Limiter les tentatives de connexion WordPress : comment faire ?

Craignez-vous que des pirates tentent de se connecter à votre site WordPress ? Vous avez raison d'être.

Les pirates utilisent des méthodes d'essai et d'erreur pour deviner les identifiants de connexion et pénétrer dans les sites WordPress. En effet, sur un site WordPress, la page de connexion WordPress est la page la plus attaquée.

Une fois qu'un pirate s'est introduit dans votre tableau de bord d'administration, il peut prendre le contrôle total de votre site. Ils installeront des logiciels malveillants, des portes dérobées, défigureront votre site, feront de la publicité et vendront des produits illégaux, voleront les informations personnelles de votre utilisateur, spammeront les visiteurs de votre site et exécuteront d'autres activités malveillantes.

Heureusement, vous pouvez protéger votre page de connexion en limitant le nombre de tentatives de connexion accordées à un utilisateur pour entrer les informations d'identification correctes. Dans ce guide, nous vous montrerons comment configurer la limitation des tentatives de connexion sur un site WordPress.

TL ; RD : En limitant les tentatives de connexion sur votre site WordPress, vous pouvez empêcher les pirates d'essayer de s'introduire dans votre site Web. Le moyen le plus simple et le plus efficace d'activer cette fonctionnalité sur votre site consiste à utiliser un plugin. Installez MalCare sur votre site. Il est livré avec un pare-feu et une protection de connexion. Cela sécurise votre site contre les attaques par force brute.

Qu'est-ce que WordPress limite les tentatives de connexion ?

Par défaut, WordPress accorde un nombre illimité de tentatives de connexion à votre site. Vous pouvez essayer autant de combinaisons de noms d'utilisateur et de mots de passe que vous le souhaitez.

Les pirates en sont conscients et exploitent ce paramètre. Tout d'abord, ils compilent une base de données de noms d'utilisateur et de mots de passe couramment utilisés, ainsi que des données volées ou achetées. Ensuite, ils programment des bots pour visiter des sites WordPress et essayer des milliers de combinaisons de noms d'utilisateur et de mots de passe en moins de quelques minutes.

Ce faisant, les pirates sont capables de s'introduire dans de nombreux sites WordPress. C'est ce qu'on appelle une attaque par force brute car ils enfoncent votre site Web avec des milliers de demandes de connexion en quelques minutes.

En utilisant cette méthode de piratage, les pirates ont un bon taux de réussite (environ 10 %) en grande partie en raison du fait que les utilisateurs de WordPress ont tendance à définir des identifiants de connexion faibles. Alors que 10% semble être un faible nombre, étant donné qu'il existe des millions de sites WordPress, ils peuvent pirater des milliers de sites en un rien de temps.

En limitant le nombre de tentatives de connexion, vous pouvez arrêter les pirates et leurs bots dans leur élan.

Un utilisateur se verra accorder un nombre limité de fois pour entrer les bons identifiants de connexion. Par exemple, vous pouvez accorder trois tentatives. Si l'utilisateur ne parvient pas à saisir les informations d'identification correctes les trois fois, son compte sera verrouillé.

Des options leur seront présentées pour récupérer leurs identifiants de connexion, telles que :

1. Contactez l'administrateur.
2. Utilisez l' option "Mot de passe oublié" pour réinitialiser le mot de passe en répondant à une série de questions.
3. Prouvez leur identité via la vérification OTP ou la vérification par e-mail.
4. Résolvez un captcha pour prouver qu'ils sont humains et non un bot.

Une fois qu'un bot tente de se connecter trois fois, il sera confronté à ces obstacles. Ils ne pourront plus avancer et passeront à la cible suivante.

Par conséquent, cette mesure de sécurité peut protéger votre site contre les pirates et éviter un monde de problèmes. Ensuite, nous vous montrerons comment configurer la limitation des tentatives de connexion sur WordPress

Comment limiter les tentatives de connexion sur votre site WordPress ?

