WPS Limit Login pour limiter les connexions et attaques par force brute

Par défaut WordPress permet des tentatives de connexion illimitées soit via la page de connexion ou en envoyant des cookies spécifiques. Cela permet aux mots de passe (ou hashs) d’être craqués via la force brute relativement facilement.

Une attaque par force brute est le type de méthode la plus simple pour accéder à un site : le hacker essaye des noms d’utilisateur et des mots de passe, encore et encore, jusqu’à ce qu’il arrive à entrer. Souvent considéré comme “inélégante”, cette méthode fonctionne très souvent lorsque les gens utilisent des mots de passe de type « 123456 » et des noms d’utilisateur tels que « admin ».

L’équipe de WPServeur, à l’instar de WPS Hide Login et de WPS Bidouille, a conçu un nouveau plugin gratuit pour limiter les connexions non légitimes et bloquer les attaques par force brute.

 

WPS Limit Login

Le plugin WPS Limit login limite les tentatives de connexion et bloque l’envoi d’autres tentatives à une adresse Internet dès que la limite spécifiée est atteinte, ce qui rend une attaque par force brute difficile, voire impossible.

wps limit login

Les principales caractéristiques du plugin WPS Limit Login :

  • Limiter le nombre de nouvelles tentatives lors de la connexion (pour chaque IP). Ceci est entièrement personnalisable.
  • Limiter le nombre de tentatives de connexion en utilisant des cookies d’autorisation de la même manière.
  • Informer l’utilisateur sur les tentatives restantes ou le temps de verrouillage sur la page de connexion.
  • Journalisation et notification par courriel facultative.
  • Gère le serveur derrière le proxy inverse (reverse proxy).
  • Il est possible de mettre en liste blanche / liste noire les adresses IPs de votre choix.
  • Compatibilité avec le pare-feu du site Web Sucuri.
  • ** Protection de passerelle XMLRPC **.
  • ** Woocommerce ** protection de la page de connexion.
  • ** Compatibilité multi-sites ** avec des paramètres MU supplémentaires.

 

Installer et Configurer WPS Limit Login

La configuration du plugin est très simple, en quelques clics c’est prêt. Commencez par l’installer et l’activer puis rendez vous sur la page de configuration de ce dernier Réglages >> WPS Limit Login.

WPS Limit Login configuration

  • Le nombre de tentatives autorisées avant blocage et la durée de blocage : Ce premier paramètre permet de définir les bases, ainsi dans l’exemple ci-dessus l’utilisateur peut essayer de se connecter 3 fois, en cas d’échec l’IP est bloquée pendant 20 minutes.
  • X heure(s) jusqu’à ce que les tentatives de connexion soient réinitialisées. Passées 12 heures, les IPs bloquées peuvent à nouveau tenter de se connecter (avec leur 3 tentatives par défaut).
  • X blocage(s) supplémentaires augmentent le temps de blocage de votre adresse IP à X heures. Toute IP précédemment bloquée pendant 20 minutes, le sera pendant 24h00 de plus en cas de 3 nouveaux échecs de connexion.
  • Envoyer un email à l’administrateur après x blocages : L’administrateur du site sera informé par email en cas de 2 blocages consécutif de la même IP.

Les paramètres par défaut sont suffisants, personnellement j’augmenterais le temps de blocage initial de 20 minutes à 60 minutes et le blocage supplémentaire à 72 heures.

 

Listes Noire et Blanche

Avec WPS Limit Login vous pouvez passer des IPs (ou des plages d’IPs) en liste blanche (autorisées) ou en liste noire (interdites).

  • Liste blanche : Définir une liste d’adresses IP qui n’auront aucune limite de tentative et qui ne seront jamais bloquées. Attention, vous devriez mettre uniquement des adresses IP de confiance (exemple : l’adresse IP de votre domicile), vous ne devez jamais mettre l’adresse IP d’un réseau public (Cyber café ou autre).
  • Liste noire : Définir une liste d’adresses IP pour lesquelles vous souhaitez bloquer totalement l’accès à la page de connexion.

Nota 1: WPS Limit Login vous indique depuis l’onglet Liste Blanche l’IP avec laquelle vous êtes connecté ;)
Nota 2 : Pour ajouter une page d’IPs, utilisez le format suivant 88.88.88.86/90, et une IP par ligne

WPS Limit Login liste noire et blanche

 

Journal de blocage

WPS Limit Login vous propose un journal de blocage où vous retrouverez toutes les IPs bloquées, celles qui le sont encore et celles qui ne le sont plus.

WPS Limit Login journal

Vous pouvez en un clic, débloquer toutes les IPs bloquées à l’aide du bouton vert “Tout débloquer” mais vous pouvez également le faire au cas par cas. Dans l’exemple ci-dessus, je pourrais débloquer uniquement l’IP 77.111.244.12 en cliquant sur le bouton rouge “Bloqué” de la ligne correspondante.

Vous retrouverez également un Widget depuis l’accueil de l’administration de votre WordPress (activable ou non), vous indiquant les 5 dernières IPs bloquées par WPS Limit Login.

widget WPS Limit Login

 

Notifications dans la page de login

L’utilisateur qui se trompe de login ou de mot de passe sur la page de login, verra apparaître 2 types de notification :

  • Au premier échec : ERREUR : Nom d’utilisateur ou de mot de passe incorrect. 2 tentatives restantes (si le nombre de tentatives est réglé sur 3)
  • En cas de limite d’échecs atteinte : ERREUR : Trop de tentatives de connexion ont échouées. Merci de réessayer dans 20 minutes (selon vos réglages)

limit Login restantes limit login echec

 

Disponibilité & remerciements

WPS Limit Login est un plugin WordPress gratuit. Déjà disponible sur le répertoire WordPress, il est intégralement maintenu par la team WPServeur, garantissant par là même que le plugin sera suivi et patché si nécessaire.

Couplé avec WPS Hide Login et WPS Bidouille, WPS Limit Login augmentera la sécurité de votre WordPress et vous permettra de dormir sur vos 2 oreilles. Ce dernier est compatible Woocommerce, multisite, Sucuri, WordFence, …

Si vous avez des remarques ou suggestions, n’hésitez pas à en faire part directement sur la page de support dédiée.

wpformation
NE MANQUEZ PLUS RIEN !
Inscrivez-vous pour recevoir le meilleur de WordPress dans votre boîte de réception, chaque mois.

Nous ne spammons pas ! Consultez notre politique de confidentialité pour plus d’informations.

A propos de l'auteur...

Avatar de WPFormation

WPFormation

Fabrice Ducarme, spécialiste & formateur WordPress je suis éditeur, auteur et fondateur de WP Formation.com. Conférencier lors des WordCamp Paris 2013 & 2015, Marseille 2017 et au WP Tech Nantes 2014, je vous propose plus de 500 articles & tutoriaux à propos de WordPress, mes trucs & astuces mais aussi des coups de gueule...

1 commentaire

  • Bonjour,
    Je viens d’installer ce Plugin.
    A la première tentative en erreur, la mention “ERREUR: Nom d’utilisateur ou mot de passe incorrect. 2 tentatives restantes.” s’affiche bien dans un encart rouge sur la page de connexion. Mais aux nombreuses tentatives suivantes, le même message apparaît … jusqu’au succès de connexion en entrant les bons codes.
    Conclusion, ça ne marche pas, en tous cas avec ma configuration : aurait-elle quelque-chose de spécial ?
    Cdt,
    Chrystole