Comment limiter les tentatives de connexion WordPress
Publié: 2023-06-22Vous souhaitez limiter les tentatives de connexion WordPress pour sécuriser la zone d'administration ? Ce tutoriel vous montrera le processus exact de limitation des tentatives de connexion.
La popularité de WordPress en tant que CMS apporte également sa vulnérabilité aux failles de sécurité comme les attaques par force brute et plus encore. Étant donné que WordPress ne limite pas les tentatives de connexion par défaut, il y a encore plus de chances que ces attaques réussissent et entravent votre site Web.
C'est pourquoi il est essentiel d'ajouter des tentatives de connexion sur votre site WordPress. Mais limiter ces tentatives présente d'autres avantages en plus d'éviter les attaques par force brute. Examinons donc les avantages de limiter les tentatives de connexion dans WordPress avant de passer au processus réel.
Pourquoi limiter les tentatives de connexion WordPress ?
Il est essentiel de limiter les tentatives de connexion pour votre site WordPress. Voici quelques raisons pour lesquelles c'est important :
- Empêcher les attaques par force brute : les attaques par force brute dépendent de l'essai et de l'erreur automatisés consistant à deviner de nombreuses combinaisons de nom d'utilisateur et de mot de passe. Ils se poursuivent jusqu'à ce que les informations d'identification correctes soient trouvées. Par conséquent, vous pouvez réduire considérablement les chances de succès de ces attaquants en limitant leurs tentatives de connexion.
- Protégez les comptes d'utilisateurs : il est très important de limiter les tentatives de connexion si votre site Web permet les enregistrements d'utilisateurs ou inclut des fonctionnalités d'adhésion. Vous établissez une protection qui aide à protéger les comptes d'utilisateurs contre les accès non autorisés en imposant des restrictions sur les tentatives de connexion. Cela garantit la protection des comptes d'utilisateurs associés à votre site WordPress et améliore la sécurité globale de votre site Web.
- Maintenir les performances du site Web : une attaque par force brute peut épuiser les ressources du serveur de votre site Web lorsque l'attaquant tente d'accéder à plusieurs noms d'utilisateur et mots de passe. Chaque tentative de connexion échouée nécessite de la puissance de traitement, de la mémoire et d'autres ressources, ce qui peut entraîner une diminution des performances du site Web ou même des temps d'arrêt. Ainsi, vous pouvez réduire les risques que ces tentatives aient un impact négatif sur les performances de votre site Web en limitant les tentatives de connexion.
- Améliorer la sécurité globale : la mise en œuvre des limitations des tentatives de connexion est une mesure de sécurité proactive qui renforce la protection de votre site WordPress. Il ajoute une couche supplémentaire de défense contre les accès non autorisés, y compris d'autres mesures de sécurité essentielles telles que des mots de passe forts, une authentification à deux facteurs et des mises à jour régulières. Ensemble, ces mesures peuvent créer un système de défense robuste pour protéger votre site contre les menaces potentielles.
Dans la section suivante, nous vous montrerons le processus étape par étape pour limiter les tentatives de connexion WordPress à l'aide d'un plugin.
Comment limiter les tentatives de connexion WordPress
Le moyen le plus simple de limiter les tentatives de connexion dans WordPress consiste à utiliser un plugin . Les plugins augmentent les fonctionnalités et fonctionnalités de votre site Web qui n'étaient pas fournies dans l'installation ou les thèmes WordPress par défaut. Et puisque WordPress ne limite pas les tentatives de connexion par défaut, vous devrez utiliser un plugin pour cela.
De nombreux plugins dans WordPress vous permettent de limiter les tentatives de connexion sur votre site Web. Mais nous utiliserons le plugin Limit Login Atempts Reloaded pour cette démonstration.
