Les bases de la sécurité WordPress : comment gérer plusieurs tentatives de connexion infructueuses

Si vous gérez un site Web ou si vous en créez simplement un, vous saurez que WordPress est l'un des meilleurs systèmes CMS utilisés par de nombreuses personnes dans le monde, ce qui explique également pourquoi de nombreux pirates le ciblent.

Ne pensez pas que seuls les gros sites Web sont piratés ; les petits sont tout aussi attrayants pour les pirates car ils stockent également les données des clients privés. L'un des moyens les plus courants d'attaquer un site WordPress consiste à effectuer plusieurs tentatives de connexion. C'est la raison pour laquelle nous expliquerons pourquoi il est important de reconnaître et d'observer plusieurs tentatives de connexion infructueuses et la manière de les empêcher.

Nous aborderons d'abord plus en détail l'hébergement. Mais en substance, un excellent hébergement est toujours votre première ligne de défense. L'hébergement WPMU DEV coche toutes les cases. Il est abordable, rapide, sécurisé, entièrement dédié et l'hébergeur WordPress classé n°1 sur TrustPilot. Obtenez 20 % de réduction sur l'un de leurs plans ici.

Tentatives de connexion infructueuses

Pour utiliser n'importe quel site WordPress, vous devez avoir un nom d'utilisateur et un mot de passe, ce qui signifie que vous devez vous connecter. Il y a une ligne fine entre l'oubli d'un mot de passe et un bot qui tente de pirater votre site. C'est donc là que la surveillance des tentatives de connexion infructueuses entre en jeu comme mesure de sécurité.

Lorsque votre site affiche le message d'erreur "trop ​​de tentatives de connexion infructueuses", vérifiez ce qui se passe. Ne vous contentez pas de le rejeter comme « ok. Quelqu'un vient d'oublier son mot de passe », car les attaques ciblées par force brute peuvent conduire à des attaques DDoS et votre site peut planter.

Le premier obstacle à cette attaque peut être qu'après que l'utilisateur spécifique a tenté de se connecter avec les mauvaises informations d'identification, WordPress définit le temps d'attente qui doit expirer, même si le même utilisateur tente de se reconnecter avec le bon ensemble d'informations d'identification.

C'est là que la fonction de sécurité OWASP.org peut vous aider. Il s'agit d'un logiciel open source qui aide à bloquer les attaques par force brute.

Comment gérer plusieurs tentatives de connexion infructueuses

Gardez toujours votre site WordPress à jour

WordPress publie des mises à jour logicielles selon un calendrier défini, alors ne les évitez pas. Ces mises à jour prennent soin des performances de votre site, et cela inclut des paramètres de sécurité et de confidentialité à jour. En continuant les mises à jour, vous permettez à WordPress de protéger votre site, et c'est la deuxième étape pour protéger votre site.

Limiter les tentatives de connexion

Par défaut, WordPress autorise un nombre illimité de tentatives de connexion, mais cela ne signifie pas que vous devez le laisser fonctionner de cette façon. Limitez les tentatives de connexion sur votre site à trois (c'est généralement le nombre préféré de tentatives infructueuses autorisées). Il existe deux façons d'y parvenir, avec un plugin ou via un hébergeur WordPress.

Les plugins gratuits qui vous permettront de limiter les tentatives de connexion infructueuses sont :

1. Limiter les tentatives de connexion (Arrêter les fausses connexions)

Limiter les tentatives de connexion (Arrêter les fausses connexions)

Ce plugin bloquera automatiquement l'adresse IP qui dépasse la limite de tentatives définie. Ce plugin vous permet d'ajouter manuellement l'adresse IP à la liste de blocage, d'informer l'utilisateur des tentatives restantes et vous offre la possibilité de déverrouiller les utilisateurs verrouillés par e-mail ou tableau de bord. Il limitera les tentatives de relance par adresse IP et il est compatible avec Google CAPTCHA.

2. Limiter les tentatives de connexion

Limiter les tentatives de connexion

Il s'agit d'un plugin qui limitera les tentatives de connexion, augmentera la sécurité de connexion, la protection anti-spam et fournira à votre site une protection contre les attaques par force brute, bloquera les inscriptions de faux utilisateurs et vous pourrez obtenir des rapports et des audits sur les activités sur votre site Web ( vous pouvez même exporter ces rapports si vous en avez besoin). Il s'agit d'un logiciel gratuit et open-source.

