WPS Hide Login est un plugin WordPress gratuit (2 millions+ d’installations actives) qui remplace l’URL de connexion wp-login.php par une adresse personnalisée. L’installation prend 30 secondes : activer le plugin, définir la nouvelle URL dans Réglages > Général. L’ancienne URL renvoie une erreur 404. Créé par Fabrice Ducarme (WPFormation), il est compatible avec tous les thèmes et la plupart des plugins de cache.
Trop long ? Faites-le résumer par l'IA
WPS Hide Login est le plugin WordPress gratuit qui remplace votre URL de connexion wp-login.php par l’adresse de votre choix. Avec plus de 2 millions d’installations actives et une note de 4,9/5 sur WordPress.org, c’est le moyen le plus simple de protéger votre page de connexion contre les bots et les attaques par force brute.
Je le sais bien : je suis l’un des co-créateurs de ce plugin. Et après 7 ans à répondre aux questions des utilisateurs, je vous livre ici tout ce qu’il faut savoir pour l’installer, le configurer et résoudre les problèmes courants.
Qu’est-ce que WPS Hide Login ?
Sur n’importe quel site WordPress, la page de connexion est accessible à la même adresse : votresite.com/wp-login.php ou votresite.com/wp-admin/. Tout le monde le sait. Les pirates aussi.
WPS Hide Login change cette URL par celle que vous décidez. /mon-acces-secret, /portail, ce que vous voulez. Quiconque tente d’accéder à /wp-login.php ou /wp-admin/ sans être connecté tombe sur une page 404.
Le plugin ne touche à aucun fichier du cœur de WordPress. Pas de réécriture .htaccess, pas de renommage de fichiers. Il intercepte les requêtes HTTP, point. Désactivez-le et votre site revient exactement à son état d’origine.
Quels sont les chiffres clés de WPS Hide Login ?
| Donnée | Valeur |
|---|---|
| Installations actives | +2 000 000 |
| Téléchargements totaux | 3 500 000+ |
| Note WordPress.org | 4,9/5 (1 156+ avis) |
| Version actuelle | 1.9.18 |
| Testé jusqu’à | WordPress 6.9.1 |
| PHP minimum requis | 7.0 |
| Contributeurs | WPServeur, Nicolas Kulka, WPFormation |
Pourquoi changer l’URL de connexion WordPress ?
Chaque jour, des milliers de bots parcourent le web à la recherche de pages wp-login.php. Une fois trouvée, ils testent des combinaisons identifiant/mot de passe en boucle. C’est ce qu’on appelle une attaque par force brute.
Même avec un mot de passe solide, ces tentatives posent problème. Elles surchargent votre serveur, gonflent vos logs et — si votre hébergeur surveille les ressources — peuvent entraîner une suspension de compte. J’ai vu ça arriver plus d’une fois en formation.
Changer l’URL de connexion ne remplace pas un bon mot de passe ni la double authentification. Mais c’est une première couche de défense redoutablement efficace : les bots qui ciblent /wp-login.php ne trouvent plus rien. Ils passent leur chemin.
Mon conseil : coupler WPS Hide Login avec WPS Limit Login (limitation des tentatives de connexion). Les deux ensemble, c’est 95% des attaques automatisées éliminées avant même qu’elles ne commencent.
Comment installer WPS Hide Login ?
L’installation prend littéralement 30 secondes. Pas besoin de toucher au code.
- Connectez-vous à votre tableau de bord WordPress (
/wp-admin/) - Allez dans Extensions → Ajouter
- Tapez WPS Hide Login dans la barre de recherche
- Cliquez sur Installer maintenant puis Activer
- WordPress vous redirige automatiquement vers la page de réglages
Vous pouvez aussi télécharger le plugin depuis le dépôt officiel WordPress.org et l’uploader via FTP dans /wp-content/plugins/.
Comment configurer WPS Hide Login ?
Une fois activé, rendez-vous dans Réglages → Général (/wp-admin/options-general.php). Tout en bas de la page, deux champs :
Comment changer l’URL de connexion WordPress avec WPS Hide Login ?
C’est votre nouvelle adresse de connexion. Choisissez un mot sans espace ni accent. Exemples : /mon-acces, /connexion-fabrice, /portail-2026. Évitez les termes trop évidents comme /login ou /admin — autant ne rien changer.
