Comment et pourquoi limiter les tentatives de connexion dans WordPress (Plugin+Code)
Publié: 2024-04-13Votre site WordPress est comme votre maison dans le monde en ligne. Tout comme vous verrouillez vos portes pour empêcher les intrus d’entrer, il est essentiel de sécuriser votre site Web contre les cybermenaces.
Une façon intelligente d’y parvenir consiste à limiter les tentatives de connexion. C'est comme installer un garde à la porte, prêt à empêcher quiconque tente de se faufiler. Et comme vous le savez, WordPress est une cible commune pour tous les pirates informatiques. Une statistique récente sur la sécurité de WordPress partagée par Colorlib montre que
Au moins 13 000 sites WordPress sont piratés chaque jour.
Ainsi, pour protéger votre site Web, vous devez limiter les tentatives de connexion à votre site WordPress.
Si vous vous demandez comment limiter les tentatives de connexion, ne vous inquiétez pas. Dans ce tutoriel étape par étape, nous allons vous montrer comment limiter les tentatives de connexion dans WordPress à moins de 10 minutes , c'est garanti.
Excité? Génial. Commençons!
Pourquoi devriez-vous limiter les tentatives de connexion dans WordPress
La principale raison de limiter les tentatives de connexion sur votre site est de sécuriser votre site Web. Voici 3 raisons principales pour limiter les tentatives de connexion :
(I) Arrête les attaques par force brute
Les attaques par force brute sont une tactique courante dans laquelle les pirates informatiques utilisent des outils automatisés pour deviner les noms d'utilisateur et les mots de passe à plusieurs reprises jusqu'à ce qu'ils y accèdent.
Par défaut, WordPress autorise des tentatives illimitées, ce qui permet aux attaquants de réussir facilement par essais et erreurs. Limiter les tentatives réduit considérablement les chances de réussite d’une attaque par force brute.
(II) Empêche le bourrage d'informations d'identification
Le credential stuffing consiste à utiliser des combinaisons de nom d’utilisateur et de mot de passe volées (provenant d’autres violations de données) pour tenter de se connecter à différents sites Web.
Avec des tentatives limitées, même si des informations d'identification volées sont utilisées, l'attaquant est bloqué avant de deviner les bonnes.
(III) Réduit le fardeau de la sécurité
Des tentatives illimitées peuvent entraîner un flot de demandes de connexion, submergeant votre serveur et impactant les performances du site Web.
La limitation des tentatives réduit le nombre d'échecs de connexion, réduisant ainsi la pression sur les ressources de votre serveur.
Lisez également : Une liste de contrôle détaillée de la sécurité des sites Web WordPress pour 2024
2 façons simples de limiter les tentatives de connexion dans WordPress
Vous savez maintenant pourquoi vous devriez limiter les tentatives de connexion. Il est temps de vous montrer comment procéder. Il existe principalement deux façons de limiter les tentatives de connexion dans WordPress. Ils sont:
- Limiter les tentatives de connexion à l'aide d'un plugin
- Limiter manuellement les tentatives de connexion
Nous vous montrerons les deux méthodes avec les captures d'écran et le code requis. Alors, sans plus tarder, commençons avec le tutoriel !
Méthode 01 : limiter les tentatives de connexion dans WordPress à l'aide d'un plugin
Pour être honnête, il existe plusieurs plugins WordPress de tentatives de connexion limitées. Vous pouvez accéder au référentiel de plugins WordPress et simplement rechercher le plugin – « Plugins de connexion WordPress limités » et vous obtiendrez un certain nombre de plugins. Choisissez un plugin de confiance selon votre choix.
Cependant, dans ce tutoriel, nous allons utiliser le plugin « Limit Login Attempts Reloaded » pour vous montrer comment limiter les tentatives de connexion à votre site WordPress. Il s'agit du plugin le plus populaire de cette catégorie avec plus de 2 millions d'installations actives et une incroyable note de 4,9 sur 5.
Commençons maintenant avec le tutoriel !
