De nouveau une majeure avec un délai court, j’apprécie, vous aussi ? Et seulement 2 nouveautés dont une qui n’est qu’une option d’un module existant et ce module est aussi un plugin indépendant maintenant.
SecuPress 2.5
Makeshift — qui n’est pas une « Mark » cette fois —, n’existe que dans l’univers Earth-38264 et a été réalisée par Tony avec des restes de ci et ça quand son manoir a été attaquée par A.I.M. (Advanced Idea Mechanics).
Ironman dans Makeshift
L’idée de cette version qui ne devait être qu’une 2.4.1 car contient quelques correctifs non critiques a finalement évolué en une majeure 2.5 avec la modification légère du module de Déplacement de la page de connexion (aka Move Login, on en reparle juste après), des notifications colorées dans les plugins et l’ajout d’une option de Pot de miel (aka Honeypot) dans ce même module.
Juste après
Petit retour en arrière. L’idée du module Move Login n’appartient à personne, l’idée de déplacer ou masquer ou rendre secret la page de connexion existe depuis que l’authentification existe sur le Web. Mais la façon de la mettre en place est plus personnelle.
Grégory Viguier a créé le plugin « SF Move Login » en 09/2013 qui modifie le fichier .htaccess de votre site sous Apache afin de rediriger vers une erreur, une autre page, ou la bonne page.
old banner
3 ans plus tard, je reprends ce module dans SecuPress 1.0, et en v1.3.1 en aout 2017, je reprends le dev complet et fait en sorte de ne plus avoir besoin le fichier .htaccess, je gère tout en PHP.
Et là, en novembre 2025, le plugin « SF Move Login » devient « SP Move Login » car Greg me passe le relai après 3 ans sans mise à jour.
Je garde l’idée de Greg de cette voiture et sa caravane tractée 🙂 Image Blender ou IA ? Je vous laisse deviner
Je modifie alors son extension pour inclure ma façon de faire, avec le style d’interface SecuPress (en bleu au lieu de vert) et je gère une migration automatique entre SP Move Login v2.6 ou SecuPress 2.5, l’un des deux saura comment réagir pour faire la migration, les 2 savent la réaliser 😉
movelogin 26
Pot de miel
Un Honeypot est une page qui piège l’attaque le laissant penser qu’il a réussi à obtenir ce qu’il ne devait pas obtenir, ici c’est la page de connexion, il aura celle de WordPress par défaut (vous avez besoin d’une capture ?). Une fois la tentative de login lancée, son IP est instantanément bannie. Bingo bango bongo.
Le pot de miel
Petits détails, cette option n’est disponible que dans les réglages experts (voir SecuPress v2.3) et seulement si votre site ne possède que des comptes avec le rôle Administrateur. Pourquoi ? Car toutes les personnes qui tentent wp-login.php ou /wp-admin/ se verront servir la page de connexion, même si c’est une erreur, un oubli de la véritable page sur ce site… et cela va donc les bannir… Ce sont vos clients ? Imaginez la frustration (et mon support !!) voilà donc pourquoi.
Code couleur
Une nouvelle option simpliste dans le menu des plugins et thèmes (sous le module de détection des plugins vulnérables) permet d’ajouter des notices colorées indiquant depuis quand une mise à jour est disponible. Elles peuvent vous aider à prioriser les mises à jour. C’est une demande client
colored notices
IMP
Non je ne parle pas d’un diablotin (Imp en anglais), mais des « Improvements« .
Le premier visible est le widget du dashboard qui a enfin une véritable peau, un « design » comme j’ai pu, aidé par Claude pour me faire un truc propre. Et dans le même temps, ces données sont maintenant mensualisées, un graphique (désactivable) vous permet de voir l’évolution pour chaque type d’attaque bloquée.
widget fr
L’autre amélioration vient de Move Login et peut tout de même vous intéresser, car elle affiche maintenant les autres slugs des pages qui ne doivent pas être trouvées, je ne laisse pas les paramétrer, c’est limite inutile même si la version de Greg le faisait, on verra si je change d’avis avec les retours des personnes qui l’utilisent !
movelogin sp
FIX
Non ce n’est pas un chiffre romain, si ça l’était, ce serait F=3 donc 6 ! Bref, il n’y a que 6 correctifs:
* Correction : Erreur JS lorsque le module Antispam Comment Timer est actif
* Correction : Validité personnalisée des rôles corrigée dans certains cas
* Correction : Avertissement concernant la constante SECUPRESS_INSTALLED_MUPLUGINS non définie
* Correction : Avertissement lorsque notre base de données distante est inaccessible
* Correction : Impossible de mettre à jour les mots de passe lorsque Passwordless est actif, même si votre rôle n’est pas ciblé ou si l’activation du module n’est pas encore validée
* Correction : Impossible d’ouvrir les journaux des modifications dans la fenêtre contextuelle iframe de la page plugins.php lorsque l’option « Empêcher les actions sur les plugins » est activée.
Une 2.6 est donc en dev et contient ce qui était prévu dans cette 2.5 : le blocage de login via géolocalisation et une 2.7 avec de l’IA qui arrive pour une meilleure détection des malwares. </spoiler> Rendez-vous dans 1 mois et en janvier alors ?
