X

Comment limiter les tentatives de connexion sur WordPress (étape par étape)

Dernière mise à jour le par Editorial Team
LinkedInPinShares0
How to limit login attempts

Vous craignez que des pirates informatiques ne s’introduisent sur votre site ?

Par défaut, WordPress vous permet d’essayer un nombre illimité de noms d’utilisateur et de mots de passe pour vous connecter à votre site.

Bien que cela vous offre une meilleure expérience de connexion, cela donne également aux pirates une chance de s’introduire dans votre site en utilisant des “attaques par force brute” où ils font des milliers de tentatives pour deviner vos identifiants de connexion.

Dans cet article, nous allons vous montrer comment limiter les tentatives de connexion sur votre site afin d’empêcher les pirates d’y accéder.

Mais tout d’abord, précisons ce que sont les attaques par force brute et pourquoi elles constituent un problème aussi grave.

Qu’est-ce qu’une attaque par force brute ?

De nombreux internautes choisissent comme identifiants de connexion des noms d’utilisateur courants et des mots de passe faibles. Ils choisissent des identifiants faciles à mémoriser et dont la saisie demande le moins d’effort possible.

Les noms d’utilisateur les plus courants sont “admin” ou le nom réel de l’utilisateur. Quant aux mots de passe, ils ont tendance à être “123456” ou “qwerty”.

Les pirates informatiques le savent bien et programment des robots pour trouver la page de connexion de votre site et essayer ensuite une longue liste d’informations d’identification couramment utilisées et différentes combinaisons de celles-ci.

Ces robots sont capables d’essayer des centaines de combinaisons en quelques secondes. Lorsqu’ils ont trouvé la bonne, ils s’introduisent sur votre site et causent des dommages importants.

La meilleure façon de prévenir ces attaques par force brute est de limiter les tentatives de connexion sur votre site. Ainsi, lorsqu’un utilisateur saisit des informations d’identification incorrectes, par exemple 3 ou 5 fois, il est bloqué.

Lost password in WordPress

Les utilisateurs devront cliquer sur l’option “Perte du mot de passe” pour récupérer leur mot de passe.

Cela dit, il ne suffit pas de limiter les tentatives de connexion pour bloquer les pirates et autres menaces.

Vous devez utiliser une solution de sécurité complète qui protégera entièrement votre site web contre de telles attaques. Cela inclut la protection CAPTCHA, l’authentification à deux facteurs, la protection par pare-feu et le blocage des adresses IP.

Grâce à cette meilleure compréhension des attaques par force brute, commençons à protéger votre site.

Limiter les tentatives de connexion sur votre site WordPress

Si vous souhaitez une solution simple et gratuite pour limiter les tentatives de connexion, consultez le plugin Limit Login Attempts Reloaded. Il vous suffit d’installer le plugin sur votre site et il appliquera automatiquement la mesure de sécurité à votre site.

Cela dit, la sécurité des sites web et les attaques par force brute ne s’arrêtent pas là.

Une solution de sécurité plus complète pour limiter les tentatives de connexion et protéger votre site consiste à utiliser Sucuri. Il s’agit d’une solution de sécurité totale qui comprend toutes les mesures de sécurité dont vous avez besoin pour protéger votre site.

Sucuri WordPress Malware Removal Plugin

Le Sucuri Web Application Firewall détecte les faux navigateurs et les robots malveillants et les bloque automatiquement.

Il dispose en outre d’un moteur de corrélation puissant qui bloque les tentatives de force brute sans affecter les utilisateurs de votre site web.

Voici comment Sucuri bloque les attaques par force brute sur votre site :

  • Limitation des tentatives de connexion – Les utilisateurs disposeront d’un nombre maximum de tentatives pour saisir les informations d’identification correctes avant d’être invités à réinitialiser leur mot de passe.
  • Détection des signatures – Sucuri recherche des modèles connus de pirates et de logiciels malveillants et les bloque avant qu’ils n’atteignent votre site.
  • Blocage des robots et des scans – Sucuri identifie et bloque les outils automatisés et les robots de force brute qui attaquent votre site.
  • Authentification à 2 facteurs – Vous pouvez ajouter une couche de sécurité supplémentaire sur votre site en demandant aux utilisateurs de fournir un mot de passe unique généré en temps réel.
  • CAPTCHA et codes de passe – Il vous permet d’ajouter une protection CAPTCHA à votre page de connexion, de sorte que les robots ne puissent pas passer votre authentification de connexion. Vous pouvez également exiger des utilisateurs qu’ils saisissent un code d’accès statique.
  • Blocage géographique – Si le pare-feu de Sucuri détecte que la plupart des tentatives de force brute proviennent d’un endroit particulier, vous pouvez bloquer les visiteurs de ces plages IP ou même bloquer l’accès d’un pays entier à votre site.
  • Liste d’autorisation – Vous pouvez également bloquer tous les utilisateurs de votre page de connexion et mettre sur liste blanche uniquement les adresses IP de votre équipe de confiance.