Étape 01 : Installez le plugin Reloaded Limit Login Tentatives
Connectez-vous à votre backend WordPress et accédez à Plugins -> Add New Plugin . Il y a un champ de recherche pour rechercher le plugin. Tapez le nom du plugin – Limiter les tentatives de connexion rechargées, puis installez le plugin à partir du résultat de la recherche.
Enfin, activez le plugin pour l'utiliser sur votre site.
Étape 02 : Configurer le plugin rechargé de tentatives de connexion limitées
Après avoir activé le plugin, accédez à votre tableau de bord WordPress. Vous y trouverez une nouvelle option sur le panneau de gauche – Limiter les tentatives de connexion .
Passez maintenant la souris sur l’option Limiter les tentatives de connexion et cliquez sur le bouton Paramètres . Cela vous mènera à une nouvelle interface.
Ici, vous pouvez cliquer sur l'option de conformité RGPD pour afficher le message RGPD sur votre page de connexion. En outre, vous devez insérer votre e-mail ici pour obtenir des mises à jour sur les personnes exclues de votre site.
Maintenant, faites défiler un peu et concentrez-vous sur le segment des applications locales.
Il y a quelques options à configurer :
- Nouvelles tentatives autorisées : nombre de tentatives infructueuses autorisées avant le verrouillage.
- Verrouillage en minutes : durée de verrouillage en minutes.
- Temps de verrouillage : Après le nombre spécifié de verrouillages, le temps de verrouillage augmentera des heures spécifiées.
- Heures avant la réinitialisation des tentatives : durée en heures avant la suppression des blocs.
Après avoir configuré ces options, n'oubliez pas d'appuyer sur le bouton Enregistrer les paramètres pour enregistrer toutes les modifications.
Étape 03 : Vérifiez si cela fonctionne
Déconnectez-vous maintenant de votre site Web WordPress et essayez de vous reconnecter avec les mauvaises informations d’identification. S'il indique le nombre de tentatives restantes ou s'il vous bloque, nous pouvons dire que cela fonctionne parfaitement.
Accédez maintenant à Limiter les tentatives de connexion -> Tableau de bord pour vérifier le rapport d'échec de connexion.
C'est tout!
C'est ainsi que vous pouvez limiter les tentatives de connexion sur votre site Web à l'aide d'un plugin WordPress.
Méthode 02 : limiter manuellement les tentatives de connexion (codage)
Si vous ne souhaitez pas ajouter de plugin supplémentaire pour limiter les tentatives de connexion, vous pouvez le faire en accédant à votre fichier function.php.
Pour ce faire, vous devez vous connecter à votre panneau de contrôle (cPanel). Accédez ensuite à Gestionnaire de fichiers -> public_html -> wp-content -> thèmes -> votre thème actuellement activé.
Vous y trouverez le fichier function.php .
Cliquez sur le fichier et collez ce code au bas du fichier.
Enfin, enregistrez le fichier pour terminer ce processus.
function check_attempted_login( $user, $username, $password ) { if ( get_transient( 'attempted_login' ) ) { $datas = get_transient( 'attempted_login' ); if ( $datas['tried'] >= 3 ) { $until = get_option( '_transient_timeout_' . 'attempted_login' ); $time = time_to_go( $until ); return new WP_Error( 'too_many_tried', sprintf( __( '<strong>ERROR</strong>: You have reached authentication limit, you will be able to try again in %1$s.' ) , $time ) ); } } return $user; } add_filter( 'authenticate', 'check_attempted_login', 30, 3 ); function login_failed( $username ) { if ( get_transient( 'attempted_login' ) ) { $datas = get_transient( 'attempted_login' ); $datas['tried']++; if ( $datas['tried'] <= 3 ) set_transient( 'attempted_login', $datas , 300 ); } else { $datas = array( 'tried' => 1 ); set_transient( 'attempted_login', $datas , 300 ); } } add_action( 'wp_login_failed', 'login_failed', 10, 1 ); function time_to_go($timestamp) { // converting the mysql timestamp to php time $periods = array( "second", "minute", "hour", "day", "week", "month", "year" ); $lengths = array( "60", "60", "24", "7", "4.35", "12" ); $current_timestamp = time(); $difference = abs($current_timestamp - $timestamp); for ($i = 0; $difference >= $lengths[$i] && $i < count($lengths) - 1; $i ++) { $difference /= $lengths[$i]; } $difference = round($difference); if (isset($difference)) { if ($difference != 1) $periods[$i] .= "s"; $output = "$difference $periods[$i]"; return $output; } }
Déconnectez-vous maintenant de votre site WordPress et essayez à nouveau de vous connecter avec les mauvaises informations d’identification. Si cela vous empêche d’accéder à votre site Web, cela signifie que vous avez implémenté avec succès la fonctionnalité de limitation des tentatives de connexion pour votre site Web WordPress.
