Comment limiter les tentatives de connexion dans WordPress - Protégez votre site Web contre le piratage

Broche

Il y a une augmentation drastique des tentatives de piratage au cours des dernières années. Des milliers de sites Web sont infectés chaque jour par une sorte de logiciel malveillant. 75% d'entre eux sont sur la plateforme WordPress, ce qui est un fait sérieux à considérer.

Les dernières recherches révèlent que 80% des entreprises ont subi une sorte de cyberattaque au cours des 12 derniers mois. Les ransomwares sont la dernière tendance de la catégorie et les experts en sécurité prédisent que ses coûts de dommages dépasseront les 5 milliards de dollars cette année.

Les pirates tentent toujours de casser votre système WordPress. Ils feront des tentatives de connexion répétées jusqu'à ce qu'ils crackent votre site Web. Limiter les tentatives de connexion est la meilleure solution possible pour surmonter cette situation. Limitez les tentatives de connexion sur votre site et si quelqu'un dépasse le nombre dans un court laps de temps, désactivez automatiquement la fonction de connexion pour la plage IP sélectionnée.

Qu'est-ce qu'une attaque par force brute ?

Broche

De nos jours, WordPress est utilisé par des millions de personnes du monde entier. Il est utilisé pour gérer les comptes professionnels et les comptes personnels.

En fait, il existe des millions de sites WordPress utilisés pour les blogs, mais il existe également de nombreux sites qui utilisent WordPress pour gérer des boutiques en ligne et même leurs sites Web d'entreprise. La popularité de WordPress en a fait l'un des sites les plus ciblés par les pirates.

L'attaque par force brute est une cyberattaque dans laquelle un pirate ou un programme spécialement conçu tente de se connecter à votre site en essayant de nombreuses combinaisons de noms d'utilisateur et de mots de passe. Ils peuvent combiner des lettres et des chiffres, des lettres majuscules et minuscules, les premières lettres du nom d'utilisateur et les dernières lettres du nom du site Web.

Dans une attaque par force brute distribuée, le programme d'attaque peut s'exécuter sur de nombreuses machines et chaque machine peut essayer un sous-ensemble de mots de passe.

En cas de succès, l'accès principal de votre site Web tombera entre les mains de criminels. Pour le récupérer, vous devrez leur verser une somme énorme en fonction de la valeur de votre entreprise.

Cependant, il peut parfois ne pas être efficace. Il est donc essentiel de sécuriser votre activité en ligne contre les tentatives de piratage.

Meilleurs plugins pour limiter les tentatives de connexion dans WordPress

Aujourd'hui, je vais lister les 7 meilleurs plugins pour limiter les tentatives de connexion dans WordPress. La plupart d'entre eux sont gratuits et vous permettent de bloquer les attaques par force brute en quelques étapes simples.

1.iThemes Security Pro

Broche

iThemes Security est le plugin de sécurité WordPress #1. Il couvre de nombreuses fonctionnalités telles que la surveillance de la sécurité en temps réel, l'analyse des vulnérabilités, l'authentification à deux facteurs, la détection des mauvais bots, etc.

Après l'activation, ouvrez l'onglet Sécurité dans le volet gauche de votre tableau de bord. Visitez le module Local BruteForce Protection et configurez les paramètres pour limiter les tentatives de connexion sur votre blog WordPress.

Il vous permet de verrouiller ou d'interdire définitivement un utilisateur après qu'il ait atteint les seuils. La connexion basée sur l'appareil est une fonctionnalité unique d'iThemes Security Pro. Tout ce que vous avez à faire est d'ajouter les appareils que vous utilisez à votre liste d'appareils de confiance. Lorsque vous vous connecterez plus tard, le plugin vérifiera automatiquement votre identité et facilitera la connexion ainsi que bloquera la connexion à partir d'autres appareils.

Vous pouvez également sécuriser les pages de connexion avec des codes d'authentification à deux facteurs reçus via l'application mobile, par e-mail ou par sauvegarde.

2. Sécurité des barrières de mots

Broche

Wordfence est un plugin de sécurité WordPress gratuit et populaire avec plus de 4 millions de téléchargements. Il est livré avec plusieurs options pour protéger votre site Web contre le piratage ou l'infection. Les fonctionnalités incluent la sécurité de connexion, le filtre anti-spam, l'affichage du trafic en direct, le pare-feu, la liste noire de domaine, l'analyse des logiciels malveillants, etc.

Après l'activation, visitez le menu Wordfence dans le volet de gauche > Options et faites défiler vers le bas pour localiser les options de sécurité de connexion.

Broche

Il vous montrera un certain nombre d'options pour activer la protection de connexion sur votre site Web. Définissez le nombre maximum de tentatives de connexion et de tentatives de mot de passe oublié, la période de verrouillage, etc. Cochez les cases restantes pour améliorer le niveau de sécurité de vos connexions. Demandez au plugin de verrouiller immédiatement les noms d'utilisateur invalides et d'empêcher les pirates de détecter de vrais noms d'utilisateur sur votre site via des analyses ou des modules API.

Il vous permet également de spécifier les noms d'utilisateur pour lesquels les adresses IP seront immédiatement bloquées. Wordfence est un logiciel open source qui fournit des statistiques détaillées et des notifications sur divers événements de sécurité se produisant sur votre site Web.

