Améliorer la sécurité en limitant les tentatives de connexion sur votre site WordPress - nuls

Limiter le nombre de tentatives de connexion d'un utilisateur à votre site WordPress permet de réduire le risque d'attaque par force brute. Une attaque force brute se produit lorsqu'un attaquant tente d'accéder en devinant votre nom d'utilisateur et votre mot de passe en parcourant les combinaisons.

Pour vous protéger contre les attaques par force brute, vous souhaitez limiter le nombre de tentatives de connexion d'un utilisateur à votre site Web. Vous pouvez accomplir cela dans WordPress assez facilement grâce à l'utilisation du plugin Limit Login Attempts. Vous pouvez trouver ce plugin dans le répertoire WordPress Plugin.

Lorsque le plugin Limit Login Attempts est installé, procédez comme suit pour configurer les paramètres:

1. Cliquez sur le lien Limit Login Attempts dans le menu Settings de votre Dashboard.

   La page Limiter les tentatives d'ouverture de session s'ouvre dans votre tableau de bord.

   

2. Sélectionnez une configuration.

   Sous l'en-tête Options, vous voyez ces quatre configurations:

   • 4 tentatives autorisées: C'est le nombre maximum de fois où les utilisateurs sont autorisés à réessayer les connexions échouées.

   • Verrouillage de 20 minutes: Il s'agit de la durée pendant laquelle un utilisateur ne peut pas réessayer une connexion après avoir atteint le nombre maximal autorisé.

   • 4 verrouillages augmentent le temps de verrouillage à 24 heures: Si un utilisateur est bloqué 4 fois après de nombreuses tentatives infructueuses de connexion, il est alors verrouillé pendant 24 heures.

   • 12 heures jusqu'à ce que les tentatives soient réinitialisées: Il s'agit de la durée avant que les tentatives de connexion ne soient complètement réinitialisées.

3. Sélectionnez l'option Connexion directe dans la section Connexion au site.

   Cette option limite la connexion au site à un seul protocole Internet. Vous pouvez également sélectionner ce plugin pour limiter la connexion au site derrière un proxy, si vos utilisateurs utilisent des adresses IP proxy pour se connecter au site.

4. Sélectionnez Oui dans la section Handle Cookie Login.

   Cette option indique à WordPress de définir un cookie dans le navigateur des utilisateurs pour une identification ultérieure. Vous pouvez également définir cette option sur Non si vous ne vous en faites pas. Toutefois, la gestion des connexions de cookies est une bonne mesure de sécurité supplémentaire à mettre en place.

5. Sélectionnez l'option Log IP dans la section Notify on Lockout.

   Cela avertira l'administrateur du site par e-mail chaque fois qu'un utilisateur se verra verrouillé. Vous pouvez également sélectionner le nombre de verrouillages qui se produiront pour un seul utilisateur avant de le notifier à l'administrateur par courrier électronique.

6. Cliquez sur le bouton Modifier les options en bas de la page Limiter les tentatives de connexion.

   Cette limite de connexion tente de réinitialiser les actualisations de page avec un message vous indiquant que les paramètres du plugin ont bien été enregistrés.

Si vous gérez votre propre serveur, surveillez vos tentatives de connexion pour voir si un attaquant malveillant tente d'effectuer des tentatives répétées pour obtenir des mots de passe et des noms d'utilisateur. Gardez une trace de ces adresses IP et si elles tentent à plusieurs reprises de se connecter, ajoutez-les à votre pare-feu serveur pour les empêcher d'alourdir vos points d'accès au serveur.