7 plugins WordPress pour lutter contre les attaques par force brute

Une attaque par force brute est une méthode simple qui utilise de nombreuses tentatives de connexion à l’administration d’un site web (nom d’utilisateur + mot de passe) jusqu’à parvenir à y entrer.

Ce genre d’attaque n’est pas seulement propre à WordPress mais la popularité de ce CMS fait de lui l’une des cibles des plus appréciées ! Par défaut, WordPress offre un nombre illimité de tentative de connexion, dans cet article, nous allons voir quels sont les plugins efficaces pour limiter ce nombre d’essais et ainsi lutter contre les attaques par force brute

1. WP LIMIT LOGIN ATTEMPTS

Plugin Limit Login Attempts

Ce plugin est spécialement conçu pour lutter contre les attaques par force brute en limitant le nombre de tentative de connexion et en ajoutant une vérification Captcha.

Limit Login Setting

Une fois que vous aurez installé et activé WP Limit Login Attempts, vous le retrouverez à l’onglet Réglages > WP Limit Login. Toutefois, vous vous rendrez vite compte que les valeurs par défaut ne peuvent être modifiées… Dommage ! Votre site sera donc bloqué seulement pendant 10 minutes à partir de 5 tentatives de connexion échouées et/ou 3 Captcha. Si vous voulez modifier ces valeurs, il faudra passer à la version pro (19$).

 

2. LOGINIZER SECURITY

Plugin Loginizer Security

Loginizer Security est un plugin WordPress assez complet qui vous aidera à lutter contre les attaques par force brute en bloquant la connexion pour une adresse IP qui aurait atteint le seuil maximal de tentatives autorisées. Une fois installé et activé, rendez-vous à l’onglet Loginizer Security > Brute Force qui vous permettra facilement de paramétrer le nombre de tentatives de connexion, le délai de blocage et de blacklister/whitelister les adresses IP de votre choix. C’est également dans cet onglet que vous trouverez la liste des erreurs de connexion à votre site.

Loginizer Settings

Il propose, dans sa version premium, d’autres fonctionnalités comme Two Factor Auth, reCAPTCHA, PasswordLess, Rename Login Page etc… pour améliorer la sécurité de votre site. Pour de plus amples informations au sujet de Loginizer Security, vous pouvez lire la documentation officielle.

 

3. WPS LIMIT LOGIN

wps limit login

Le plugin WPS Limit Login est très simple d’utilisation. Une fois installé et activé, vous retrouverez ses paramétrages dans l’onglet Réglages > WPS Limit Login.

WPS Limit Login configuration

Dans l’onglet “Configuration” vous pourrez paramétrer le nombre de tentatives infructueuses de connexion, le temps de blocage, etc…  Dans l’onglet “Journal” vous trouverez la liste des tentatives de connexion qui ont échouées. Découvrez le mode d’emploi complet de WPS Limit Login.

 

4. JETPACK

Jetpack Force Brute

Jetpack est un plugin multi-fonction qui propose effectivement certaines options de sécurité dont la lutte contre les attaques par force brute (il offre également de nombreuses autres fonctionnalités, pour en savoir plus je vous donne rendez-vous ici).

Jetpack - activer force brute

Pour bénéficier de cette fonctionnalité, il faudra d’abord installer et activer le plugin, ensuite vous devrez le connecter à votre compte WordPress.com. Après cela, vous pourrez aller à l’onglet JetPack > Réglages > Security puis positionner le bouton “Protect” sur ON.

Jetpack Whitelisting

À présent votre site est protégé contre les attaques par force brute. Vous pouvez dresser la liste des sites autorisés (la white list) qui vous permettra de ne pas être “banni” de votre propre site ! Vous pouvez indiquer votre adresse IP depuis votre administration et toujours à l’onglet JetPack > Réglages > Security > Protect ou bien depuis votre compte WordPress.com à l’onglet My Site > Settings > Security > Withelist. Pour en savoir plus au sujet de la sécurité proposée par JetPack, voir le guide officiel.