3. Malcare

Broche

Malcare est la suite de sécurité la plus complète pour WordPress. Il analyse votre site Web à intervalles réguliers pour détecter et supprimer les logiciels malveillants avant que votre entreprise ne soit infectée.

Les menaces de sécurité doivent être supprimées dès que possible car Google peut mettre votre site sur liste noire s'il n'est pas détecté à temps. Grâce à la technologie avancée de détection des menaces de Malcare et à l'option de suppression des logiciels malveillants en un clic. Il réduit vos heures de dur labeur et élimine le risque de perte.

Malcare bloque les attaques par force brute avec un pare-feu en temps réel et une protection Captcha. Il bloquera également l'utilisateur après avoir effectué un certain nombre de tentatives de connexion infructueuses. La surveillance de la disponibilité, les alertes de vulnérabilité et les sauvegardes quotidiennes sont d'autres fonctionnalités qui font de Malcare un outil essentiel pour les sites Web d'entreprise.

4. Sécurité et pare-feu tout-en-un WP

Broche

All in One WP Security & Firewall est un autre plugin de sécurité gratuit pour WordPress. Il combine plusieurs fonctionnalités de sécurité essentielles pour protéger le site Web de votre blog contre le piratage.

Après l'activation, accédez à WP Security > User Login pour activer la fonction de verrouillage de connexion.

Broche

Activez la fonctionnalité et saisissez une valeur pour le nombre maximal de tentatives de connexion. Si quelqu'un dépasse la limite avec des tentatives de connexion infructueuses, la même adresse IP sera verrouillée pour d'autres tentatives.

Définissez la durée de verrouillage pendant laquelle l'adresse IP bloquée ne pourra pas se connecter. Le plug-in vous permet également de bloquer instantanément les noms d'utilisateur non valides et des noms d'utilisateur spécifiques.

La liste blanche IP de verrouillage de connexion est une autre section principale dans laquelle vous pouvez entrer votre propre adresse IP et elle ne sera jamais bloquée par la fonction de verrouillage de connexion.

Il existe quatre autres onglets connexes dans la page de connexion de l'utilisateur. Enregistrements d'échec de connexion, déconnexion forcée, journaux d'activité du compte et utilisateurs connectés.

Les enregistrements d'échec de connexion affichent l'adresse IP, le nom d'utilisateur et l'heure de chaque tentative infructueuse.

Les administrateurs peuvent forcer la déconnexion de tous les utilisateurs après un certain temps. Ils doivent se reconnecter pour continuer à utiliser le tableau de bord ou le service. Parfois, nous oublions de nous déconnecter du site après avoir écrit ou géré du contenu et cela peut entraîner de graves failles de sécurité. Activez la fonctionnalité et définissez une limite de temps pour éviter une telle situation.

Les journaux d'activité du compte vous permettent de surveiller les activités des utilisateurs connectés. Si vous gérez un blog multi-auteur, sachez qui est en ligne en ce moment à partir de l'onglet Utilisateurs connectés.

5. Limiter les tentatives de connexion rechargées

Broche

Limiter les tentatives de connexion rechargées est une bonne option pour renforcer la sécurité de votre connexion WordPress. Téléchargé plus de 2 millions de fois, il permet de limiter les tentatives de connexion par IP et bloque automatiquement l'utilisateur en cas de dépassement de la limite. L'heure de verrouillage peut être définie selon vos préférences et peut être notifiée aux utilisateurs via la page de connexion si nécessaire.

Ce plugin conserve un historique des tentatives de connexion bloquées sur le tableau de bord et vous avertit par e-mail. Il est également possible d'ajouter des adresses IP à la liste sécurisée ou à la liste de blocage. Il est compatible avec Woocommerce, multi-sites et d'autres plugins de sécurité de premier plan.

6. Loginizer

Broche

Loginizer est un plugin simple pour lutter contre le piratage par force brute dans WordPress. Il est livré avec des fonctionnalités de limitation des tentatives de connexion, d'adresses IP de liste noire, d'adresses IP de liste blanche, etc.

Après l'activation, il ajoutera un nouveau menu de niveau supérieur sur votre tableau de bord ; Sécurité de connexion. Ouvrez les paramètres et définissez vos limites pour les tentatives de connexion maximales, la période de verrouillage et autres. Il vous informera des tentatives de connexion infructueuses via l'onglet plugin et par e-mail.

7. Verrouillage de la connexion

Broche

Login Lockdown est un plugin de sécurité WordPress gratuit pour limiter les tentatives de connexion et empêcher les attaques par force brute dans WordPress. Il enregistrera toutes les tentatives de connexion infructueuses sur votre site et lorsque le nombre dépassera la limite, la fonction de connexion sera désactivée pour le système.

Après l'activation, ouvrez le menu du plugin depuis Paramètres > Verrouillage de la connexion.

Broche

Définissez vos tentatives de connexion maximales, la période de temps de nouvelle tentative et la durée de verrouillage. Admin est un nom d'utilisateur courant pour les sites Web WordPress. Les pirates peuvent facilement deviner ces noms. Remplacez le nom d'utilisateur par défaut "Admin" par le vôtre pour une meilleure sécurité. Le plugin Login Lockdown vous permet également de bloquer instantanément la connexion des noms d'utilisateur invalides.

Visitez le journal d'activité en haut pour afficher les adresses IP verrouillées.

Lisez les 9 meilleurs plugins de sauvegarde WordPress comparés pour 2022