7 plugins WordPress pour lutter contre les attaques par force brute

Une attaque par force brute est une méthode simple qui utilise de nombreuses tentatives de connexion à l'administration d'un site web (nom d'utilisateur + mot de passe) jusqu'à parvenir à y entrer.

Ce genre d'attaque n'est pas seulement propre à WordPress mais la popularité de ce CMS fait de lui l'une des cibles des plus appréciées ! Par défaut, WordPress offre un nombre illimité de tentative de connexion, dans cet article, nous allons voir quels sont les plugins efficaces pour limiter ce nombre d'essais et ainsi lutter contre les attaques par force brute...

 

1. WP LIMIT LOGIN ATTEMPTS

Plugin Limit Login Attempts

Ce plugin est spécialement conçu pour lutter contre les attaques par force brute en limitant le nombre de tentative de connexion et en ajoutant une vérification Captcha.

Limit Login Setting

Une fois que vous aurez installé et activé WP Limit Login Attempts, vous le retrouverez à l'onglet Réglages > WP Limit Login. Toutefois, vous vous rendrez vite compte que les valeurs par défaut ne peuvent être modifiées... Dommage ! Votre site sera donc bloqué seulement pendant 10 minutes à partir de 5 tentatives de connexion échouées et/ou 3 Captcha. Si vous voulez modifier ces valeurs, il faudra passer à la version pro (19$).

 

2. LOGINIZER SECURITY

Plugin Loginizer Security

Loginizer Security est un plugin WordPress assez complet qui vous aidera à lutter contre les attaques par force brute en bloquant la connexion pour une adresse IP qui aurait atteint le seuil maximal de tentatives autorisées. Une fois installé et activé, rendez-vous à l'onglet Loginizer Security > Brute Force qui vous permettra facilement de paramétrer le nombre de tentatives de connexion, le délai de blocage et de blacklister/whitelister les adresses IP de votre choix. C'est également dans cet onglet que vous trouverez la liste des erreurs de connexion à votre site.

Loginizer Settings

Il propose, dans sa version premium, d'autres fonctionnalités comme Two Factor Auth, reCAPTCHA, PasswordLess, Rename Login Page etc... pour améliorer la sécurité de votre site. Pour de plus amples informations au sujet de Loginizer Security, vous pouvez lire la documentation officielle.

 

3. LOGIN LOCKDOWN

Plugin Login Lockdown

Le plugin Login LockDown est très simple d'utilisation. Une fois installé et activé, vous retrouverez ses paramétrages dans l'onglet Réglages > Login LockDown.

Login Lockdown Setting

Dans l'onglet "Settings" vous pourrez paramétrer le nombre de tentatives infructueuses de connexion, le temps de blocage, la possibilité de déclencher un blocage si le nom d'utilisateur n'existe pas et celle de cacher le message d'erreur par défaut envoyé par WordPress. Dans l'onglet "Activity" vous trouverez la liste des tentatives de connexion qui ont échouées. 

 

4. JETPACK

Jetpack Force Brute

Jetpack est un plugin multi-fonction qui propose effectivement certaines options de sécurité dont la lutte contre les attaques par force brute (il offre également de nombreuses autres fonctionnalités, pour en savoir plus je vous donne rendez-vous ici).

Jetpack - activer force brute

Pour bénéficier de cette fonctionnalité, il faudra d'abord installer et activer le plugin, ensuite vous devrez le connecter à votre compte WordPress.com. Après cela, vous pourrez aller à l'onglet JetPack > Réglages > Security puis positionner le bouton "Protect" sur ON.

Jetpack Whitelisting

À présent votre site est protégé contre les attaques par force brute. Vous pouvez dresser la liste des sites autorisés (la white list) qui vous permettra de ne pas être "banni" de votre propre site ! Vous pouvez indiquer votre adresse IP depuis votre administration et toujours à l'onglet JetPack > Réglages > Security > Protect ou bien depuis votre compte WordPress.com à l'onglet My Site > Settings > Security > Withelist. Pour en savoir plus au sujet de la sécurité proposée par JetPack, voir le guide officiel.

