Dernière mise à jour le 20 juin 2024 par Jérôme Kerviel

Limiter les tentatives de connexion dans WordPress est crucial pour améliorer la sécurité de votre site web. Voici un guide étape par étape sur la façon de procéder :

Bien que WordPress soit une plateforme sécurisée, votre site n'est pas pour autant à l'abri des intrusions. L'une des attaques les plus courantes est celle de pirates humains ou robots qui essaient de forcer le passage à travers votre page de connexion en essayant plusieurs combinaisons de nom d'utilisateur et de mot de passe jusqu'à ce que quelque chose fonctionne. Pour les empêcher de réussir, vous pouvez utiliser un plugin WordPress pour limiter les tentatives de connexion.

En limitant le nombre de tentatives provenant d'une IP spécifique dans un certain laps de temps, vous pouvez bloquer les tentatives d'accès excessives, ce qui renforce la sécurité.

Cet article vous guidera dans la mise en place de cette fonctionnalité de sécurité à l'aide d'un plugin gratuit, en discutant de ses avantages et de ses inconvénients. Plongeons dans l'aventure !

1. Utiliser un plugin de sécurité

L'un des moyens les plus simples de limiter les tentatives de connexion est d'utiliser un plugin de sécurité. Des plugins comme WordfenceiThemes Security, ou Limit Login Attempts Reloaded offrent des fonctionnalités robustes pour protéger votre site.

Les étapes :

• Installez et activez le plugin de votre choix.
• Naviguez vers les paramètres du plugin.
• Configurez les limites de tentatives de connexion selon vos préférences (par exemple, bloquez une IP après trois tentatives infructueuses).

par exemple Installer le "Limiter les tentatives de connexion"plugin

Pour la plupart des utilisateurs, un plugin WordPress limitant les tentatives de connexion est la meilleure option pour restreindre les tentatives de connexion. Il existe plusieurs options de qualité, mais nous recommandons le plugin gratuit Limit Login Attempts Reloaded parce qu'il est :

• Il propose une version gratuite.
• Populaire - actif sur plus de 2 millions de sites, selon WordPress.org.
• Bien noté - 98%.
• Facile à utiliser.

Une fois le plugin activé, vous pouvez l'ouvrir et vous serez dirigé vers le tableau de bord du plugin. Vous y trouverez une vue d'ensemble, y compris le nombre total de tentatives de connexion échouées au cours des dernières 24 heures, ainsi qu'un panneau de configuration.

Étape 2 : Personnaliser les paramètres du plugin

Tout d'abord, rendez-vous sur le site "Paramètres". Il est conseillé de commencer par sélectionner la zone "Conformité au GDPRLa case à cocher " " se trouve en haut de la page. Cela affichera un message de sécurité sur votre page de connexion à l'administration de WordPress, ce qui rendra les choses transparentes. Pensez également à activer la case "Notification en cas de verrouillage"Cette fonction vous permet d'être informé par courrier électronique lorsque quelqu'un tente de se connecter trop de fois. Vous serez ainsi informé par courrier électronique lorsque quelqu'un tentera de se connecter trop souvent et échouera, le seuil de "trop de tentatives de connexion" étant entièrement laissé à votre appréciation.

En dessous, le "Application locale"Cette section vous permet d'affiner les règles relatives aux tentatives de connexion, notamment en définissant le nombre de tentatives autorisées avant le verrouillage, la durée pendant laquelle un utilisateur est verrouillé après plusieurs tentatives infructueuses, ainsi qu'en spécifiant la durée et l'augmentation des verrouillages pour les contrevenants récidivistes.

Si vous n'êtes pas sûr du bon réglage, vous pouvez utiliser les valeurs par défaut.