 

5. iTHEMES SECURITY

Plugin iThemes Security

iThemes Security est un vrai couteau-suisse pour la protection de votre site WordPress, et ce, dès sa version free ! Parmi ses nombreuses fonctionnalités telles que la détection des erreurs 404, le mode absent, la blacklist, la détection de changement de fichier etc… il y a bien-sûr la protection contre les attaques par force brute.

iThemes Security - Settings

Une fois que vous aurez installé et activé le plugin, vous devrez vous rendre à l’onglet Security > Settings > Local Brute Force Protect. Une popup s’ouvrira alors pour vous permettre de paramétrer cette fonctionnalité :

  • le nombre maximal de tentatives par hôte (c’est l’adresse IP qui est visée)
  • le nombre maximal de tentatives par utilisateur (c’est le nom d’utilisateur qui est visé)
  • le délai de blocage avant de pouvoir retenter la connexion
  • la possibilité de bannir immédiatement les essais de connexion avec le nom d’utilisateur “Admin”

Pour en savoir plus sur iTheme Security, lisez cet article qui lui est dédié.

 

6. CERBER SECURITY & LIMIT LOGIN ATTEMPTS

Plugin Cerber Security

Cerber Security est un plugin de sécurité disponible en français (partiellement). Une fois que vous l’aurez installé puis activé, vous pourrez commencer son paramétrage depuis l’onglet Réglages > WP Cerber.

Cerber Security - Settings

Vous verrez alors apparaitre plusieurs onglets très utiles pour la protection de votre site WordPress :

  • Réglages Généraux : c’est ici que vous pourrez paramétrer le nombre maximal de tentatives de connexion, la durée du blocage, l’option “blocage agressif”, la création d’une page de connexion personnalisée (URL personnalisée), le mode citadelle etc…
  • Liste d’accès : ici vous pourrez “whitelister” ou “blacklister” certaines adresses IP.
  • Activité : vous y trouverez les dernières activités
  • Blocages : la liste des adresses IP bloquées
  • Hardening : quelques options supplémentaires
  • Utilisateur : vous pourrez bloquer certains utilisateurs simplement en indiquant leur “username”
  • reCaptcha : ici vous pourrez connecter votre API Key reCaptcha
  • Outils : quelques options supplémentaires

Tout comme iThemes Security, Cerber Security est très complet. Si vous désirez en savoir davantage, je vous donne rendez-vous sur le site officiel.

 

7. WPS HIDE LOGIN

WPS Hide Login

WPS Hide Login est un plugin extrêmement simple à paramétrer et pourtant d’une grande efficacité… En effet, si toutes les précédentes extensions vous semblent contraignantes, celle-ci est alors faite pour vous !  Développé par l’équipe de WPServeur, WPS Hide Login fait bien son job et est très efficace.

WPS Hide Login Setting

Une fois que vous aurez installé et activé le plugin, il faudra vous rendre dans l’onglet Réglages > Général. Ici, une petite section est apparue avec un champ à renseigner. Il s’agit tout simplement de la terminaison de l’URL de connexion à votre administration WordPress. Changez le mot “login” par n’importe quel autre mot puis enregistrez.

wps hide login test | 7 plugins WordPress pour lutter contre les attaques par force brute

Dorénavant, l’adresse www.mon-site.com/wp-admin/ (ou wp-login) ne fonctionnera plus ; pour vous connecter il faudra vous rendre à www.mon-site.com/mon-nouveau-mot/. Et les robots malveillants, eux, n’auront plus qu’à continuer leur chemin puisque ils ne trouveront qu’un message d’erreur !

 

En conclusion…

Comme il vaut mieux prévenir que guérir, il serait dommage d’ignorer les solutions qui existent pour protéger son site surtout quand celles-ci sont assez simples à mettre en place!

Toutefois, les attaques par force brute n’étant pas les seules méthodes pour corrompre un site, je vous conseille de lire attentivement cet article dédié à la sécurité de WordPress.

wpformation
NE MANQUEZ PLUS RIEN !
Inscrivez-vous pour recevoir le meilleur de WordPress dans votre boîte de réception, chaque mois.