 

5. iTHEMES SECURITY

Plugin iThemes Security

iThemes Security est un vrai couteau-suisse pour la protection de votre site WordPress, et ce, dès sa version free ! Parmi ses nombreuses fonctionnalités telles que la détection des erreurs 404, le mode absent, la blacklist, la détection de changement de fichier etc... il y a bien-sûr la protection contre les attaques par force brute.

iThemes Security - Settings

Une fois que vous aurez installé et activé le plugin, vous devrez vous rendre à l'onglet Security > Settings > Local Brute Force Protect. Une popup s'ouvrira alors pour vous permettre de paramétrer cette fonctionnalité :

  • le nombre maximal de tentatives par hôte (c'est l'adresse IP qui est visée)
  • le nombre maximal de tentatives par utilisateur (c'est le nom d'utilisateur qui est visé)
  • le délai de blocage avant de pouvoir retenter la connexion
  • la possibilité de bannir immédiatement les essais de connexion avec le nom d'utilisateur "Admin"

Pour en savoir plus sur iTheme Security, lisez cet article qui lui est dédié.

 

6. CERBER SECURITY & LIMIT LOGIN ATTEMPTS

Plugin Cerber Security

Cerber Security est un plugin de sécurité disponible en français (partiellement). Une fois que vous l'aurez installé puis activé, vous pourrez commencer son paramétrage depuis l'onglet Réglages > WP Cerber.

Cerber Security - Settings

Vous verrez alors apparaitre plusieurs onglets très utiles pour la protection de votre site WordPress :

  • Réglages Généraux : c'est ici que vous pourrez paramétrer le nombre maximal de tentatives de connexion, la durée du blocage, l'option "blocage agressif", la création d'une page de connexion personnalisée (URL personnalisée), le mode citadelle etc...
  • Liste d'accès : ici vous pourrez "whitelister" ou "blacklister" certaines adresses IP.
  • Activité : vous y trouverez les dernières activités
  • Blocages : la liste des adresses IP bloquées
  • Hardening : quelques options supplémentaires
  • Utilisateur : vous pourrez bloquer certains utilisateurs simplement en indiquant leur "username"
  • reCaptcha : ici vous pourrez connecter votre API Key reCaptcha
  • Outils : quelques options supplémentaires

Tout comme iThemes Security, Cerber Security est très complet. Si vous désirez en savoir davantage, je vous donne rendez-vous sur le site officiel.

 

7. WPS HIDE LOGIN

WPS Hide Login

WPS Hide Login est un plugin extrêmement simple à paramétrer et pourtant d'une grande efficacité... En effet, si toutes les précédentes extensions vous semblent contraignantes, celle-ci est alors faite pour vous !  Développé par l'équipe de WPServeur, WPS Hide Login fait bien son job et est très efficace.

WPS Hide Login Setting

Une fois que vous aurez installé et activé le plugin, il faudra vous rendre dans l'onglet Réglages > Général. Ici, une petite section est apparue avec un champ à renseigner. Il s'agit tout simplement de la terminaison de l'URL de connexion à votre administration WordPress. Changez le mot "login" par n'importe quel autre mot puis enregistrez.

Dorénavant, l'adresse www.mon-site.com/wp-admin/ (ou wp-login) ne fonctionnera plus ; pour vous connecter il faudra vous rendre à www.mon-site.com/mon-nouveau-mot/. Et les robots malveillants, eux, n'auront plus qu'à continuer leur chemin puisque ils ne trouveront qu'un message d'erreur !

 

En conclusion...

Comme il vaut mieux prévenir que guérir, il serait dommage d'ignorer les solutions qui existent pour protéger son site surtout quand celles-ci sont assez simples à mettre en place!

Toutefois, les attaques par force brute n'étant pas les seules méthodes pour corrompre un site, je vous conseille de lire attentivement cet article dédié à la sécurité de WordPress.

A propos de l'auteur...

Lycia Diaz

Freelance WordPress, Rédactrice Web et Webdesigner, je suis passionnée par le monde du web et de l'environnement Apple... Je tiens également un blog qui traite de ces sujets. J'adore découvrir, tester et partager mes expériences mais aussi créer et réaliser de nouveaux projets ! Je suis auteure d'un guide complet sur WordPress.