Il existe deux manières de limiter les tentatives de connexion sur votre site WordPress :

1. Utiliser un plugin (facile)
2. Manuellement (difficile)

Nous allons d'abord vous montrer comment utiliser un plugin car c'est simple, rapide et sans risque d'erreurs.

1. Limiter les tentatives de connexion à l'aide d'un plugin

Il existe plusieurs plugins qui permettent des connexions limitées sur votre site WordPress. Alors comment choisir le bon ?

Recherchez un plugin facile à configurer et qui automatisera le processus pour vous. Assurez-vous également que votre plugin fournit un rapport sur les tentatives qu'il a bloquées afin que vous puissiez voir si le plugin fonctionne réellement.

Nous avons sélectionné le plugin de sécurité MalCare pour illustrer comment limiter les tentatives de connexion sur votre site. Il répond aux exigences que nous avons énumérées ci-dessus. Cela va également au-delà de la simple limitation des tentatives de connexion et protège votre site Web à tout moment.

Avec MalCare, votre site Web aura des tentatives de connexion limitées basées sur CAPTCHA. Cela signifie que si un utilisateur entre les mauvaises informations d'identification plus de dix fois, il devra résoudre un CAPTCHA.

Après avoir résolu le CAPTCHA, l'utilisateur peut tenter de se reconnecter. Ou ils peuvent utiliser le mot de passe oublié ? possibilité de récupérer ses identifiants.

Commençons:

Étape 1 : Installez MalCare sur votre site. Activez le plugin et accédez-y depuis votre tableau de bord WordPress.

Étape 2 : Saisissez votre adresse e-mail et sélectionnez Sécuriser le site maintenant.

Étape 3 : MalCare vous redirigera vers son tableau de bord indépendant où il exécutera automatiquement une analyse sur votre site Web.

Étape 4 : Les tentatives de connexion limitées sont automatiquement activées sur votre site. Maintenant, vous devez vous demander comment utiliser la limite de tentatives de connexion de WordPress ?

Si vous essayez de vous connecter avec les mauvaises informations d'identification, vous ne pourrez plus réessayer.

Lorsque vous sélectionnez Cliquez ici, un CAPTCHA comme celui-ci vous sera présenté :

Après avoir résolu le CAPTCHA, vous pouvez vous reconnecter à votre site. Si vous ne parvenez pas à vous souvenir de vos informations d'identification, vous pouvez utiliser le mot de passe perdu ? option.

C'est ça. Vous avez réussi à limiter les tentatives de connexion sur votre site Web. En dehors de cela, MalCare érige également un pare-feu robuste pour empêcher tout mauvais bot ou trafic malveillant d'accéder à votre site. Il vous fournit un rapport de toutes les tentatives de connexion. Vous pouvez y accéder sur le tableau de bord :

Vous pouvez voir les tentatives infructueuses et les tentatives de connexion réussies. Vous pouvez également voir ceux que MalCare a identifiés comme suspects et bloqués automatiquement.

Maintenant, si un plugin WordPress n'est pas la méthode pour vous, nous avons détaillé comment vous pouvez implémenter la limitation des tentatives de connexion WordPress sans plugin. Mais cette méthode est complexe et sujette aux erreurs, alors procédez avec prudence.

2. Limitez les tentatives de connexion manuellement

Vous pouvez ajouter une protection de connexion limitée à votre site en insérant manuellement un extrait de code dans un fichier WordPress sur votre site. Cependant, nous devons vous avertir qu'à chaque fois que vous apportez une modification manuelle à un fichier WordPress, vous risquez de casser votre site Web . La plus petite des erreurs entraîne de gros problèmes.