Notez cette URL quelque part. Si vous l’oubliez, vous ne pourrez plus vous connecter par les voies normales (je vous explique comment récupérer l’accès plus bas).
Comment configurer l’URL de redirection dans WPS Hide Login ?
Que se passe-t-il quand quelqu’un tente d’accéder à /wp-login.php ou /wp-admin/ ? Par défaut, il atterrit sur une page 404. Vous pouvez rediriger vers n’importe quelle autre page — votre page d’accueil, une page personnalisée, etc.
Mon choix : laisser la 404. Pas besoin de réinventer la roue.
Que faire si WPS Hide Login ne fonctionne pas avec un plugin de cache ?
Si vous utilisez WP Rocket, aucune configuration supplémentaire. Le plugin est nativement compatible.
Avec W3 Total Cache, WP Super Cache ou LiteSpeed Cache, ajoutez le slug de votre nouvelle URL à la liste des pages exclues du cache. WPS Hide Login affiche d’ailleurs un message avec le lien direct vers le champ à modifier.
WPS Hide Login vs alternatives
WPS Hide Login n’est pas le seul plugin à proposer ce type de fonctionnalité. Mais c’est le plus léger et le plus utilisé. Voici comment il se compare :
| Critère | WPS Hide Login | All-In-One WP Security | iThemes Security |
|---|---|---|---|
| Taille du plugin | ~30 Ko | ~5 Mo | ~15 Mo |
| Installations actives | 2 000 000+ | 1 000 000+ | 900 000+ |
| Fonction unique | Oui (1 seule chose, bien faite) | Non (suite complète) | Non (suite complète) |
| Impact sur les performances | Quasi nul | Moyen | Moyen à élevé |
| Multisite | Oui | Oui | Oui |
| Compatible WP Rocket | Oui (natif) | Configuration requise | Configuration requise |
| Gratuit | Oui, 100% | Freemium | Freemium |
| Note WP.org | 4,9/5 | 4,8/5 | 4,6/5 |
Ma position là-dessus est claire : si vous avez juste besoin de cacher votre page de connexion, installer une suite de sécurité complète c’est utiliser un canon pour tuer une mouche. WPS Hide Login fait une seule chose, et il la fait bien. 30 Ko. Zéro impact sur votre PageSpeed.
Compatibilité
WPS Hide Login fonctionne avec WordPress 4.1 et supérieur (testé jusqu’à WordPress 6.9.1 en février 2026). Tout ce qui est lié à la connexion continue de marcher normalement :
- Formulaire d’inscription
- Formulaire de mot de passe perdu
- Widget de connexion
- Sessions expirées
Le plugin est compatible avec BuddyPress, bbPress, Jetpack, WPS Limit Login et User Switching. Seule exception : les plugins ou thèmes qui ont l’adresse wp-login.php écrite en dur dans leur code (« hardcoded »). Ça reste rare.
Le multisite fonctionne aussi, en sous-domaines comme en sous-dossiers. En activant le plugin au niveau du réseau, vous définissez une URL de connexion par défaut pour tous les sites. Chaque site peut ensuite choisir la sienne.
Comment désinstaller WPS Hide Login ?
Puisque le plugin ne modifie aucun fichier WordPress, la désinstallation est sans risque.
Méthode 1 — Depuis le tableau de bord : Extensions → Désactiver → Supprimer. Votre URL de connexion redevient immédiatement /wp-login.php.
Méthode 2 — Depuis le FTP : Si vous n’avez plus accès au tableau de bord, connectez-vous en FTP et renommez le dossier /wp-content/plugins/wps-hide-login/ (par exemple en wps-hide-login-OFF). WordPress désactive automatiquement le plugin.
Résolution de problèmes courants
En 7 ans de support sur ce plugin, voici les questions qui reviennent le plus souvent :
J’ai oublié ma nouvelle URL de connexion, comment me reconnecter ?
Deux solutions. La plus rapide : connectez-vous en FTP et renommez le dossier /wp-content/plugins/wps-hide-login/. Votre page de connexion redevient /wp-login.php. Connectez-vous, réinstallez le plugin et choisissez une nouvelle URL — que vous noterez cette fois.
Alternative : accédez à votre base de données via phpMyAdmin, cherchez la valeur whl_page dans la table wp_options. C’est votre URL personnalisée.
Sur une installation multisite, regardez dans la table wp_sitemeta si l’option n’existe pas dans wp_options.
