X

Comment limiter les tentatives de connexion dans WordPress (étape par étape)

Last updated on by Alvin Collin
LinkedInPinShares22
Comment limiter les tentatives de connexion

Craignez-vous que des pirates informatiques ne s'introduisent sur votre site ?

Par défaut, WordPress vous permet d'essayer un nombre illimité d'identifiants et de mots de passe pour vous connecter à votre site.

Bien que cela vous offre une meilleure expérience de connexion, cela donne également aux pirates informatiques une chance de s'introduire sur votre site en utilisant des « attaques par force brute » où ils tentent des milliers de fois de deviner vos identifiants de connexion.

Dans cet article, nous vous montrerons comment limiter les tentatives de connexion sur votre site pour empêcher les pirates informatiques d'y accéder.

Mais d'abord, clarifions ce que sont les attaques par force brute et pourquoi elles constituent un problème si grave.

Qu'est-ce qu'une attaque par force brute exactement ?

De nombreuses personnes sur Internet utilisent des identifiants courants et des mots de passe faibles comme identifiants de connexion. Elles choisissent des identifiants faciles à retenir et qui demandent le moins d'effort à taper.

Pour les identifiants, les plus courants sont « admin » ou le nom réel de l'utilisateur. Et les mots de passe ont tendance à être « 123456 » ou « qwerty ».

Les pirates informatiques sont bien conscients de cela et programment des robots pour trouver la page de connexion de votre site, puis essaient une longue liste d'identifiants couramment utilisés et différentes combinaisons de ceux-ci.

Ces robots sont capables de tenter des centaines de combinaisons en quelques secondes. Et lorsqu'ils devinent la bonne, ils s'introduisent sur votre site et causent des dommages importants.

La meilleure façon de prévenir ces attaques par force brute est de limiter les tentatives de connexion sur votre site. Ainsi, lorsqu'un utilisateur saisit des identifiants incorrects, disons 3 ou 5 fois, il est bloqué.

Mot de passe perdu dans WordPress

Les utilisateurs devront cliquer sur l'option « Mot de passe perdu » pour récupérer leur mot de passe.

Cela dit, limiter les tentatives de connexion ne suffit pas lorsqu'il s'agit de bloquer les pirates informatiques et autres menaces.

Vous devez utiliser une solution de sécurité complète qui protégera entièrement votre site web contre de telles attaques. Cela inclut la protection CAPTCHA, l'authentification à deux facteurs, la protection par pare-feu et le blocage d'adresses IP.

Avec cette meilleure compréhension des attaques par force brute, commençons à protéger votre site.

Limiter les tentatives de connexion sur votre site WordPress

Si vous souhaitez une solution simple et gratuite pour limiter les tentatives de connexion, consultez le plugin Limit Login Attempts Reloaded. Il vous suffit d'installer le plugin sur votre site et il appliquera automatiquement la mesure de sécurité à votre site.

Cela dit, la sécurité des sites web et les attaques par force brute impliquent bien plus.

Une solution de sécurité plus complète pour limiter les tentatives de connexion et protéger votre site consiste à utiliser Sucuri. C'est une solution de sécurité totale qui inclut toutes les mesures de sécurité dont vous avez besoin pour protéger votre site.

Plugin de suppression de logiciels malveillants Sucuri pour WordPress

Le pare-feu d'application web Sucuri détecte les faux navigateurs et les mauvais bots, puis les bloque automatiquement.

Et il dispose d'un puissant moteur de corrélation qui arrête les tentatives de force brute sans affecter les utilisateurs de votre site web.

Voici comment Sucuri bloque les attaques par force brute sur votre site :

  • Limiter les tentatives de connexion – Les utilisateurs auront un nombre maximum d'essais pour entrer les identifiants corrects avant qu'on ne leur demande de réinitialiser leur mot de passe.
  • Détection de signatures – Sucuri recherche les modèles connus de pirates et de logiciels malveillants et les bloque avant qu'ils n'atteignent votre site.
  • Blocage des bots et des analyses – Il identifie et bloque les outils automatisés et les bots de force brute qui attaquent votre site.
  • Authentification à 2 facteurs – Vous pouvez ajouter une couche de sécurité supplémentaire à votre site qui oblige les utilisateurs à fournir un mot de passe unique généré en temps réel.
  • CAPTCHA et codes d'accès – Il vous permet d'ajouter une protection CAPTCHA à votre page de connexion, afin que les bots ne puissent pas passer votre authentification de connexion. Ou vous pouvez même exiger des utilisateurs qu'ils entrent un code d'accès statique.
  • Blocage géographique – Si le pare-feu de Sucuri détecte que la plupart des tentatives de force brute proviennent d'un emplacement particulier, vous pouvez bloquer les visiteurs de ces plages d'adresses IP ou même bloquer un pays entier d'accéder à votre site.
  • Liste blanche – Vous pouvez également bloquer tous les utilisateurs de votre page de connexion et n'autoriser que les adresses IP de votre équipe de confiance.

