Il peut arriver que des pirates tentent de pénétrer votre site WordPress en essayant de deviner votre mot de passe administrateur . Par défaut, WordPress autorise les utilisateurs à renouveler les tentatives de connexion en essayant différents mots de passe autant de fois qu’ils le souhaitent. Les hackers peuvent donc utiliser cette faiblesse. Ce mode de piratage est connu sous le nom d’attaque par force brute (brute force attack) . Cependant, vous pouvez modifier ce comportement par défaut et ajouter une couche de sécurité supplémentaire à votre site WordPress. Dans cet article, vous allez apprendre pourquoi et comment vous devriez limiter les tentatives de connexion dans votre WordPress.
Pourquoi limiter les tentatives de connexion à WordPress ?
Par défaut, WordPress permet aux utilisateurs de saisir des mots de passe autant de fois qu’ils le souhaitent. Les pirates peuvent tenter d’exploiter cette faille à l’aide de scripts saisissant de multiples combinaisons jusqu’à ce que votre site web soit craqué. Pour éviter cela, vous pouvez limiter le nombre de tentatives de connexion infructueuses par utilisateur.
Vous pouvez par exemple paramétrer le verrouillage temporaire de l’utilisateur après 5 tentatives infructueuses. Si un utilisateur cumule plus de 5 tentatives infructueuses, alors votre site bloque son adresse IP pour une période que vous précisez dans vos paramètres, 5 minutes, 15 minutes, 24 heures, plus si vous le désirez.
Comment limiter les tentatives de connexion à WordPress?
La première chose à faire est d’installer et d’activer le plugin Login LockDown. Après activation, rendez vous sur la page Réglages » Login LockDown pour configurer les paramètres du plugin.
Vous devez d’abord définir le nombre de tentatives de connexion pouvant être réalisées sans blocage (Max login retries).
Ensuite, choisissez pendant combien de temps un utilisateur ne pourra pas recommencer après dépassement du nombre de tentatives de connexion infructueuses (Retry time period restriction).
Vous pouvez également définir la durée du blocage d’une adresse IP. La valeur par défaut est de 60 minutes , que vous pouvez ajuster selon besoin (champ Lockout length).
Par défaut, le plugin permet d’essayer différents noms d’utilisateurs non existants sans déclencher de blocage. Pour modifier ce comportement, choisissez “oui” pour Lockout Invalid Usernames.
Toujours par défaut, WordPress permet aux utilisateurs de savoir si ils ont saisis un nom d’utilisateur ou mot de passe invalide. Vous pouvez cacher ceci en cliquant sur Oui dans l’option de masquage des erreurs de connexion (Mask Login Errors).Ne pas oublier de cliquer sur le bouton de mise à jour des p aramètres (update settings) pour enregistrer vos modifications .
Conclusion
Limiter les tentatives de connexion à WordPress n’est donc pas bien sorcier, grâce à l’aide de ce petit plugin gratuit.
La première couche de protection étant votre mot de passe, vous devez toujours utiliser des mots de passe forts sur votre site WordPress. Evidemment, les mots de passe forts sont en général plus difficiles à retenir. Vous pouvez voir le guide du débutant qui vous explique la meilleure façon de gérer les mots de passe pour les utilisateurs de WordPress.
Crédit image d’en-tête : Designed by Freepik
Un bon article et des bons conseils. Merci pour le partage !