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.

A propos de l'auteur...

Avatar de WPFormation

WPFormation

Fabrice Ducarme, spécialiste & formateur WordPress je suis éditeur, auteur et fondateur de WP Formation.com. Conférencier lors des WordCamp Paris 2013 & 2015, Marseille 2017 et au WP Tech Nantes 2014, je vous propose plus de 500 articles & tutoriaux à propos de WordPress, mes trucs & astuces mais aussi des coups de gueule...

10 commentaires pertinents à ce jour ;)

  • C’est toujours bon de faire le point là dessus ! :)

    De mon côté j’utilisais “Login Lockdown” et “WPS Hide Login” qui sont très faciles à configurer.

    Depuis quelques mois je suis passé à Secupress qui propose toutes ces fonctionnalités de sécurité (et bien d’autres encore).

  • Nouvel utilisateur mais lecteur depuis de plusieurs années, merci pour cet article.
    En effet personnellement, je suis utilisateur de Ithème que je trouve extrêmement complet mais parfois un peu trop pour des utilisations simplistes.
    Votre article m’a ainsi permis de trouver des alternatives que je n’avais pas pris le temps de chercher.
    Parmi les plugin gratuits permettant une sécurité basique mais suffisante pour les blogs ou petits sites, lequel conseilleriez vous en priorité ? Login LockDown semble bien complet mais un avis de pro me satisferait d’autant plus :).

  • Un bon article sur le sujet, perso j’aime all-in-one-sécurity il est en français et reprend pas mal de sécurité invoqué dans cet article de plus pour le blocage des ip de pirates ce plugin envois par émail les adresse ip du robot pirate et bloque via une black list ce qui permet également de le bloquer via “IP bloqueur” qui ce trouve dans Cpanel….Merci pour cet article qui sera bien pratique pour beaucoup de propriétaire de site web.

  • Bonjour,

    Personnellement, j’utilise un plugin qui ressemble à WP Limit Login Attempts : Limit Login Attempts. Ce dernier permet de faire aussi ce que WP Limit Login Attempts fait en version pro. Sauf que…je viens de m’apercevoir que le plugin n’a pas été mis à jour depuis 5 ans….ça craint pour une extension de sécurité, non ? ^^ Toutefois, il fait toujours bien son travail : blocage au bout de 2 tentatives pour 9 999 minutes.

    En complément, j’utilise SF Move Login qui fait le même job que WPS Hide Login.

    Merci pour cette présentation des alternatives, on n’est jamais trop prudent.

  • Bonjour

    Pour ma part j’utilise désormais Hide My WP (premium), qui intègre une fonction permettant de bannir (par IP) les utilisateurs frauduleux (via un excellent système de “firewall” logiciel)

    Il est avant tout utile pour obfusquer le code généré par WordPress (sa fonction première : il élimine toutes les footprints, ou permet de le faire moyennant quelques réglages personnalisables) et permet également de “masquer” la partie admin.

    Extrêmement efficace !

  • Merci @cedric de ton retour !

    J’ai eu, en son temps, utilisé HideMyWP mais ce dernier a planté quelques uns de mes WP et sa désinstallation a été douloureuse. Bref aujourd’hui je le déconseille et quelques mesures de sécurité simples me permettent d’afficher haut et fort que j’utilise un WordPress, et ce sans risque ;)

    Pour l’exemple, si tu l’utilises sur ton site Effi10, ce que je pense, cette simple URL montre que tu as un WordPress: /wp-login.php?registration=disabled&codeacces=13082000 ;)

  • Effectivement, WPS hide login est un super plugin, simple et léger.
    Merci Lycia pour cet article

  • Perso j’utilise wp login door, qui masque la page de login et désactive le xmlrpc. Plus aucune attaque par brute force :)

    Nico

  • Bonjour, est ce qu’une Captcha Google (je ne suis pas un robot) est suffisante pour se protéger contre les attaques force brute ??