Maintenant, configurons Sucuri sur votre site pour implémenter des tentatives de connexion limitées et d'autres mesures de protection.

Étape 1 : Installer et activer Sucuri

Sucuri propose un scanner de sécurité gratuit disponible dans le répertoire WordPress.

Sucuri dans WordPress org

Nous vous recommandons d'installer et d'activer d'abord ce plugin sur votre site. Cela vous permettra d'accéder et de gérer vos paramètres de sécurité directement depuis votre tableau de bord WordPress.

Pour accéder au puissant pare-feu qui protégera votre site Web des attaques par force brute, vous devrez vous inscrire à la version Pro.

Nous vous recommandons d'utiliser le plan Pro qui coûte 299 $ par an. Il vous donne accès à toutes les fonctionnalités dont vous aurez besoin pour bloquer non seulement les attaques par force brute, mais aussi d'autres piratages comme les injections de logiciels malveillants et les attaques DDoS.

Une fois que vous vous êtes inscrit et avez créé un compte avec Sucuri, vous pouvez commencer.

Étape 2 : Activer le scanner de sécurité Sucuri

Depuis votre tableau de bord WordPress, accédez à l'onglet Sucuri » Tableau de bord.

Sur cette page, vous devrez entrer votre clé API. Pour ce faire, cliquez sur le bouton « Générer une clé API ».

Sucuri générer une clé API

Cela ouvrira une fenêtre contextuelle où votre site WordPress et votre e-mail d'administrateur sont préremplis. Vous pouvez les modifier si vous le souhaitez.

Cochez ensuite les cases pour accepter les conditions d'utilisation et la politique de confidentialité. Et sélectionnez le bouton « Soumettre » pour générer la clé API.

Générer une clé API dans Sucuri

Vous verrez une fenêtre contextuelle indiquant que votre site est enregistré avec succès. Vous pouvez vous rendre au tableau de bord Sucuri.

API réussie dans Sucuri

Avec cela, votre site dispose d'un scanner de sécurité actif. Il vous indiquera si votre site est propre ou non, et si vous êtes sur des listes noires.

Étape 3 : Activer le pare-feu de sécurité Sucuri

Pour activer le pare-feu Sucuri, accédez à l'onglet Sucuri » Pare-feu (WAF) sur votre tableau de bord WordPress.

Ici, vous devrez entrer votre clé API.

Clé API du pare-feu Sucuri

Vous pouvez trouver cette clé dans votre compte sur le site Web de Sucuri sous l'onglet Paramètres » API.

Onglet API Sucuri

Copiez la clé, entrez-la sur votre tableau de bord WordPress et enregistrez vos paramètres. Et voilà ! Votre pare-feu est activé.

Étape 4 : Modifier les paramètres DNS

Vous devrez maintenant diriger votre trafic vers le pare-feu Sucuri afin qu'il puisse l'examiner et filtrer les éléments indésirables. Après cela, il acheminera le trafic vers votre serveur d'hébergement web.

Pour configurer cela, allez dans l'onglet Paramètres » Général sur le tableau de bord Sucuri.

Tout d'abord, vous verrez l'option la plus simple qui est l'Intégration automatique. Si vous avez vos identifiants de connexion d'hébergement web, vous pouvez utiliser cette option.

Intégration automatique du pare-feu Sucuri

Vous devez simplement sélectionner l'hébergement 'cPanel' ou 'Plesk'. La plupart des hébergeurs utilisent cPanel, mais vous pouvez vérifier auprès de l'équipe de support de votre hébergeur si vous n'êtes pas sûr lequel utiliser.

Vous devrez fournir vos identifiants de connexion d'hébergement et cela s'intégrera automatiquement.

Si cela ne fonctionne pas pour vous, sur la même page, vous verrez des options pour utiliser les serveurs DNS de Sucuri ou vous pouvez configurer manuellement vos propres serveurs DNS.