Il n'est pas nécessaire d'ajuster les données figurant dans la rubrique "Origines IP fiables"Cliquez donc sur "Sauvegarder les paramètres". Pour tester le fonctionnement du plugin, il suffit de se rendre sur la page de connexion de votre site web et d'entrer les mauvaises informations de connexion. Un message s'affichera, indiquant que des informations de connexion incorrectes ont été saisies, ainsi que le nombre de tentatives restantes. Un courriel sera également envoyé à votre adresse électronique pour vous informer de l'échec des tentatives. Bien entendu, vous pouvez toujours vérifier les tentatives de connexion échouées sur votre tableau de bord :

Quels sont les avantages d'une limitation des tentatives de connexion ?

Toutes les techniques de sécurité ne conviennent pas à tous les sites web, et celle-ci présente à la fois des avantages et des inconvénients potentiels. Examinons les avantages de la limitation des tentatives de connexion :

• Il empêche les humains et les robots d'essayer des centaines (ou des milliers) de combinaisons nom d'utilisateur/mot de passe jusqu'à ce qu'ils trouvent la bonne.
• Un verrouillage temporaire suffit souvent à décourager une attaque, car le pirate ou le robot passe à la cible suivante.
• La plupart de vos utilisateurs légitimes n'auront besoin que d'une seule tentative de connexion, voire de quelques tentatives s'ils oublient ou saisissent mal leurs informations d'identification.

Quels sont les inconvénients ?

Mise en œuvre d'une plugin wordpress qui limite les tentatives de connexion n'est pas sans poser de problèmes. Considérons les inconvénients suivants :

• Ajout d'un plugin à votre site. Bien que ce plugin soit très léger, il peut décourager les propriétaires de sites qui souhaitent réduire le nombre de leurs plugins (pour des raisons de sécurité ou de performance).
• Bien sûr, l'inconvénient est que, de temps en temps, un utilisateur réel peut avoir du mal à se connecter et se retrouver bloqué.

2. Configuration du fichier .htaccess

Pour ceux qui sont à l'aise avec le codage et qui ont accès au système de fichiers de leur serveur, la modification du fichier .htaccess est un moyen efficace de limiter les tentatives de connexion et de protéger votre site web. Site WordPress des attaques par force brute. Les .htaccess est un puissant fichier fichier de configuration utilisé par le serveur web Apache pour contrôler divers paramètres du serveur, y compris les configurations de sécurité. Voici un guide détaillé sur la façon de configurer votre .htaccess pour limiter les tentatives de connexion :

Etapes pour modifier le fichier .htaccess :

1. Accéder aux fichiers de votre site web

• Utilisation du client FTP :
  • Téléchargez et installez un client FTP (tel que FileZilla).
  • Connectez-vous au serveur de votre site web en utilisant vos identifiants FTP.
  • Naviguez jusqu'au répertoire racine de votre installation WordPress, généralement nommé public_html ou similaire.
• Utilisation du panneau de contrôle de l'hébergement :
  • Connectez-vous au panneau de contrôle de votre hébergement web (tel que cPanel).
  • Utilisez l'outil Gestionnaire de fichiers pour naviguer jusqu'au répertoire racine de votre site WordPress.

2. Sauvegarde du fichier .htaccess

Avant de procéder à des modifications, il est essentiel de créer une copie de sauvegarde de votre système actuel. .htaccess afin de pouvoir le restaurer en cas de problème.

• Télécharger le .htaccess sur votre ordinateur local à l'aide de votre client FTP ou du gestionnaire de fichiers du panneau de contrôle de l'hébergement.

3. Modifier le fichier .htaccess

Ouvrir le .htaccess à l'aide d'un éditeur de texte (tel que Notepad++ ou l'éditeur intégré dans votre panneau de contrôle d'hébergement).

