Bonjour Boris,
Même si je trouve qu'il serait limite paranoïaque de brider les IP accédants aux interfaces d'administration, si ce réglage était mis en place, il serait toujours possible, même en déplacement, d'accéder à ces pages en passant par un VPN qui, lui, serait autorisé. Mais ça complique un peu la démarche.
Autre point de sécurisation extrême, la mise en place d'un service "Fail2ban" si le serveur est sous Linux Debian (non précisé). Couplé aux recommandations de Bruno, cet outil aurait la capacité d'exclure automatiquement les tentatives de fraudes répétées.
La sécurité est une affaire de professionnel mais il faut savoir apprécier le niveau de "risque" et la complexité des contre-mesures. Sans indication de cette nature, il est difficile d'évaluer l'exposition.
A bientôt,
Patrick