Si vous souhaitez continuer avec cette méthode, nous vous recommandons fortement de faire une sauvegarde complète de votre site Web. En cas de problème, vous pouvez rapidement restaurer votre copie de sauvegarde et ramener votre site à la normale. Vous pouvez facilement effectuer une sauvegarde en installant le plugin de sauvegarde BlogVault sur votre site, ou choisir parmi l'un des meilleurs plugins de sauvegarde.

Une fois que vous avez une copie de sauvegarde en place, suivez les étapes ci-dessous :

Étape 1 : Connectez-vous à votre compte d'hébergement et accédez à votre cPanel. Ici, sélectionnez Gestionnaire de fichiers.

Étape 2 : Ouvrez le dossier public_html (ou le dossier dans lequel se trouve votre site Web). Allez dans wp-content > Thèmes.

Étape 3 : Sélectionnez votre dossier de thème actif. À l'intérieur, localisez le fichier functions.php . Pour illustrer, le nom de notre thème actif est Personal Blogily, nous avons donc sélectionné ce dossier.

Étape 4 : Faites un clic droit et sélectionnez Modifier. Le fichier s'ouvrira et vous pourrez y apporter des modifications. Insérez le code suivant dans le fichier :

function check_attempted_login( $user, $username, $password ) {

if ( get_transient( 'attempted_login' ) ) {

$datas = get_transient( 'attempted_login' );

if ( $datas['essayé'] >= 3 ) {

$jusqu'à = get_option( '_transient_timeout_' . 'attempted_login' );

$time = time_to_go( $until );

return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong> : vous avez atteint la limite d'authentification, vous pourrez réessayer dans %1$s.' ) , $time ) );

}

}

retourne $utilisateur ;

}

add_filter( 'authenticate', 'check_attempted_login', 30, 3 );

function login_failed( $nom d'utilisateur ) {

if ( get_transient( 'attempted_login' ) ) {

$datas = get_transient( 'attempted_login' );

$datas['essayé']++ ;

si ( $datas['essayé'] <= 3 )

set_transient( 'attempted_login', $datas , 300 );

} autre {

$données = tableau(

'essayé' => 1

);

set_transient( 'attempted_login', $datas , 300 );

}

}

add_action( 'wp_login_failed', 'login_failed', 10, 1 );

fonction time_to_go($horodatage)

{

// conversion de l'horodatage mysql en heure php

$périodes = tableau(

"deuxième",

"minute",

"heure",

"jour",

"semaine",

"mois",

"année"

);

$longueurs = tableau(

"60",

"60",

"24",

"7",

"4.35",

"12"

);

$horodatage_actuel = heure();

$différence = abs($current_timestamp – $timestamp);

for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) – 1; $i ++) {

$différence /= $longueurs[$i] ;

}

$différence = rond($différence);

si (isset($différence)) {

si ($différence != 1)

$périodes[$i] .= "s" ; $sortie = "$différence $périodes[$i]" ;

Ce code limitera les tentatives de connexion à trois fois.

Étape 5 : Enregistrez le fichier et quittez.

Une fois ce code intégré à votre site Web, les utilisateurs disposent de trois tentatives pour saisir les bons identifiants de connexion. S'ils ne le font pas, ils seront bloqués pour accéder à leur compte pendant une période temporaire.

La seule raison pour laquelle vous devriez opter pour cette méthode est si vous souhaitez minimiser l'utilisation de plugins sur votre site et activer la fonctionnalité par vous-même. En dehors de cela, il est beaucoup plus sûr et plus facile d'utiliser un plugin pour gérer cette tâche pour vous.

C'est ça! Vous avez réussi à limiter les tentatives de connexion sur votre site et à empêcher ainsi les pirates et les bots d'accéder à votre site !

Lire aussi : Comment résoudre les problèmes de connexion WordPress non sécurisée

Devriez-vous limiter les tentatives de connexion sur votre site WordPress ?

Il y a toujours un avantage et un inconvénient à tout ce que vous implémentez sur votre site WordPress. Donc, avant d'activer la limitation des tentatives de connexion sur votre site, nous vous expliquerons les avantages et les inconvénients. Cela vous aidera à déterminer si cette fonctionnalité convient à votre site Web.