C'est le plugin le plus populaire de WordPress conçu pour protéger votre site Web contre les attaques par force brute en limitant les tentatives de connexion. Le plugin dispose également d'une interface simple pour configurer le nombre maximum de tentatives de connexion et la durée des verrouillages. Il vous fournit même des journaux détaillés afin que vous puissiez suivre chaque tentative de connexion et être au courant de toute menace de sécurité associée.
Mais pour commencer à utiliser le plugin, vous devez l'installer et l'activer.
1) Installez et activez le plugin
Tout d'abord, allez dans Plugins> Ajouter un nouveau depuis votre tableau de bord WordPress et entrez les mots-clés du plugin. Après avoir vu le plugin dans les résultats de la recherche, cliquez sur Installer maintenant pour installer le plugin.
L'installation ne prendra que quelques secondes. Activez le plugin dès que l'installation est terminée.
Vous pouvez également télécharger et installer le plugin si vous souhaitez en utiliser un qui n'est pas inclus dans le référentiel officiel de plugins WordPress. Vous pouvez consulter notre guide complet sur l'installation manuelle d'un plugin WordPress si vous avez besoin d'aide.
2) Limiter les tentatives de connexion à l'aide des paramètres du plugin
Une fois le plugin activé, vous pouvez maintenant ajuster la limite de tentatives de connexion pour votre site Web WordPress à l'aide des paramètres du plugin. Pour cela, allez simplement dans Paramètres> Limiter les tentatives de connexion et ouvrez l'onglet Paramètres .
Vous pourrez voir les paramètres généraux du plugin ici. Mais la première chose à faire est de faire défiler jusqu'à la section Paramètres de l'application pour limiter les tentatives de connexion ou les verrouillages sur votre site Web WordPress. Les verrouillages font référence à une fonctionnalité de sécurité qui bloque ou restreint temporairement l'accès à un compte ou à un système après un certain nombre de tentatives de connexion infructueuses.
Le plugin inclut quelques options pour le verrouillage des tentatives de connexion. Tout d'abord, vous pouvez ajouter le nombre de tentatives de connexion que vous souhaitez fournir à vos utilisateurs dans la zone de nombre « tentatives autorisées ». Le nombre que vous entrez ici est la limite des tentatives de connexion que vous souhaitez autoriser pour les utilisateurs de votre site Web WordPress.
De même, vous pouvez ajuster la période sous forme de minutes pour les verrouillages si un utilisateur ne parvient pas à saisir les informations d'identification correctes dans les tentatives autorisées. Il existe également d'autres options de verrouillage, comme l'augmentation du nombre de verrouillages après une certaine période et la période de réinitialisation des tentatives.
Enfin, vous pouvez également modifier l'option Trusted IP Origins. Cependant, il est fortement déconseillé de le modifier et de le laisser tel quel pour des raisons de sécurité. Après avoir effectué toutes les modifications nécessaires, cliquez sur Enregistrer les paramètres .
Ensuite, vous pourrez voir les tentatives de connexion lorsque vous vous déconnectez de votre tableau de bord WordPress et essayez de vous reconnecter lorsqu'un nom d'utilisateur ou un mot de passe incorrect est entré. Vous pouvez également ouvrir l'URL de connexion en mode incognito pour la tester rapidement. Si vous regardez la capture d'écran suivante, il n'y en a que 6 sur 7 car la première tentative incluait un nom d'utilisateur ou un mot de passe incorrect.
3) Ajustez les paramètres supplémentaires du plugin
Vous pouvez également ajuster certains paramètres de plug-in supplémentaires après avoir défini les options de verrouillage pour limiter les tentatives de connexion à votre site Web WordPress. Faites défiler jusqu'à la section Paramètres généraux , où la première option que vous verrez est de définir le plug-in comme conforme au RGPD. Vous pouvez même ajouter un message GDPR si vous cochez l'option.
De plus, le plugin peut vous avertir après un certain nombre de verrouillages directement sur l'e-mail que vous avez sélectionné. Vous pouvez également afficher ou masquer l'élément de menu de niveau supérieur, le badge d'avertissement et le widget du tableau de bord. Mais n'oubliez pas que le badge d'avertissement et l'élément de menu de niveau supérieur ne s'afficheront que lorsque vous rechargerez les modifications.
