page, changez l’URL de connexion (choisissez quelque chose de personnel, pas /login ni /admin)
• Enregistrez et notez votre nouvelle URL quelque part

Le guide complet est ici : WPS Hide Login : changer l’URL de connexion WordPress.

Limiter les tentatives de connexion avec WPS Limit Login

Changer l’URL bloque les bots classiques. Mais un attaquant déterminé qui trouve votre URL personnalisée peut quand même tenter du brute-force. WPS Limit Login résout ce problème : après un nombre configurable de tentatives échouées, l’adresse IP est bloquée.

WPS Limit Login — v1.5.9 — 100 000+ installations actives

C’est le deuxième plugin que j’ai développé pour la sécurité de la connexion WordPress. Il fonctionne main dans la main avec WPS Hide Login. Les deux combinés, c’est la base de sécurité que j’installe sur chaque site que je gère ou que je forme depuis 2012.

Le fonctionnement : après le nombre de tentatives défini, l’adresse IP de l’attaquant est verrouillée pendant la durée que vous choisissez. Si la même IP revient après le déblocage et échoue encore, le temps de blocage augmente. C’est un système progressif qui décourage même les attaques les plus persistantes.

La configuration recommandée :

• 3 tentatives autorisées avant blocage
• 20 minutes de blocage après les 3 échecs
• Blocage de 24 heures après 3 séries d’échecs
• Notification par email à l’admin après chaque blocage

Le détail de la configuration : WPS Limit Login : limiter les tentatives de connexion WordPress.

Activer l’authentification à deux facteurs (2FA)

Le 2FA ajoute une couche supplémentaire : même si quelqu’un trouve votre mot de passe, il lui faut aussi un code temporaire généré par votre téléphone. C’est le cadenas sur le cadenas.

Deux options fiables :

• Two-Factor — plugin officiel de l’équipe WordPress. Léger, sans fioritures. Supporte les applications TOTP (Google Authenticator, Authy), les clés de sécurité U2F, et les codes de secours par email.
• Wordfence Login Security — si vous utilisez déjà Wordfence, le 2FA est intégré. Pas besoin d’un plugin supplémentaire.

Je recommande d’activer le 2FA au minimum pour le compte administrateur. Si vous avez plusieurs utilisateurs, activez-le pour tous les rôles qui ont accès au tableau de bord (administrateur, éditeur, auteur). Le 2FA est la seule protection qui fonctionne encore quand votre mot de passe a fuité dans une base de données piratée — et des fuites massives, il y en a chaque mois.

La mise en place prend 5 minutes : installez le plugin Two-Factor, allez dans votre profil utilisateur, scannez le QR code avec votre application TOTP, et validez. Pensez à télécharger les codes de secours en cas de perte de votre téléphone.

Ajouter un CAPTCHA sur le formulaire de connexion

Le CAPTCHA filtre les bots automatisés avant même qu’ils ne tentent un mot de passe. Cloudflare Turnstile est mon choix en 2026 : invisible pour les humains, gratuit, respectueux de la vie privée (pas de tracking Google). L’alternative classique reste reCAPTCHA v3 de Google.

Plusieurs plugins ajoutent un CAPTCHA sur wp-login.php : Simple Cloudflare Turnstile, Login No CAPTCHA reCAPTCHA, ou directement via les réglages de Wordfence si vous l’utilisez.

Personnaliser la page de connexion WordPress

La page de connexion par défaut de WordPress affiche le logo WordPress, un fond gris clair, et un formulaire fonctionnel mais impersonnel. Si vos clients ou vos équipes se connectent régulièrement, personnaliser cette page renforce votre image professionnelle. Voici les deux approches.

Personnaliser via CSS (méthode manuelle)

WordPress fournit un hook dédié pour injecter du CSS sur la page de connexion : login_enqueue_scripts. Ajoutez ce code dans le fichier functions.php de votre thème enfant :

function wpf_custom_login_style() {
    echo '<style>
        /* Fond de la page */
        body.login {
            background-color: #1a1a2e;
            background-image: url("votre-image.jpg");
            background-size: cover;
        }
        /* Logo : remplacer par le vôtre */
        .login h1 a {
            background-image: url("votre-logo.png");
            background-size: contain;
            width: 100%;
            height: 80px;
        }
        /* Formulaire */
        .login form {
            border-radius: 8px;
            box-shadow: 0 4px 20px rgba(0,0,0,0.3);
        }
        /* Bouton de connexion */
        .login .button-primary {
            background-color: #FF8C00;
            border-color: #FF8C00;
            border-radius: 4px;
        }
        /* Masquer le lien "Retour au site" */
        .login #backtoblog {
            display: none;
        }
    </style>';
}
add_action('login_enqueue_scripts', 'wpf_custom_login_style');

Cette méthode donne un contrôle total. Vous pouvez changer le logo, le fond, les couleurs, arrondir les coins, masquer des éléments, ajouter votre police. C’est gratuit, léger, et ça ne dépend d’aucun plugin tiers.

Inconvénient : il faut connaître un minimum de CSS. Et chaque modification demande de retoucher le code. Pour les non-développeurs, un plugin sera plus confortable.

Personnaliser via plugin (méthode visuelle)

Si vous préférez une interface graphique, deux plugins se démarquent :

LoginPress — v6.1.2 — Customizer visuel pour la page de connexion

LoginPress est le plus populaire. Son Customizer visuel permet de modifier le logo, le fond (image, vidéo, slider), les couleurs, les polices et la disposition du formulaire sans écrire une ligne de code. La version gratuite couvre les besoins de la plupart des sites. La version Pro ajoute les redirections par rôle, les templates pré-conçus et l’historique de connexion.

