Comment limiter les tentatives de connexion dans WordPress ?

Dans notre article précédent, nous avons expliqué différentes manières d'arrêter les attaques par force brute sur le site WordPress. Par rapport à toutes les autres options, limiter les tentatives de connexion de votre page de connexion WordPress est l'un des moyens les plus efficaces de protéger votre site. La plupart des utilisateurs pensent qu'il s'agit d'une tâche difficile et ne font pas assez pour améliorer la sécurité de leur site Web. Cela est principalement dû au fait que cela peut être long, coûteux et carrément difficile. Mais que se passe-t-il si nous vous disons que vous pouvez limiter les tentatives de connexion sur votre site WordPress en moins de 10 minutes à l'aide d'un plugin. Lisez la suite pour savoir comment vous pouvez le faire.

Pourquoi limiter les tentatives de connexion dans WordPress ?

WordPress propose un formulaire de connexion simple auquel vous pouvez accéder en ajoutant le suffixe /wp-admin/ ou /wp-login.php à l'URL de votre site Web. Bien que vous puissiez modifier cette URL à l'aide d'un plugin, cela peut créer d'autres problèmes car de nombreux plugins WordPress utilisent la même page de connexion pour accéder au tableau de bord. Voici quelques types de plugins qui peuvent utiliser votre page de connexion WordPress :

• Plugins de boutique en ligne comme WooCommerce
• Plugin d'abonnement au contenu
• Plugins d'adhésion

Il n'aura pas l'air professionnel de fournir une URL ou un mot de passe personnalisé à vos clients payants. Par conséquent, la meilleure option est de limiter les tentatives de connexion, ce qui permettra à vos clients de se connecter à votre site tout en limitant les robots automatisés.

De plus, le blocage des robots économisera la bande passante du serveur qui pourra être utilisée pour servir de vrais visiteurs sur votre site.

Limiter les tentatives de connexion Plugin rechargé

Notre solution à ce problème se présente sous la forme du plugin Reloaded de Limit Login Attempts. C'est de loin le meilleur plugin WordPress pour limiter les tentatives de connexion et il est assez facile à configurer et à mettre en œuvre.

• Ouvrez votre portail d'administration WordPress et accédez à la section « Plugins > Ajouter un nouveau ».
• Tapez simplement « limiter la connexion » dans la zone de recherche pour trouver la liste des plugins pertinents.
• Recherchez le plug-in Limiter les tentatives de connexion rechargé dans le résultat de la recherche, cliquez sur « Installer », puis cliquez sur « Activer » peu de temps après, comme indiqué dans la capture d'écran ci-dessous.

Tableau de bord des plugins

Après l'installation et l'activation, vous trouverez un nouveau menu répertorié dans la barre latérale de votre tableau de bord WordPress avec le nom « Limiter les tentatives de connexion ». Cliquez sur ce menu pour entrer dans le panneau de contrôle du plugin. Vous pouvez également accéder à la page à partir de « Paramètres > Limiter les tentatives de connexion », comme indiqué dans la capture d'écran ci-dessous.

En entrant sur la page, vous verrez la section tableau de bord du plugin. Ici, vous pourrez obtenir un aperçu général de tout ainsi que surveiller les éléments suivants :

• Affichez le nombre total de tentatives de connexion infructueuses sur votre site Web dans un format représenté graphiquement sous la forme d'un camembert et d'un graphique à barres.
• Passez à la version premium du plugin. Bien que la version gratuite du plug-in soit plus que suffisante pour la plupart des utilisateurs, si vous constatez une baisse des performances du site Web après l'installation du plug-in, la mise à niveau vers Premium devrait résoudre ce problème car le plug-in commencera à absorber les attaques par force brute dans leur cloud. serveur par opposition à localement. Vous bénéficierez également d'une assistance 24 heures sur 24, d'une sauvegarde automatique de toutes les données et d'une limitation avancée par rapport à d'autres éléments.
• Affichez quotidiennement des statistiques intéressantes telles que les tentatives de connexion infructueuses par pays.

