Sécurité WordPress : limiter les tentatives de connexion

La meilleure façons de perpétrer un cambriolage ou de voler une voiture, c’est de tester l’ouverture de la porte et de temps en temps, ça peut fonctionner. Sur votre site WordPress, c’est exactement la même chose pour l’accès au back-office (wp-admin). Comment faire pour se protéger ?

Le couple Login – Mot de passe

Si je dispose du login et du mot de passe, c’est open bar et il y a des fortes chances qu’il y ait pas mal de dégats.

Au top des tests de logins, je retrouve :

• Mon prénom
• Les inititiales
• admin, administrator, adm
• le nom de domaine (avec ou sans le préfixe, avec ou sans l’extension)

Des réflexes basiques en sécurité informatique

Pour gérer facilement, cet aspect de la sécurité, il faut avoir plusieurs réflexes :

1. Un compte admin avec autre chose qu’admin en login (ça évite de donner la première partie du code)
2. Un mot de passe sûr : prenez le temps de lire cet article sur le choix d’un mot de passe efficace, il est certes un peu vieillot mais toujours d’actualité
3. Une limitation du nombre d’essai pour accéder à l’interface admin du site, et pour cela, il y a ce plugin Limit Login Attempts

Limiter le nombre de tentatives

Une fois le plugin installé, vous choisissez :

• Le nombre de tentatives autorisées (3 c’est pas mal pour ceux qui ont tendances à être distrait)
• Le nombre de minutes de blocage (une fois qu’on a dépassé le nombre de tentatives autorisées
• Le nombre de blocages successifs pour augmenter la durée de blocage à X heures, par exemple 2 blocages augmentent le temps de blocage à 24 heures
• Le nombre d’ heures jusqu’à ce que les tentatives soient réinitialisées (on pousse au max 9999 heures çà devrait laisser le temps)
• La possibilité d’envoyer un email à l’administrateur après x blocages.

Un premier rempart

Moralité : même en cas d’attaque en force brute, vous avez déjà une première marge de sécurité.

Le plugin bloque les connexions par rapport à une IP, si vous êtes vraiment distraits, ce n’est pas catastrophique.

Précautions supplémentaires de sécurité

Bien sûr, il y a toute une série de précautions complémentaires comme :

1. La sauvegarde de son blog avec le plug in adéquat
2. Un compte superadmin avec une adresse mail inutilisée (donc normalement inconnue sur internet)

Peut-être avez-vous d’autres petits réflexes utiles en matière de protection, n’hésitez pas à m’en faire part !

Avez-vous 3 minutes de plus ?

Sécuriser son blog sous WordPress Sauvegarder son blog WordPress sans plugin Un mot de passe efficace pour vos services web ! Mise a jour de WordPress vers 2.6.2