Maintenant, configurons Sucuri sur votre site pour mettre en œuvre des tentatives de connexion limitées et d’autres mesures de protection.

Étape 1 : Installer et activer Sucuri

Sucuri est un scanner de sécurité gratuit disponible dans le dépôt WordPress.

Sucuri in WordPress org

Nous vous recommandons d’installer et d’activer d’abord ce plugin sur votre site. Cela vous permettra d’accéder à vos paramètres de sécurité et de les gérer directement à partir de votre tableau de bord WordPress.

Pour accéder au puissant pare-feu qui protégera votre site web des attaques par force brute, vous devez vous inscrire à la version Pro.

Nous vous recommandons d’utiliser le plan Pro qui coûte 299 $ par an. Elle vous donne accès à toutes les fonctionnalités dont vous aurez besoin pour bloquer non seulement les attaques par force brute, mais aussi d’autres piratages tels que les injections de logiciels malveillants et les attaques DDoS.

Une fois que vous vous êtes inscrit et que vous avez créé un compte chez Sucuri, vous pouvez commencer.

Étape 2 : Activer le scanner de sécurité de Sucuri

Depuis votre tableau de bord WordPress, naviguez jusqu’à l’onglet Sucuri ” Dashboard “.

Sur cette page, vous devez entrer votre clé API. Pour ce faire, cliquez sur le bouton ” Générer une clé API “.

Sucuri generate api key

Cela ouvrira une fenêtre popup dans laquelle votre site WordPress et votre email d’administrateur seront pré-remplis. Vous pouvez les modifier si vous le souhaitez.

Cochez ensuite les cases pour accepter les conditions d’utilisation et la politique de confidentialité. Enfin, cliquez sur le bouton “Soumettre” pour générer la clé API.

Generate api key in Sucuri

Une fenêtre contextuelle s’affiche pour vous indiquer que votre site a été enregistré avec succès. Vous pouvez vous rendre sur le tableau de bord de Sucuri.

API successful in Sucuri

Votre site dispose alors d’un scanner de sécurité actif. Il vous indiquera si votre site est propre ou non, et si vous figurez sur une liste de blocage.

Étape 3 : Activer le pare-feu Sucuri Security Firewall

Pour activer le pare-feu Sucuri, naviguez vers l’onglet Sucuri ” Firewall (WAF ) sur votre tableau de bord WordPress.

Ici, vous devrez entrer votre clé API.

Sucuri firewall api key

Vous trouverez cette clé dans votre compte sur le site web de Sucuri sous l’onglet Paramètres ” API.

Sucuri api tab

Copiez la clé, entrez-la dans votre tableau de bord WordPress et enregistrez vos paramètres. Et le tour est joué ! Votre pare-feu est activé.

Étape 4 : Modifier les paramètres DNS

Vous devez maintenant diriger votre trafic vers le pare-feu de Sucuri afin qu’il puisse le vérifier et filtrer les mauvais éléments. Après cela, il acheminera le trafic vers votre serveur d’hébergement web.

Pour ce faire, rendez-vous dans l’onglet Paramètres ” Général du tableau de bord de Sucuri.

Tout d’abord, vous verrez l’option la plus facile, à savoir l’intégration automatique. Si vous avez les détails de connexion de votre hébergement web, vous pouvez utiliser cette option.

Automatic integration Sucuri firewall

Il vous suffit de sélectionner l’hébergement ‘cPanel’ ou ‘Plesk’. La plupart des hébergeurs utilisent cPanel, mais vous pouvez consulter l’équipe d’assistance de votre hébergeur si vous ne savez pas lequel utiliser.

Vous devrez fournir vos identifiants de connexion à l’hébergement et l’intégration se fera automatiquement.

Si cela ne fonctionne pas pour vous, sur la même page, vous verrez des options pour utiliser les serveurs DNS de Sucuri ou vous pouvez configurer manuellement vos propres serveurs DNS.