N'oubliez pas d' enregistrer les modifications après avoir effectué toutes les modifications supplémentaires.
De plus, si vous ouvrez l'onglet Journaux , vous pourrez également voir le nombre total de verrouillages ici. Vous pouvez également ajouter des adresses IP, des plages d'adresses IP ou des noms d'utilisateur à la zone de liste sécurisée et de liste de blocage en conséquence. Encore une fois, il est nécessaire d'enregistrer ces modifications pour que ces adresses IP prennent effet sur votre site Web.
De plus, vous pouvez également afficher un aperçu du nombre de tentatives de connexion infructueuses au cours des dernières 24 heures à partir de l'onglet Tableau de bord . Vous obtenez également un graphique du nombre de tentatives de connexion infructueuses ainsi que la date exacte des tentatives infructueuses à côté. Si vous voulez plus d'options pour les tentatives de connexion, vous pouvez toujours passer à la version premium.
Bonus : Comment changer l'URL de la page de connexion WordPress
Si vous souhaitez rendre votre site Web plus sécurisé afin de réduire les risques d'attaques par force brute , vous pouvez également modifier l'URL de connexion WordPress de votre site Web. L'URL de connexion WordPress par défaut est très prévisible et simple. En conséquence, les pirates peuvent facilement trouver votre URL de connexion pour les attaques par force brute.
Vous pouvez facilement trouver la page de connexion de votre site Web en ajoutant le chemin /wp-admin/ à la fin de votre domaine. Ensuite, vous serez redirigé vers la page de connexion WordPress de votre site Web, à partir de laquelle vous pourrez accéder à votre tableau de bord WordPress. Si le chemin /wp-admin/ ne fonctionne pas, vous pouvez également essayer le chemin /wp-login/, /login/ ou /admin/ .
Comme vous pouvez le voir, votre page de connexion est accessible à toute personne familiarisée avec la conception et le développement Web, même au moindre montant. Cela peut entraîner d'autres menaces de sécurité sur votre site Web même si vous limitez les tentatives de connexion à WordPress. Par conséquent, il est essentiel de modifier également l'URL de connexion de votre site Web WordPress.
Vous pouvez modifier l'URL de connexion de votre site Web sans aucun problème en quelques minutes seulement. Et tout comme limiter les tentatives de connexion, le moyen le plus simple de modifier l'URL de connexion dans WordPress consiste à utiliser un plugin. Donc pour cette démonstration, nous allons utiliser le plugin WPS Hide Login .
1) Installez et activez le plugin
Pour installer le plugin, allez à nouveau dans Plugins > Ajouter nouveau depuis votre tableau de bord WordPress. Ensuite, recherchez les mots-clés du plugin et cliquez sur Installer maintenant, tout comme l'une des étapes mentionnées précédemment dans ce tutoriel.
Maintenant, tout ce que vous avez à faire est d'activer le plugin.
2) Modifier l'URL de la page de connexion WordPress
Lors de l'activation du plugin, vous pouvez maintenant commencer à personnaliser les options du plugin depuis Paramètres > WPS Hide Login sur votre tableau de bord WordPress.
Ici, vous devez personnaliser deux options :
- URL de connexion
- URL de redirection
Dans le champ URL de connexion , saisissez le nouveau chemin souhaité pour votre page de connexion. Nous avons ajouté « newlogin » pour cet exemple. Ainsi, votre URL de connexion unique devient www.votredomaine.com/newlogin/ .
Il est important de noter qu'une fois cette modification effectuée, vous devrez utiliser la nouvelle URL pour accéder au tableau de bord d'administration de WordPress. Ainsi, le chemin /wp-admin/ précédent ou toute autre URL de connexion que vous utilisiez ne pourra plus accéder à la page de connexion. Par conséquent, vous devrez rediriger les utilisateurs de l'ancienne URL de connexion vers la nouvelle.