4. Ajouter un code pour limiter les tentatives de connexion

Ajoutez l'extrait de code suivant au fichier .htaccess pour limiter les tentatives de connexion :

<IfModule mod_rewrite.c>
RewriteEngine Sur
RewriteBase /
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\nbsp;php(.*)$
RewriteCond %{ADDR_DISTANTE} !^123\.456\.789\.000$
RewriteCond %{ADDR_DISTANTE} !^111\.222\.333\.444$
RewriteCond %{ADDR_DISTANTE} !^555\.666\.777\.888$
RewriteRule ^(.*)$ - [F,L]
</IfModule>

Explication du code :

• RewriteEngine On : Active le moteur de réécriture en cours d'exécution.
• RewriteBase /: Définit l'URL de base pour les réécritures par répertoire.
• RewriteCond %{REQUEST_METHOD} POST : Applique la règle uniquement aux requêtes POST (utilisées pour les tentatives de connexion).
• RewriteCond %{REQUEST_URI} ^(.)?wp-login.php(.)$: La règle s'applique aux demandes de wp-login.php fichier.
• RewriteCond %{REMOTE_ADDR} !^123.456.789.000$: Exclut des adresses IP spécifiques de la règle. Remplacer 123.456.789.000 avec les adresses IP réelles auxquelles vous souhaitez autoriser l'accès. Ajoutez autant de RewriteCond lignes pour chaque IP autorisée.
• RewriteRule ^(.*)$ - [F,L] : Refuse l'accès (renvoie un statut 403 Forbidden) et empêche le traitement d'autres règles.

5. Sauvegarder et télécharger le fichier

• Sauvegarder les changements dans le .htaccess fichier.
• Transférez le fichier modifié sur votre serveur à l'aide de votre client FTP ou enregistrez-le directement si vous utilisez l'éditeur du panneau de contrôle de l'hébergement.

6. Tester les changements

• Essayez de vous connecter à votre site WordPress à partir d'une adresse IP non autorisée pour vous assurer que la règle fonctionne correctement. Vous devriez recevoir une erreur 403 Forbidden.
• Vérifiez que vous pouvez toujours vous connecter à partir des adresses IP autorisées.

Conseils supplémentaires :

• Mettez votre IP sur liste blanche : Veillez toujours à ce que votre adresse IP soit inscrite sur la liste blanche de la .htaccess pour éviter de vous enfermer.
• Adresses IP dynamiques : Si votre adresse IP change fréquemment, envisagez d'utiliser un VPN avec une IP statique ou un service comme DynDNS pour maintenir l'accès.
• Mises à jour régulières : Examiner et mettre à jour périodiquement le .htaccess pour s'assurer qu'il répond à vos exigences en matière de sécurité. et s'adapte à tout changement d'adresse IP.

Modifier le .htaccess pour limiter les tentatives de connexion est une méthode robuste et flexible pour renforcer la sécurité de votre site WordPress. Bien qu'il nécessite quelques connaissances techniques, le processus est simple et fournit une couche supplémentaire de protection contre les tentatives d'accès non autorisées. N'oubliez jamais de sauvegarder votre .htaccess avant d'apporter des modifications et de procéder à des tests approfondis pour s'assurer que votre site reste accessible aux utilisateurs autorisés.

 

Conclusion

Même si cela n'est pas strictement nécessaire, choisir d'installer un plugin pour limiter les tentatives de connexion est une mesure intelligente et proactive pour protéger votre site WordPress. Il s'agit d'un petit investissement en temps qui s'avère payant en fortifiant votre site contre les attaques par force brute, une tactique favorite des pirates qui ciblent la généreuse base d'utilisateurs de WordPress.

En outre, la modification de la .htaccess pour limiter les tentatives de connexion est une méthode robuste et flexible pour renforcer la sécurité de votre site. Bien que cette approche nécessite quelques connaissances techniques, le processus est simple et fournit une couche supplémentaire de protection contre les tentatives d'accès non autorisé. N'oubliez jamais de sauvegarder votre .htaccess avant d'apporter des modifications et de procéder à des tests approfondis pour s'assurer que votre site reste accessible aux utilisateurs autorisés. En combinant les deux méthodes - utilisation d'un plugin et configuration de l'option .htaccess peut offrir une sécurité complète à votre site WordPress.