Custom Login Page Customizer — v2.5.4 — Alternative légère pour personnaliser wp-login

Custom Login Page Customizer est une alternative plus légère. Moins de fonctionnalités, mais suffisant si vous voulez juste changer le logo et les couleurs.

Ce que vous pouvez personnaliser

• Le logo — remplacez le logo WordPress par le vôtre (via CSS ou plugin)
• L’image de fond — une photo, un dégradé, une couleur unie
• Les couleurs du formulaire — fond, bordures, bouton de connexion
• Le message d’erreur — par défaut, WordPress indique si c’est le nom d’utilisateur ou le mot de passe qui est faux. C’est une faille de sécurité (l’attaquant sait si le login existe). Remplacez par un message générique
• Le lien du logo — par défaut, le logo pointe vers wordpress.org. Redirigez-le vers votre site
• Le texte sous le formulaire — "Se souvenir de moi", lien de récupération de mot de passe

Créer une page de connexion personnalisée complète

Certains sites vont plus loin que la simple personnalisation CSS : ils créent une véritable page WordPress qui sert de page de connexion, avec leur propre design, leur mise en page complète (header, footer, navigation), et un formulaire de connexion intégré via shortcode ou bloc Gutenberg.

Pourquoi faire ça ? Quand vous avez un espace membres, un site communautaire, ou un portail client, la page wp-login.php par défaut casse l’expérience utilisateur. Une page de connexion intégrée à votre thème, avec votre navigation et votre footer, est plus professionnelle.

La méthode la plus simple : utilisez le plugin Theme My Login. Il crée automatiquement des pages WordPress pour la connexion, la déconnexion, l’inscription et la récupération de mot de passe. Ces pages utilisent votre thème, votre menu, votre design. L’URL devient /connexion/ au lieu de /wp-login.php. Pour un site e-learning, un portail clients, ou un réseau social d’entreprise, c’est la solution la plus propre.

Pour les développeurs, WordPress propose la fonction wp_login_form() qui génère un formulaire de connexion dans n’importe quel template ou shortcode. C’est l’approche la plus flexible mais elle demande du code PHP. Vous pouvez ajouter des champs personnalisés, des redirections conditionnelles par rôle, et un design totalement intégré à votre charte graphique.

Quelle que soit la méthode choisie, n’oubliez pas la sécurité : votre page de connexion personnalisée doit aussi bénéficier de la limitation des tentatives et du 2FA. Changer l’apparence sans changer la protection, c’est mettre un cadre doré sur une porte en contreplaqué.

Problèmes de connexion courants et solutions

En 15 ans de formation WordPress, ces problèmes reviennent en boucle. Voici les diagnostics rapides.

Mot de passe oublié

Cliquez sur "Mot de passe oublié ?" sur la page de connexion. WordPress envoie un email avec un lien de réinitialisation. Si l’email n’arrive pas : vérifiez les spams, vérifiez que votre hébergeur envoie bien les emails (problème fréquent sur les mutualisés), ou réinitialisez le mot de passe directement en base de données via phpMyAdmin (table wp_users, colonne user_pass, en utilisant la fonction MD5).

Erreur de cookies

Le message "Les cookies sont bloqués ou ne sont pas pris en charge par votre navigateur" apparaît quand WordPress ne peut pas écrire son cookie d’authentification. Les causes les plus courantes : un plugin de cache trop agressif qui met en cache la page de connexion, une configuration SSL mixte (le site est en HTTPS mais wp-config.php contient une URL en HTTP), ou un problème de domaine. Vérifiez que WP_HOME et WP_SITEURL correspondent exactement à l’URL que vous utilisez (avec ou sans www, avec HTTPS). Un décalage d’un seul caractère suffit à provoquer cette erreur.

Boucle de redirection

Vous tapez /wp-admin/, la page se recharge en boucle et le navigateur affiche "trop de redirections". Cause fréquente : un conflit entre l’URL WordPress en base de données et l’URL réelle du site, ou un plugin de redirection mal configuré qui crée une boucle infinie entre HTTP et HTTPS.

Premier réflexe : videz les cookies du navigateur pour ce domaine (dans Chrome : Paramètres → Confidentialité → Cookies → recherchez votre domaine → Supprimer). Si ça persiste, vérifiez les constantes WP_HOME et WP_SITEURL dans wp-config.php, puis désactivez les plugins de cache et de sécurité via FTP en renommant leurs dossiers.

Accès perdu après changement de l’URL de connexion

Vous avez installé WPS Hide Login, changé l’URL, et vous ne vous souvenez plus de la nouvelle adresse. Pas de panique. Connectez-vous en FTP, allez dans /wp-content/plugins/, et renommez le dossier wps-hide-login en wps-hide-login_off. WordPress revient automatiquement à /wp-login.php. Connectez-vous, réactivez le plugin et définissez une URL que vous noterez cette fois.

Pour aller plus loin sur la sécurité globale de votre WordPress : les 11 rappels de sécurité WordPress. Et si vous partez de zéro, commencez par installer WordPress correctement — un WordPress bien installé dès le départ, c’est 90 % des problèmes de connexion évités.

La sécurité de la page de connexion, c’est aussi un signal positif pour votre référencement naturel. Google évalue la fiabilité d’un site dans ses critères E-E-A-T. Un site piraté via une page de connexion non protégée se retrouve avec du spam injecté, des redirections malveillantes, et une chute en référencement qui peut prendre des mois à récupérer.

Questions fréquentes — Page de connexion WordPress

add_filter('login_errors', function() { return 'Identifiants incorrects.'; });