C'est là que l' URL de redirection entre en jeu. Lorsque quelqu'un saisit l'ancien www.votredomaine.com/wp-admin/ dans son navigateur, il sera automatiquement redirigé vers l'URL de redirection.
Mais puisque nous voulons rendre le site Web plus sécurisé après avoir limité les tentatives de connexion WordPress, ajoutez 404 comme URL de redirection. Cela permettra aux utilisateurs de savoir que la page Web saisie n'est pas disponible.
Enfin, enregistrez toutes les modifications .
Une fois que vous avez mis à jour les nouveaux paramètres, WordPress affichera un avertissement en haut de la page indiquant que la page de connexion a été modifiée. Il est conseillé de mettre ce lien en signet et de le fournir uniquement aux utilisateurs du site Web administratif.
Si vous avez besoin de plus d'informations sur la modification des URL, vous pouvez également consulter notre didacticiel détaillé sur la modification de l'URL de la page de connexion WordPress.
Conseil : assurez-vous que votre mot de passe de connexion est fort
Tout comme l'ajout d'une limite aux tentatives de connexion WordPress et la modification de l'URL de connexion, il est également essentiel de s'assurer que votre mot de passe de connexion est solide et ne peut pas être deviné facilement. Si vous n'en avez pas, vous pouvez facilement en créer via le tableau de bord d'administration de WordPress. Donc, en guise de conseil bonus, nous vous guiderons également dans l'ajout d'un mot de passe fort pour votre compte de connexion WordPress.
Tout d'abord, accédez à Utilisateurs> Profil depuis votre tableau de bord WordPress et faites défiler jusqu'à la section Gestion du compte. Ensuite, cliquez sur Définir un nouveau mot de passe . Il générera automatiquement un nouveau mot de passe fort pour votre profil d'utilisateur WordPress.
Assurez-vous d'enregistrer en toute sécurité le mot de passe en le copiant et en le collant dans un emplacement sûr pour une utilisation ou une référence future. Enfin, faites défiler vers le bas de la page et cliquez sur Mettre à jour le profil pour enregistrer les modifications.
Conclusion
C'est ainsi que vous pouvez limiter les tentatives de connexion WordPress sur votre site Web. Limiter les tentatives de connexion est essentiel pour ajouter une couche de sécurité supplémentaire à votre site Web WordPress, et le processus est également simple. Tout ce que vous avez à faire est d'installer un plugin qui vous permet de limiter les tentatives de connexion, puis d'ajuster les verrouillages, et la connexion se retire en conséquence en utilisant les paramètres du plugin.
Selon le plugin que vous utilisez, vous obtenez également des options supplémentaires pour les limites de connexion. En outre, le plug-in peut également fournir des statistiques et des journaux pour les tentatives de connexion, comme indiqué dans l'exemple ci-dessus de ce didacticiel.
De même, nous vous avons également fourni un tutoriel bonus sur la modification de l'URL de connexion WordPress comme mesure de sécurité supplémentaire. Vous pouvez modifier l'URL de connexion à l'aide d'un plugin dédié, tout comme limiter les tentatives de connexion. Mais assurez-vous d'avoir un mot de passe de connexion solide pour votre compte d'utilisateur WordPress pour une sécurité maximale.
Alors pouvez-vous limiter les tentatives de connexion sur un site Web WordPress maintenant ? L'avez-vous déjà essayé? Veuillez nous le faire savoir dans les commentaires.
En attendant, voici quelques articles supplémentaires qui pourraient vous être utiles pour personnaliser davantage votre site Web WordPress :
- Comment créer une connexion WordPress temporaire : 3 méthodes
- La connexion WordPress ne fonctionne pas ? Comment le réparer
- Comment ajouter CAPTCHA à la connexion WooCommerce