Point a record to Firewall

Suivez les instructions fournies et mettez à jour l’adresse IP de l’enregistrement “A” de votre site.

Si vous ne comprenez pas ce que cela signifie, ne vous inquiétez pas. Vous pouvez contacter votre hébergeur ou votre registraire de domaine et ils vous guideront. Vous pouvez également ouvrir un ticket avec Sucuri, et leur équipe vous aidera à changer les enregistrements DNS.

Une fois cette opération terminée, votre trafic sera d’abord dirigé vers le pare-feu de Sucuri, puis vers vos serveurs d’hébergement WordPress.

Les modifications apportées à votre DNS peuvent prendre jusqu’à 48 heures pour être prises en compte, mais elles sont généralement effectuées en quelques heures.

Étape 5 : Surveiller votre site

Le pare-feu de Sucuri protège votre site et bloque les attaques des pirates et des robots malveillants. Il vous présentera également des rapports sur son tableau de bord, tels que les attaques bloquées, le trafic moyen par heure et le trafic par pays.

Sucuri dashboard

Vous devriez utiliser ces rapports pour surveiller la sécurité de votre site et vous tenir au courant des attaques qui ont échoué.

Étape 6 : Inscrire les adresses IP des utilisateurs sur la liste blanche (facultatif)

Si vous souhaitez empêcher toutes les IP d’accéder à votre panneau d’administration et n’autoriser que votre équipe ou les utilisateurs autorisés, vous pouvez le faire sous l’onglet Contrôle d’accès.

Sucuri whitelist

Ici, vous pouvez ajouter toutes les IP que vous souhaitez mettre sur liste blanche. Ensuite, passez à l’onglet Sécurité.

Vous verrez une option permettant d’activer l’option “Panneau d’administration limité aux adresses IP figurant sur la liste blanche”.

Sucuri admin panel whitelist

Cochez cette case et enregistrez vos options de sécurité. Désormais, seules les adresses IP figurant sur votre liste blanche peuvent accéder à votre page de connexion.

Et c’est tout ! Sucuri appliquera automatiquement une protection de connexion à votre site. Et ce n’est pas tout, votre site sera protégé contre toutes sortes de logiciels malveillants et d’attaques.

Nous espérons que cet article vous a été utile. Si vous souhaitez améliorer la sécurité de votre site, nous vous recommandons de lire :

Ces articles peuvent vous aider à renforcer la sécurité de votre site afin de tenir les pirates à distance.

LinkedInPinShares0

Commentaires   laisser une réponse

Ajouter un commentaire

Nous sommes heureux que vous ayez choisi de laisser un commentaire. N'oubliez pas que tous les commentaires sont modérés conformément à notre privacy policy, et que tous les liens sont en nofollow. N'utilisez PAS de mots-clés dans le champ du nom. Engageons une conversation personnelle et constructive.

WordPress Launch Checklist

L'ultime liste de contrôle pour le lancement de WordPress

Nous avons rassemblé tous les éléments essentiels de la liste de contrôle pour le lancement de votre prochain site Web WordPress dans un ebook pratique.
Oui, envoyez-moi le gratuit !
Copyright &copy ; 2015 - 2024 WPBeginner LLC. Tous droits réservés. Géré par Awesome Motive Inc.

NOTE EDITORIALE : Les opinions exprimées ici sont celles de l'auteur et non celles d'un hébergeur, d'un fournisseur de plugins, d'un fabricant de thèmes, de Syed Balkhi ou de WordPress Foundation, et n'ont pas été revues, approuvées ou soutenues par l'une ou l'autre de ces entités.

CLAUSE DE NON-RESPONSABILITÉ : Nous nous efforçons de maintenir des données fiables sur toutes les offres présentées. Toutefois, ces données sont fournies sans garantie. Les utilisateurs doivent toujours consulter le site officiel du fournisseur pour connaître les conditions et les détails actuels. Les offres de produits qui apparaissent sur le site Web proviennent des sociétés d'hébergement, des sociétés de plugins et des sociétés de thèmes dont IsItWP reçoit une compensation. Cette compensation peut avoir un impact sur la façon dont les produits apparaissent sur ce site (y compris, par exemple, l'ordre dans lequel ils apparaissent). Ce site n'inclut pas tous les produits WordPress ou toutes les offres de produits disponibles.