Avantages de limiter les tentatives de connexion

• Empêcher l'accès non autorisé

En limitant les tentatives de connexion sur votre site, vous pouvez empêcher les pirates et les robots malveillants de forcer brutalement votre page de connexion et d'y accéder.

Un verrouillage temporaire suffit à décourager un bot et à le faire s'éloigner de votre site.

• Empêcher les pics de trafic et les pannes de serveur

Comme nous l'avons mentionné, lors d'une attaque par force brute, les bots tentent des milliers de combinaisons de noms d'utilisateur et de mots de passe. À chaque tentative, le bot envoie une requête à votre serveur Web.

Votre serveur Web fournit des ressources pour exécuter des tâches et des fonctions sur votre site Web, y compris des demandes de connexion. Si un bot bombarde votre site avec des milliers de requêtes en une minute, il peut surcharger votre serveur et le faire planter.

Votre site deviendra temporairement indisponible pour les visiteurs.

• Empêcher la suspension de l'hôte Web

Votre serveur Web dispose de ressources limitées pour faire fonctionner votre site Web. Si vous dépassez vos ressources, votre serveur est surchargé.

Si vous utilisez un plan d'hébergement partagé, cela peut affecter d'autres sites Web qui se trouvent sur le même serveur.

Lorsque les robots font des centaines de tentatives de connexion, votre site utilise des ressources serveur excessives. Cela invite votre fournisseur d'hébergement à suspendre temporairement… le site pour éviter tout impact sur les autres sites Web du serveur. Ils le font aussi pour protéger leurs propres intérêts.

Inconvénients des tentatives de connexion limitées

• Compte verrouillé - Si vous oubliez accidentellement votre nom d'utilisateur et votre mot de passe, vous risquez de ne plus pouvoir accéder à votre compte. Vous devrez suivre un processus de vérification pour récupérer votre mot de passe, ce qui pourrait prendre du temps.

C'est le seul inconvénient auquel nous pouvons penser. Il n'y a aucune autre raison pour laquelle vous ne devriez pas mettre en place une protection de connexion sur votre site. Si vous recherchez une alternative WordPress limitant les tentatives de connexion, vous pouvez essayer l'authentification à 2 facteurs. Cela protégera également votre page de connexion WordPress. MalCare a lancé une version bêta de l'authentification à 2 facteurs ou vous pouvez utiliser Google Authenticator pour cela.

Cela dit, les tentatives de connexion limitées de WordPress sont faciles à mettre en œuvre et protègent votre site contre les pirates. Nous pouvons voir que les avantages l'emportent de loin sur les inconvénients lorsqu'il s'agit de limiter les tentatives de connexion et de protéger votre site Web.

Dernières pensées

WordPress est le CMS (Content Management System) le plus populaire au monde. Mais cette popularité attire l'attention des pirates.

Les sites WordPress sont constamment ciblés par les pirates. Il est donc encore plus important que vous preniez des mesures de sécurité suffisantes sur votre site. Étant donné que la page de connexion WordPress est la page la plus attaquée, limiter les tentatives de connexion est un bon point de départ.

Si vous souhaitez protéger davantage votre page de connexion WordPress, ces ressources pourraient vous être utiles :

Sécurité de connexion WordPress

Page de connexion protégée par mot de passe avec authentification HTTP

Protégez votre site WordPress contre les attaques par force brute

Authentification à deux facteurs

Si vous recherchez une solution de sécurité complète, simple mais robuste, nous vous recommandons d'utiliser le plugin MalCare. Il analyse régulièrement votre site, configure un pare-feu puissant, limite les tentatives de connexion et vous alerte en cas de problème. Il protège votre site 24 heures sur 24.

Sécurisez votre site WordPress contre les pirates avec MalCare !