Sommaire
Saviez-vous que les attaques par force brute sont l’une des formes les plus courantes de cyberattaques ? Une attaque par force brute consiste à essayer continuellement de deviner votre mot de passe jusqu’à ce qu’il y parvienne.
Pire encore, WordPress n’a pas de protection intégrée contre ces tentatives. Par défaut, WordPress vous permet d’essayer un nombre illimité de mots de passe, ce qui facilite l’intrusion sur les sites Web.
Aujourd’hui, je vais démontrer comment vous pouvez facilement limiter les tentatives de connexion dans WordPress en utilisant le plugin Limit Login Attempts Reloaded.
Pourquoi limiter les tentatives de connexion à WordPress
Puisque WordPress permet aux utilisateurs de saisir un nombre illimité d’identifiants de connexion incorrects, rien n’empêche de procéder par essais et erreurs. Cependant, si vous imaginez une personne en train de taper ces informations, vous vous trompez lourdement.
Les pirates utilisent des scripts qui leur permettent de saisir les informations de connexion beaucoup plus rapidement. Cela augmente considérablement la probabilité qu’ils réussissent, car ils ont plus de chances en peu de temps.
Cependant, il existe une solution simple… limiter les tentatives de connexion.
Bien qu’il soit courant pour un utilisateur d’oublier son mot de passe ou de saisir accidentellement ses informations de manière incorrecte une ou deux fois, il n’a certainement pas besoin d’un nombre illimité de tentatives.
Par exemple, il est extrêmement courant sur les sites bancaires de limiter les tentatives de connexion à 3 en raison de la valeur des données.
Installation de Limit Login Attempts Reloaded (en anglais)
Le Limit Login Attempts Reloaded est un plugin extrêmement populaire avec plus d’un million d’installations actives. Ce plugin vous permet d’entrer le nombre de connexions que vous souhaitez pour les visiteurs. Une fois ce nombre dépassé, leur adresse IP sera bannie pour une durée paramétrable.
Il est simple à utiliser, mais extrêmement efficace.
Cliquez sur Plugins et sélectionnez l’option Add New dans le panneau d’administration de gauche.
Recherchez Limit Login Attempts Reloaded dans le champ de recherche disponible. Vous obtiendrez des plugins supplémentaires qui pourraient vous être utiles.
Localisez le plugin Limit Login Attempts Reloaded et cliquez sur le bouton “Install Now”. Ensuite, activez le plugin pour l’utiliser.
Dans le panneau d’administration de gauche, cliquez sur Settings et sélectionnez l’option Limit Login Attempts. La page des paramètres du plugin s’affiche alors.
Mise en place
Ce plugin est extrêmement facile à configurer et vous prendra moins de 5 minutes pour le faire.
La première option rend le plugin conforme au GDPR, ce que je recommande vivement de sélectionner. Cela garantira que ce plugin ne sera pas la raison pour laquelle vous n’êtes pas conforme à GDPR.
Note :Sélectionner cette option ne signifie pas que votre site web est conforme au GDPR, cela signifie simplement que le plugin ne violera pas la loi.
En dessous, vous trouverez les différents paramètres, y compris les tentatives autorisées, la durée du verrouillage, le nombre de verrouillages nécessaires pour augmenter cette durée et le nombre d’heures avant que le compteur de verrouillage ne soit réinitialisé.
Ces paramètres vont dicter le fonctionnement exact du plugin. Je recommande de garder à l’esprit le visiteur moyen.
La majorité des sites Web autorisent entre 3 et 5 tentatives avant d’être verrouillés. La durée moyenne du premier verrouillage se situe entre 20 minutes et 1 heure.
Personnalisez ces paramètres en fonction des besoins de votre site Web et n’oubliez pas qu’ils peuvent être modifiés à tout moment.
Enfin, vous trouverez des zones de texte de liste noire et de liste blanche. Vous pouvez y saisir des adresses IP ou des noms d’utilisateur pour les bloquer ou les empêcher d’être bloqués.
Par exemple, vous pouvez entrer votre propre nom d’utilisateur dans la liste blanche et un mauvais compte connu dans la liste noire.
Une fois que vous êtes satisfait de vos modifications, cliquez sur le bouton “Enregistrer les options”.
Félicitations, vous avez réussi à limiter le nombre de tentatives de connexion sur votre site Web WordPress.
Allez plus loin
Si la prévention du nombre de tentatives d’un pirate pour deviner un mot de passe résout certains problèmes, elle ne les résout pas tous.
Un autre point important que vous devez prendre en compte est la force de vos mots de passe.
Malheureusement, malgré toutes les informations disponibles sur Internet concernant le danger de choisir un mot de passe simple, les gens continuent à choisir des mots comme “123456”.
C’est un problème plus important pour les tentatives de connexion illimitées. Il permet à un pirate de charger les mots de passe les plus courants dans un script et de s’introduire facilement dans un compte.
Ne faites pas en sorte que les pirates puissent facilement deviner votre mot de passe. Utilisez des mots de passe forts pour sécuriser votre site Web.
Les pirates trouvent toujours un nouvel exploit
L’idée qu’un site Web est sûr à 100 % à tout moment est complètement ridicule. WordPress est la plateforme de création de sites Web la plus populaire au monde, c’est pourquoi elle est la cible de nombreux pirates.
Bien que la plateforme soit stable et ne présente pas de vulnérabilités majeures, les pirates peuvent toujours accéder à votre site Web, voler des informations précieuses et vous faire perdre des heures de travail supplémentaire.
Prenez toujours des mesures supplémentaires pour vous assurer que votre site Web est sûr.
Avez-vous trouvé le plugin Limit Login Attempts Reloaded facile à utiliser ? Quelles mesures prenez-vous pour vous assurer que votre site Web est correctement protégé ?