Toutes nos félicitations!
Vous savez maintenant comment limiter les tentatives de connexion dans WordPress avec et sans l’aide d’un plugin.
Bonus : meilleures pratiques pour améliorer la sécurité de votre connexion
Améliorer la sécurité de connexion sur votre site WordPress est crucial pour protéger votre site Web et ses données contre tout accès non autorisé.
Voici quelques bonnes pratiques pour améliorer la sécurité de votre connexion :
- Définir un mot de passe de connexion fort : utilisez un mot de passe complexe et unique pour votre connexion WordPress. Évitez les mots de passe courants comme « password123 » ou les expressions faciles à deviner. Optez pour un mélange de lettres majuscules et minuscules, de chiffres et de caractères spéciaux. Les mots de passe plus longs sont généralement plus sécurisés. Pensez également à utiliser un gestionnaire de mots de passe pour générer et stocker en toute sécurité vos mots de passe.
- Utilisez reCAPTCHA : intégrez reCAPTCHA dans votre page de connexion pour empêcher les robots automatisés de tenter de se frayer un chemin brutalement vers votre site. reCAPTCHA demande aux utilisateurs de vérifier qu'ils sont humains en relevant un défi simple, comme sélectionner des images ou résoudre des énigmes. Cela permet de bloquer les robots malveillants tout en permettant aux utilisateurs légitimes d'accéder à votre site sans entrave.
- Implémentez l'authentification à deux facteurs (2FA) : activez l'authentification à deux facteurs pour une couche de sécurité supplémentaire au-delà d'un simple mot de passe. Avec 2FA, les utilisateurs doivent fournir une deuxième forme de vérification, comme un code temporaire envoyé sur leur appareil mobile ou généré par une application d'authentification, en plus de leur mot de passe. Cela réduit considérablement le risque d'accès non autorisé, même si les mots de passe sont compromis.
- Désactiver les utilisateurs inactifs : examinez et désactivez régulièrement les comptes d'utilisateurs inactifs pour minimiser le risque d'accès non autorisé. Les comptes inutilisés ou dormants peuvent être des cibles faciles à exploiter pour les pirates. Envisagez de mettre en œuvre des processus automatisés pour désactiver les comptes inactifs pendant une période spécifiée ou obliger les utilisateurs à confirmer périodiquement leur activité.
En mettant en œuvre ces bonnes pratiques, vous pouvez améliorer considérablement la sécurité de connexion de votre site WordPress, réduisant ainsi le risque d'accès non autorisé et améliorant la protection globale contre les activités malveillantes.
Conclusion sur Comment limiter les tentatives de connexion dans WordPress
Voilà pour notre guide sur la limitation des tentatives de connexion dans WordPress ! N'oubliez pas que cette étape simple peut faire une grande différence en protégeant votre site contre les menaces en ligne. C'est comme mettre un verrou sur votre porte numérique : essentiel pour protéger vos précieuses informations.
Au fur et à mesure que vous développez votre site Web, gardez la sécurité à l’esprit. Restez informé des derniers conseils de sécurité et soyez prêt à ajuster vos mesures si nécessaire. Après tout, assurer la sécurité de votre site est un travail continu.
Alors, n’hésitez pas à renforcer la sécurité de votre site. En limitant les tentatives de connexion, vous vous protégez non seulement vous-même, mais également vos visiteurs. Vers une communauté WordPress plus sûre et plus heureuse – une étape à la fois. Restez en sécurité et continuez à prospérer en ligne !