Formation WordPress – Devenez un expert WordPress

Partager sur facebook
Partager sur twitter
Partager sur pinterest

7 plugins WordPress pour lutter contre les attaques par force brute

Une attaque par force brute est une méthode simple qui utilise de nombreuses tentatives de connexion à l’administration d’un site web (nom d’utilisateur + mot de passe) jusqu’à parvenir à y entrer.

Ce genre d’attaque n’est pas seulement propre à WordPress mais la popularité de ce CMS fait de lui l’une des cibles des plus appréciées ! Par défaut, WordPress offre un nombre illimité de tentative de connexion, dans cet article, nous allons voir quels sont les plugins efficaces pour limiter ce nombre d’essais et ainsi lutter contre les attaques par force brute…

 

1. WP LIMIT LOGIN ATTEMPTS

Plugin Limit Login Attempts

Ce plugin est spécialement conçu pour lutter contre les attaques par force brute en limitant le nombre de tentative de connexion et en ajoutant une vérification Captcha.

Limit Login Setting

Une fois que vous aurez installé et activé WP Limit Login Attempts, vous le retrouverez à l’onglet Réglages > WP Limit Login. Toutefois, vous vous rendrez vite compte que les valeurs par défaut ne peuvent être modifiées… Dommage ! Votre site sera donc bloqué seulement pendant 10 minutes à partir de 5 tentatives de connexion échouées et/ou 3 Captcha. Si vous voulez modifier ces valeurs, il faudra passer à la version pro (19$).

 

2. LOGINIZER SECURITY

Plugin Loginizer Security

Loginizer Security est un plugin WordPress assez complet qui vous aidera à lutter contre les attaques par force brute en bloquant la connexion pour une adresse IP qui aurait atteint le seuil maximal de tentatives autorisées. Une fois installé et activé, rendez-vous à l’onglet Loginizer Security > Brute Force qui vous permettra facilement de paramétrer le nombre de tentatives de connexion, le délai de blocage et de blacklister/whitelister les adresses IP de votre choix. C’est également dans cet onglet que vous trouverez la liste des erreurs de connexion à votre site.

Loginizer Settings

Il propose, dans sa version premium, d’autres fonctionnalités comme Two Factor Auth, reCAPTCHA, PasswordLess, Rename Login Page etc… pour améliorer la sécurité de votre site. Pour de plus amples informations au sujet de Loginizer Securityvous pouvez lire la documentation officielle.

 

3. WPS LIMIT LOGIN

wps limit login

Le plugin WPS Limit Login est très simple d’utilisation. Une fois installé et activé, vous retrouverez ses paramétrages dans l’onglet Réglages > WPS Limit Login.

WPS Limit Login configuration

Dans l’onglet “Configuration” vous pourrez paramétrer le nombre de tentatives infructueuses de connexion, le temps de blocage, etc…  Dans l’onglet “Journal” vous trouverez la liste des tentatives de connexion qui ont échouées. 

 

4. JETPACK

Jetpack Force Brute

Jetpack est un plugin multi-fonction qui propose effectivement certaines options de sécurité dont la lutte contre les attaques par force brute (il offre également de nombreuses autres fonctionnalités).

Jetpack - activer force brute

Pour bénéficier de cette fonctionnalité, il faudra d’abord installer et activer le plugin, ensuite vous devrez le connecter à votre compte WordPress.com. Après cela, vous pourrez aller à l’onglet JetPack > Réglages > Security puis positionner le bouton “Protect” sur ON.

Jetpack Whitelisting

À présent votre site est protégé contre les attaques par force brute. Vous pouvez dresser la liste des sites autorisés (la white list) qui vous permettra de ne pas être “banni” de votre propre site ! Vous pouvez indiquer votre adresse IP depuis votre administration et toujours à l’onglet JetPack > Réglages > Security > Protect ou bien depuis votre compte WordPress.com à l’onglet My Site > Settings > Security > Withelist. Pour en savoir plus au sujet de la sécurité proposée par JetPack, voir le guide officiel.

