Souhaitez-vous limiter les tentatives de connexion dans WordPress ?
Les pirates peuvent utiliser une attaque par force brute pour essayer de deviner votre mot de passe administrateur. Si vous limitez le nombre de tentatives de connexion, vous réduisez considérablement leurs chances de réussite.
Dans cet article, nous allons vous montrer comment et pourquoi vous devez limiter les tentatives de connexion sur votre site WordPress.
Pourquoi devriez-vous limiter les tentatives de connexion dans WordPress ?
Une attaque par force brute est une méthode qui utilise des essais et des erreurs pour pirater votre site Web WordPress.
Le type d’attaque par force brute le plus courant est la devinette de mot de passe. Les pirates informatiques utilisent un logiciel automatisé pour deviner vos informations de connexion afin de pouvoir accéder à votre site Web.
Par défaut, WordPress permet aux utilisateurs de saisir des mots de passe autant de fois qu’ils le souhaitent. Les pirates peuvent essayer d’exploiter cela en utilisant des scripts qui entrent différentes combinaisons jusqu’à ce qu’ils devinent le bon identifiant.
Vous pouvez empêcher les attaques par force brute en limitant le nombre d’échecs de tentatives de connexion par utilisateur. Par exemple, vous pouvez verrouiller temporairement un utilisateur après 5 tentatives de connexion infructueuses.
Malheureusement, certains utilisateurs se retrouvent exclus de leur propre site Web WordPress après avoir mal saisi leur mot de passe à plusieurs reprises. Si vous vous trouvez dans cette situation, vous devez suivre les étapes de notre guide sur la façon de débloquer les tentatives de connexion limitées dans WordPress.
Cela étant dit, examinons comment limiter les tentatives de connexion sur votre site Web WordPress.
Comment limiter les tentatives de connexion dans WordPress
La première chose à faire est d’installer et d’activer le Limiter les tentatives de connexion rechargées brancher. Pour plus de détails, consultez notre guide étape par étape sur la façon d’installer un plugin WordPress.
La version gratuite est tout ce dont vous avez besoin pour ce tutoriel. Lors de l’activation, vous devez visiter le Paramètres » Limiter les tentatives de connexion page, puis cliquez sur l’onglet Paramètres en haut.
Les paramètres par défaut fonctionneront pour la plupart des sites Web, mais nous vous expliquerons comment personnaliser les paramètres de plug-in pour votre site.
Pour être conforme aux lois GDPR, vous pouvez cocher la case « Conformité GDPR » pour afficher un message sur votre page de connexion. Vous pouvez en savoir plus sur le RGPD dans notre guide sur WordPress et la conformité RGPD.
Ensuite, vous choisirez si vous souhaitez être averti lorsqu’une personne a été verrouillée. Vous pouvez modifier l’adresse e-mail à laquelle la notification est envoyée si vous le souhaitez. Par défaut, vous serez averti la troisième fois que l’utilisateur est verrouillé.
Après cela, vous devez faire défiler jusqu’à la section Local App où vous pouvez définir combien de tentatives de connexion peuvent être effectuées et combien de temps un utilisateur devra attendre avant de pouvoir réessayer.
Tout d’abord, vous devez définir le nombre de tentatives de connexion pouvant être effectuées. Après cela, choisissez le nombre de minutes qu’un utilisateur devra attendre s’il dépasse ce nombre de tentatives infructueuses. La valeur par défaut est de 20 minutes.
Vous pouvez également augmenter le temps d’attente une fois que l’utilisateur a été verrouillé un nombre spécifié de fois. Par exemple, les paramètres par défaut ne permettront pas à l’utilisateur de tenter de se connecter pendant 24 heures après avoir été verrouillé 4 fois.
Il est recommandé de ne pas modifier le paramètre ‘Trusted IP Origins’ pour des raisons de sécurité.
N’oubliez pas de cliquer sur le bouton Enregistrer les paramètres en bas de l’écran pour enregistrer vos modifications.
Conseils de pro pour protéger votre site Web WordPress
Limiter les tentatives de connexion n’est qu’un moyen de sécuriser votre site WordPress.
La première couche de protection de vos sites WordPress est constituée de vos mots de passe. Vous devez toujours utiliser des mots de passe forts sur votre site WordPress.
Les mots de passe forts peuvent être difficiles à retenir, mais vous pouvez utiliser un gestionnaire de mots de passe pour le rendre plus facile. Si vous exécutez un site WordPress multi-auteurs, voyez comment vous pouvez forcer des mots de passe forts sur les utilisateurs de WordPress.
Si votre page de connexion WordPress est toujours attaquée, une autre couche de protection que vous pouvez ajouter est Google reCAPTCHA pour la connexion WordPress. Cela contribuera davantage à réduire les attaques DDoS.
Aucun site Web n’est sûr à 100 %, car les pirates informatiques trouvent toujours de nouvelles façons de contourner le système. C’est pourquoi il est crucial que vous conserviez des sauvegardes complètes de votre site WordPress à tout moment. Nous vous recommandons d’utiliser UpdraftPlus ou un autre plugin de sauvegarde WordPress populaire.
Si votre site Web est une entreprise, nous vous recommandons fortement d’ajouter un pare-feu qui prend en charge les attaques par force brute et bien plus encore. Nous utilisons Sucuri, ce qui garantit notre sécurité et si quelque chose arrive à notre site, alors leur équipe est responsable de le réparer sans frais supplémentaires.
Pour plus de conseils de sécurité, assurez-vous de consulter notre guide de sécurité WordPress ultime.
Nous espérons que ce tutoriel vous a aidé à apprendre comment limiter les tentatives de connexion dans WordPress. Vous voudrez peut-être également apprendre à choisir le meilleur hébergement WordPress ou consulter notre liste de plugins indispensables pour développer votre site Web.