Pointer un enregistrement vers le pare-feu

Suivez les instructions fournies et mettez à jour l'adresse IP pour l'enregistrement 'A' de votre site.

Si vous ne comprenez pas ce que tout cela signifie, ne vous inquiétez pas. Vous pouvez contacter votre hébergeur web ou votre bureau d'enregistrement de domaine et ils vous guideront. Ou vous pouvez également ouvrir un ticket auprès de Sucuri, et leur équipe vous aidera à modifier les enregistrements DNS.

Une fois terminé, votre trafic sera dirigé d'abord vers le pare-feu de Sucuri, puis de retour vers vos serveurs d'hébergement WordPress.

Les modifications de votre DNS peuvent prendre jusqu'à 48 heures pour se refléter, mais se produisent généralement en quelques heures.

Étape 5 : Surveiller votre site

Le pare-feu de Sucuri protégera votre site et bloquera toutes les attaques de pirates et de bots malveillants. Et il vous présentera des rapports sur son tableau de bord tels que les attaques bloquées, le trafic moyen par heure et le trafic par pays.

Tableau de bord Sucuri

Vous devriez utiliser ces rapports pour surveiller la sécurité de votre site et rester informé des attaques échouées.

Étape 6 : Mettre sur liste blanche les adresses IP des utilisateurs (facultatif)

Si vous souhaitez bloquer toutes les adresses IP de l'accès à votre panneau d'administration et n'autoriser que votre équipe ou les utilisateurs autorisés, vous pouvez le faire sous l'onglet Contrôle d'accès.

Liste blanche Sucuri

Ici, vous pouvez ajouter toutes les adresses IP que vous souhaitez mettre sur liste blanche. Ensuite, passez à l'onglet Sécurité.

Vous verrez une option pour activer 'Panneau d'administration restreint aux seules adresses IP mises sur liste blanche'.

Liste blanche du panneau d'administration Sucuri

Cochez cette case et enregistrez vos options de sécurité. Désormais, seules vos adresses IP mises sur liste blanche pourront accéder à votre page de connexion.

Et voilà ! Sucuri appliquera automatiquement la protection de connexion à votre site. Et pas seulement cela, votre site sera protégé contre toutes sortes de logiciels malveillants et d'attaques.

Nous espérons que cet article vous a été utile. Si vous souhaitez améliorer davantage la sécurité de votre site, nous vous recommandons de lire :

Ces articles peuvent vous aider à rendre la sécurité de votre site inébranlable afin que vous puissiez tenir les pirates à distance.

LinkedInPinShares22

Commentaires   Laisser une réponse

Ajouter un commentaire

Nous sommes ravis que vous ayez choisi de laisser un commentaire. Veuillez garder à l'esprit que tous les commentaires sont modérés conformément à notre politique de confidentialité, et tous les liens sont nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Ayons une conversation personnelle et significative.

Liste de contrôle de lancement WordPress

La checklist ultime pour lancer un WordPress

Nous avons compilé tous les éléments essentiels de la liste de contrôle pour le lancement de votre prochain site Web WordPress dans un ebook pratique.
Oui, envoyez-moi l'eBook gratuit !
Copyright © 2015 - 2025 WPBeginner LLC. All Rights Reserved. Managed by Awesome Motive Inc.

NOTE ÉDITORIALE : Les opinions exprimées ici sont celles de l'auteur seul, et non de toute société d'hébergement, fournisseur de plugins, société de thèmes, Syed Balkhi ou de la Fondation WordPress, et n'ont pas été examinées, approuvées ou autrement cautionnées par l'une de ces entités.

AVIS DE NON-RESPONSABILITÉ : Nous déployons de grands efforts pour maintenir des données fiables sur toutes les offres présentées. Cependant, ces données sont fournies sans garantie. Les utilisateurs doivent toujours vérifier le site Web officiel du fournisseur pour connaître les conditions et les détails actuels. Les offres de produits qui apparaissent sur le site Web proviennent des sociétés d'hébergement, des sociétés de plugins et des sociétés de thèmes respectives auprès desquelles IsItWP reçoit une compensation. Cette compensation peut avoir un impact sur la manière et l'endroit où les produits apparaissent sur ce site (y compris, par exemple, l'ordre dans lequel ils apparaissent). Ce site n'inclut pas tous les produits WordPress ni toutes les offres de produits disponibles.