9 commentaires pertinents à ce jour ;)

  • Serge Courrier dit :

    Bonjour ! Un peut ajout ? L\’extension gratuite All in One WP Security & Firewall (https://fr.wordpress.org/plugins/all-in-one-wp-security-and-firewall/) a comme intérêt d\’intégrer un très large panel d\’outils de protection… dont un permettant de bloquer les tentatives répétées de saisie d\’un login/mot de passe et un autre permettant de changer l\’adresse de la page de login.

  • Jason Rouet dit :

    C’est toujours bon de faire le point là dessus ! :)

    De mon côté j’utilisais “Login Lockdown” et “WPS Hide Login” qui sont très faciles à configurer.

    Depuis quelques mois je suis passé à Secupress qui propose toutes ces fonctionnalités de sécurité (et bien d’autres encore).

  • Metroweb dit :

    Nouvel utilisateur mais lecteur depuis de plusieurs années, merci pour cet article.
    En effet personnellement, je suis utilisateur de Ithème que je trouve extrêmement complet mais parfois un peu trop pour des utilisations simplistes.
    Votre article m’a ainsi permis de trouver des alternatives que je n’avais pas pris le temps de chercher.
    Parmi les plugin gratuits permettant une sécurité basique mais suffisante pour les blogs ou petits sites, lequel conseilleriez vous en priorité ? Login LockDown semble bien complet mais un avis de pro me satisferait d’autant plus :).

  • Thierry Maesen dit :

    Un bon article sur le sujet, perso j’aime all-in-one-sécurity il est en français et reprend pas mal de sécurité invoqué dans cet article de plus pour le blocage des ip de pirates ce plugin envois par émail les adresse ip du robot pirate et bloque via une black list ce qui permet également de le bloquer via “IP bloqueur” qui ce trouve dans Cpanel….Merci pour cet article qui sera bien pratique pour beaucoup de propriétaire de site web.

  • Lydia dit :

    Bonjour,

    Personnellement, j’utilise un plugin qui ressemble à WP Limit Login Attempts : Limit Login Attempts. Ce dernier permet de faire aussi ce que WP Limit Login Attempts fait en version pro. Sauf que…je viens de m’apercevoir que le plugin n’a pas été mis à jour depuis 5 ans….ça craint pour une extension de sécurité, non ? ^^ Toutefois, il fait toujours bien son travail : blocage au bout de 2 tentatives pour 9 999 minutes.

    En complément, j’utilise SF Move Login qui fait le même job que WPS Hide Login.

    Merci pour cette présentation des alternatives, on n’est jamais trop prudent.

  • Cédric dit :

    Bonjour

    Pour ma part j’utilise désormais Hide My WP (premium), qui intègre une fonction permettant de bannir (par IP) les utilisateurs frauduleux (via un excellent système de “firewall” logiciel)

    Il est avant tout utile pour obfusquer le code généré par WordPress (sa fonction première : il élimine toutes les footprints, ou permet de le faire moyennant quelques réglages personnalisables) et permet également de “masquer” la partie admin.

    Extrêmement efficace !

  • WPFormation dit :

    Merci @cedric de ton retour !

    J’ai eu, en son temps, utilisé HideMyWP mais ce dernier a planté quelques uns de mes WP et sa désinstallation a été douloureuse. Bref aujourd’hui je le déconseille et quelques mesures de sécurité simples me permettent d’afficher haut et fort que j’utilise un WordPress, et ce sans risque ;)

    Pour l’exemple, si tu l’utilises sur ton site Effi10, ce que je pense, cette simple URL montre que tu as un WordPress: /wp-login.php?registration=disabled&codeacces=13082000 ;)

  • Laurent dit :

    Effectivement, WPS hide login est un super plugin, simple et léger.
    Merci Lycia pour cet article

  • Nico dit :

    Perso j’utilise wp login door, qui masque la page de login et désactive le xmlrpc. Plus aucune attaque par brute force :)

    Nico

Vous pouvez laisser votre commentaire ci-dessous et même vous abonner aux commentaires de l'article.
Nota : pour le champ "Site web", seuls les liens vers vos réseaux sociaux sont autorisés.

Likez, Tweetez, Commentez, Partagez !

Pin It on Pinterest

Likez, Tweetez, Partagez !

Shares