WPS Hide Login ne marche pas après une mise à jour WordPress
Commencez par vider le cache de votre site (LiteSpeed Cache, WP Rocket, etc.) et le cache de votre navigateur. Dans 90% des cas, c’est ça.
Si le problème persiste, vérifiez votre fichier .htaccess : certains plugins de sécurité ou de cache ajoutent des règles qui peuvent interférer. Comparez avec un .htaccess WordPress standard.
Dernier recours : désactivez WPS Hide Login par FTP (renommez le dossier), reconnectez-vous, puis réactivez-le.
Le plugin est-il compatible avec mon hébergeur ?
WPS Hide Login fonctionne sur tous les hébergeurs classiques : OVH, o2switch, Infomaniak, Hostinger, SiteGround, Kinsta, WP Engine, etc. Il n’y a aucune dépendance serveur spécifique puisque le plugin fonctionne uniquement en interceptant les requêtes PHP.
Si vous utilisez un hébergeur avec un système de cache serveur (Varnish, Redis), pensez à exclure votre nouvelle URL de connexion du cache.
WPS Hide Login vs WPS Limit Login : lequel choisir ?
Les deux. Ce ne sont pas des alternatives mais des compléments. WPS Hide Login cache votre page de connexion (les bots ne la trouvent plus). WPS Limit Login limite le nombre de tentatives de connexion (si un bot trouve quand même votre page, il sera bloqué après X essais).
Ensemble, ils forment un duo très efficace contre les attaques automatisées, sans aucun impact mesurable sur les performances de votre site.
Le plugin est-il gratuit ? Existe-t-il une version Pro ?
WPS Hide Login est 100% gratuit, open source (licence GPLv2), et le restera. Il n’existe pas de version Pro. Le plugin fait une seule chose — changer votre URL de connexion — et n’a pas vocation à devenir une suite de sécurité.
Vous pouvez le télécharger depuis le dépôt officiel WordPress.org.
Comment retrouver l’URL d’inscription ou de mot de passe perdu ?
Une fois WPS Hide Login activé, l’URL d’inscription devient /votre-url-perso?action=register et le mot de passe perdu /votre-url-perso?action=lostpassword.
Le plugin ne crée pas de redirection depuis les anciennes URLs (/wp-login.php?action=register) pour une raison de sécurité : si ces URLs continuaient de fonctionner, n’importe qui pourrait deviner votre page d’administration.
Je suis bloqué, même /wp-admin/ ne fonctionne plus
Ce cas arrive généralement quand un autre plugin modifie votre .htaccess ou quand une ancienne configuration WordPress MU traîne encore. Vérifiez votre fichier .htaccess et comparez-le avec un fichier standard.
Si rien ne marche : renommez le dossier du plugin par FTP, connectez-vous via /wp-login.php, corrigez le problème, puis réactivez WPS Hide Login.
Qui est derrière WPS Hide Login ?
WPS Hide Login est né en 2015 comme un fork du plugin « Rename wp-login.php » qui n’était plus maintenu. L’équipe de WPServeur — le premier hébergeur WordPress français que j’ai fondé — a repris le code, l’a nettoyé et l’a publié sous le nom WPS Hide Login.
Aujourd’hui, le plugin est maintenu par Nicolas Kulka (développeur principal) avec WPServeur et moi-même (wpformation sur WordPress.org) comme contributeurs. On ne promet pas de support gratuit illimité — c’est un plugin maintenu, pas un produit commercial. Mais les mises à jour de sécurité et la compatibilité avec les nouvelles versions de WordPress sont assurées.
Le plugin a reçu plusieurs corrections de sécurité importantes au fil des ans, notamment pour des vulnérabilités de type « Login Page Disclosure » (versions 1.9.15 et 1.9.16) et un bypass multisite (version 1.9.12). Chaque fois, les correctifs ont été déployés rapidement — c’est l’avantage d’un plugin léger avec un périmètre fonctionnel réduit.
Les autres extensions gratuites de l’écosystème WPS :
- WPS Limit Login — bloquer les attaques par force brute (100 000+ installations actives)
- WPS Bidouille — optimiser WordPress et obtenir des infos techniques
- WPS Cleaner — nettoyer votre base de données et vos fichiers (20 000+ installations actives)
Pour toute demande de support technique, utilisez le forum officiel sur WordPress.org.
Résumez ou partagez cet article