Configurer les paramètres du plugin

Cliquez sur l'onglet Paramètres pour effectuer des configurations spécifiques et modifier les paramètres de connexion par défaut de WordPress. Sur cette page, vous pourrez effectuer les modifications suivantes :

• Notifier lors du verrouillage : une adresse e-mail que vous insérez sera notifiée chaque fois que le site Web sera verrouillé en raison de plusieurs tentatives de connexion infructueuses. Par défaut, le plugin notifiera par e-mail après 3 verrouillages, mais vous pouvez le changer pour chaque verrouillage en entrant « 1 » au lieu de 3 comme indiqué ci-dessous.

• Paramètres de verrouillage : dans cette section, vous pouvez apporter les modifications de sécurité suivantes :
  • Tentatives autorisées : il s'agit du nombre de fois que vous pouvez tenter de vous connecter au portail d'administration du site Web. La valeur par défaut du plugin ici est 4 mais 2 ou 3 seront mieux d'un point de vue sécurité.
  • Minutes de verrouillage : il s'agit de la durée pendant laquelle le portail d'administration du site Web sera inaccessible. La valeur par défaut de 20 minutes est appropriée à notre avis, mais vous pouvez également apporter des modifications selon vos préférences.

• Les verrouillages augmentent le temps de verrouillage : il s'agit essentiellement de ce qui se passera après plusieurs verrouillages. Par exemple, selon les paramètres par défaut du plug-in, après 4 verrouillages, la durée du verrouillage passera de 20 minutes à 24 heures.
• Les nouvelles tentatives sont réinitialisées : la valeur que vous entrez déterminera le temps qu'il faudra avant que les nouvelles tentatives soient réinitialisées et que l'utilisateur puisse tenter de se connecter à nouveau.
• Origines IP de confiance : si vous avez des origines spécifiques auxquelles vous faites confiance, vous pouvez les saisir ici, séparées par des virgules. Comme le plugin, nous vous recommandons également d'utiliser l'origine REMOTE_ADDR par défaut, car d'autres origines peuvent être facilement falsifiées.

Une fois que vous avez renseigné les paramètres spécifiques du plugin, n'oubliez pas de cliquer sur « Enregistrer les paramètres » pour activer votre configuration.

Affichage des journaux

De plus, à partir de l'onglet des journaux, vous pourrez afficher le nombre total de verrouillages jusqu'à présent ainsi que répertorier manuellement les plages IP ou IP que vous souhaitez bloquer ou mettre en liste sûre.

Regardez le plugin en action

Alors maintenant que nous avons configuré le plugin, voyons comment il fonctionne réellement. Déconnectez-vous du portail d'administration WordPress et lorsque vous êtes sur la page de connexion, entrez un nom d'utilisateur et un mot de passe invalides pour tester le plugin. Comme vous pouvez le voir, le plugin montre clairement combien de tentatives vous avez avant que le site ne verrouille votre adresse IP. Vous verrez un message comme « 3 tentatives restantes » car nous avons configuré pour limiter la connexion à 3 tentatives invalides.

Si vous continuez à saisir un nom d'utilisateur ou un mot de passe erroné, vous rencontrerez un état de verrouillage comme indiqué dans la capture d'écran ci-dessous. Dans cette situation, vous ne pourrez pas soumettre une autre demande de connexion avant l'expiration de la durée de verrouillage, 20 minutes dans ce cas. En fait, même si vous soumettez les informations d'identification correctes, le plugin ne vous permettra pas de vous connecter pendant cette durée de verrouillage.

Derniers mots

Nous vous recommandons fortement de limiter les tentatives de connexion sur votre site WordPress, en particulier si vous n'utilisez aucune fonctionnalité d'enregistrement. Vous pouvez surveiller les statistiques des échecs de connexion pour comprendre l'origine des attaques. Si nécessaire, vous pouvez augmenter la durée de verrouillage ou bloquer définitivement les adresses IP pour augmenter la sécurité. Cependant, évitez d'utiliser trop de restrictions lorsque vous avez des clients payants qui se connectent via le formulaire de connexion WordPress par défaut.