Sécurité de l'hôte Web

Même lorsque vous sécurisez votre site WordPress contre les entrées non autorisées, n'oubliez pas que la sécurité de votre hébergeur est aussi importante que celle de votre site WordPress. Jetez donc un coup d'œil aux fonctionnalités de votre fournisseur d'hébergement Web.

Peut-être aurez-vous simplement besoin de le mettre à niveau vers un plan supérieur de votre fournisseur actuel, mais envisagez également de migrer votre site vers un nouveau fournisseur d'hébergement Web fiable avec des mises à jour solides et fréquentes de son logiciel de serveur et de sa sécurité matérielle.

Recherchez-en un qui fournit une équipe de support technique 24 heures sur 24, 7 jours sur 7, capable de résoudre les problèmes de sécurité de votre site et de protéger vos informations. Un hébergeur qui propose des sauvegardes automatisées de votre site Web complet est également un excellent choix.

Comme nous l'avons déjà mentionné, notre premier choix pour cela est WPMU DEV. Ce que nous aimons le plus dans WPMU DEV Hosting, c'est qu'il regorge de fonctionnalités d'hébergement uniques et puissantes que vous ne trouverez nulle part ailleurs (comme 7 plugins pro-WP intégrés). Voyez par vous-même et obtenez 20% de réduction sur l'un de leurs plans d'hébergement ici.

Augmentez la sécurité de connexion

Utilisez un plugin de sécurité WordPress qui activera un processus d'authentification en deux étapes comme couche de sécurité supplémentaire. Il existe différentes manières de procéder ; codes envoyés au téléphone de l'utilisateur, vérification par e-mail, etc. Tout ce qui fonctionne le mieux pour votre équipe.

1. Sécurité iThèmes

iThemes Security (anciennement Better WP Security)

Ce plugin, parmi ses autres fonctionnalités, sécurisera votre connexion WordPress avec ces fonctionnalités : l'authentification à deux facteurs (2FA) qui demandera à votre utilisateur d'entrer un code de sécurité (avec un mot de passe), un e-mail, des codes de sauvegarde et l'authentification Google.

2. Sécurité SiteGround

Sécurité SiteGround

Ce plugin exigera que tous les utilisateurs administrateurs fournissent un jeton généré à partir de l'application d'authentification Google lors de la connexion.

3. Sécurité WP tout en un

Tout en un WP Sécurité et pare-feu

Ce plugin a des règles de sécurité classées en règles «de base», «intermédiaires» et «avancées». Il est 100% gratuit et certaines de ses fonctionnalités sont la sécurité du compte utilisateur, la sécurité de la connexion utilisateur qui protégera votre site contre les «attaques de connexion Brute Force» et la sécurité de l'enregistrement des utilisateurs.

Sécurité Internet

Le réseau que vous utilisez peut également constituer une menace pour la sécurité de votre site. Les réseaux publics ne sont généralement pas très bien protégés ; nous parlons d'endroits comme les cafés, les bibliothèques, les réseaux publics dans les centres commerciaux, etc.

Une stratégie de sécurité importante pour vous protéger sur un réseau Wi-Fi public consiste à utiliser un réseau privé virtuel, un VPN. C'est également une excellente protection lorsque vous utilisez le Wi-Fi domestique pour les affaires ou autre chose, alors pensez à vérifier certains fournisseurs.

Sécurité hors site

C'est également une caractéristique de sécurité très importante à garder à l'esprit pour la protection de votre site WordPress. Toutes les applications et bases de données utilisées en mode hors ligne présentent un risque potentiel pour la sécurité, alors assurez-vous qu'elles sont bien intégrées à votre site WordPress.

Conclusion

En tant que constructeur de sites Web facile à utiliser, WordPress est utilisé par des millions de personnes. Pour avoir un site sécurisé, la première étape consiste à prévenir les attaques par force brute en surveillant et en gérant correctement toutes les tentatives de connexion infructueuses. Il s'agit d'un moyen de protection indispensable pour les sites Web et le type d'attaque que les pirates utilisent trop souvent.

De plus, tous les autres aspects de la sécurité que nous avons mentionnés dans cet article protégeront votre site, alors ne les sous-estimez pas.