 

5. iTHEMES SECURITY

Plugin iThemes Security

iThemes Security est un vrai couteau-suisse pour la protection de votre site WordPress, et ce, dès sa version free ! Parmi ses nombreuses fonctionnalités telles que la détection des erreurs 404, le mode absent, la blacklist, la détection de changement de fichier etc… il y a bien-sûr la protection contre les attaques par force brute.

iThemes Security - Settings

Une fois que vous aurez installé et activé le plugin, vous devrez vous rendre à l’onglet Security > Settings > Local Brute Force Protect. Une popup s’ouvrira alors pour vous permettre de paramétrer cette fonctionnalité :

  • le nombre maximal de tentatives par hôte (c’est l’adresse IP qui est visée)
  • le nombre maximal de tentatives par utilisateur (c’est le nom d’utilisateur qui est visé)
  • le délai de blocage avant de pouvoir retenter la connexion
  • la possibilité de bannir immédiatement les essais de connexion avec le nom d’utilisateur “Admin”

 

6. CERBER SECURITY & LIMIT LOGIN ATTEMPTS

Plugin Cerber Security

Cerber Security est un plugin de sécurité disponible en français (partiellement). Une fois que vous l’aurez installé puis activé, vous pourrez commencer son paramétrage depuis l’onglet Réglages > WP Cerber.

Cerber Security - Settings

Vous verrez alors apparaitre plusieurs onglets très utiles pour la protection de votre site WordPress :

  • Réglages Généraux : c’est ici que vous pourrez paramétrer le nombre maximal de tentatives de connexion, la durée du blocage, l’option “blocage agressif”, la création d’une page de connexion personnalisée (URL personnalisée), le mode citadelle etc…
  • Liste d’accès : ici vous pourrez “whitelister” ou “blacklister” certaines adresses IP.
  • Activité : vous y trouverez les dernières activités
  • Blocages : la liste des adresses IP bloquées
  • Hardening : quelques options supplémentaires
  • Utilisateur : vous pourrez bloquer certains utilisateurs simplement en indiquant leur “username”
  • reCaptcha : ici vous pourrez connecter votre API Key reCaptcha
  • Outils : quelques options supplémentaires

Tout comme iThemes SecurityCerber Security est très complet. Si vous désirez en savoir davantage, je vous donne rendez-vous sur le site officiel.

 

7. WPS HIDE LOGIN

WPS Hide Login

WPS Hide Login est un plugin extrêmement simple à paramétrer et pourtant d’une grande efficacité… En effet, si toutes les précédentes extensions vous semblent contraignantes, celle-ci est alors faite pour vous !  Développé par l’équipe de WPServeur, WPS Hide Login fait bien son job et est très efficace.

WPS Hide Login Setting

Une fois que vous aurez installé et activé le plugin, il faudra vous rendre dans l’onglet Réglages > Général. Ici, une petite section est apparue avec un champ à renseigner. Il s’agit tout simplement de la terminaison de l’URL de connexion à votre administration WordPress. Changez le mot “login” par n’importe quel autre mot puis enregistrez.

Dorénavant, l’adresse www.mon-site.com/wp-admin/ (ou wp-login) ne fonctionnera plus ; pour vous connecter il faudra vous rendre à www.mon-site.com/mon-nouveau-mot/. Et les robots malveillants, eux, n’auront plus qu’à continuer leur chemin puisque ils ne trouveront qu’un message d’erreur !

 

En conclusion…

Comme il vaut mieux prévenir que guérir, il serait dommage d’ignorer les solutions qui existent pour protéger son site surtout quand celles-ci sont assez simples à mettre en place!

webinaire agence webmarketing

Profitez maintenant du meilleur Webinaire composé des secrets et stratégies que personne ne vous dévoilera, rejoignez maintenant plus de 24.500 entreprises qui ont profité des secrets.

Partagez cet article avec vos amis

Partager sur facebook
Partager sur google
Partager sur twitter
Partager sur linkedin