Vous craignez que des pirates informatiques ne s’introduisent sur votre site ?
Par défaut, WordPress vous permet d’essayer un nombre illimité de noms d’utilisateur et de mots de passe pour vous connecter à votre site.
Bien que cela vous offre une meilleure expérience de connexion, cela donne également aux pirates une chance de s’introduire dans votre site en utilisant des “attaques par force brute” où ils font des milliers de tentatives pour deviner vos identifiants de connexion.
Dans cet article, nous allons vous montrer comment limiter les tentatives de connexion sur votre site afin d’empêcher les pirates d’y accéder.
Mais tout d’abord, précisons ce que sont les attaques par force brute et pourquoi elles constituent un problème aussi grave.
Qu’est-ce qu’une attaque par force brute ?
De nombreux internautes choisissent comme identifiants de connexion des noms d’utilisateur courants et des mots de passe faibles. Ils choisissent des identifiants faciles à mémoriser et dont la saisie demande le moins d’effort possible.
Les noms d’utilisateur les plus courants sont “admin” ou le nom réel de l’utilisateur. Quant aux mots de passe, ils ont tendance à être “123456” ou “qwerty”.
Les pirates informatiques le savent bien et programment des robots pour trouver la page de connexion de votre site et essayer ensuite une longue liste d’informations d’identification couramment utilisées et différentes combinaisons de celles-ci.
Ces robots sont capables d’essayer des centaines de combinaisons en quelques secondes. Lorsqu’ils ont trouvé la bonne, ils s’introduisent sur votre site et causent des dommages importants.
La meilleure façon de prévenir ces attaques par force brute est de limiter les tentatives de connexion sur votre site. Ainsi, lorsqu’un utilisateur saisit des informations d’identification incorrectes, par exemple 3 ou 5 fois, il est bloqué.
Les utilisateurs devront cliquer sur l’option “Perte du mot de passe” pour récupérer leur mot de passe.
Cela dit, il ne suffit pas de limiter les tentatives de connexion pour bloquer les pirates et autres menaces.
Vous devez utiliser une solution de sécurité complète qui protégera entièrement votre site web contre de telles attaques. Cela inclut la protection CAPTCHA, l’authentification à deux facteurs, la protection par pare-feu et le blocage des adresses IP.
Grâce à cette meilleure compréhension des attaques par force brute, commençons à protéger votre site.
Limiter les tentatives de connexion sur votre site WordPress
Si vous souhaitez une solution simple et gratuite pour limiter les tentatives de connexion, consultez le plugin Limit Login Attempts Reloaded. Il vous suffit d’installer le plugin sur votre site et il appliquera automatiquement la mesure de sécurité à votre site.
Cela dit, la sécurité des sites web et les attaques par force brute ne s’arrêtent pas là.
Une solution de sécurité plus complète pour limiter les tentatives de connexion et protéger votre site consiste à utiliser Sucuri. Il s’agit d’une solution de sécurité totale qui comprend toutes les mesures de sécurité dont vous avez besoin pour protéger votre site.
Le Sucuri Web Application Firewall détecte les faux navigateurs et les robots malveillants et les bloque automatiquement.
Il dispose en outre d’un moteur de corrélation puissant qui bloque les tentatives de force brute sans affecter les utilisateurs de votre site web.
Voici comment Sucuri bloque les attaques par force brute sur votre site :
- Limitation des tentatives de connexion – Les utilisateurs disposeront d’un nombre maximum de tentatives pour saisir les informations d’identification correctes avant d’être invités à réinitialiser leur mot de passe.
- Détection des signatures – Sucuri recherche des modèles connus de pirates et de logiciels malveillants et les bloque avant qu’ils n’atteignent votre site.
- Blocage des robots et des scans – Sucuri identifie et bloque les outils automatisés et les robots de force brute qui attaquent votre site.
- Authentification à 2 facteurs – Vous pouvez ajouter une couche de sécurité supplémentaire sur votre site en demandant aux utilisateurs de fournir un mot de passe unique généré en temps réel.
- CAPTCHA et codes de passe – Il vous permet d’ajouter une protection CAPTCHA à votre page de connexion, de sorte que les robots ne puissent pas passer votre authentification de connexion. Vous pouvez également exiger des utilisateurs qu’ils saisissent un code d’accès statique.
- Blocage géographique – Si le pare-feu de Sucuri détecte que la plupart des tentatives de force brute proviennent d’un endroit particulier, vous pouvez bloquer les visiteurs de ces plages IP ou même bloquer l’accès d’un pays entier à votre site.
- Liste d’autorisation – Vous pouvez également bloquer tous les utilisateurs de votre page de connexion et mettre sur liste blanche uniquement les adresses IP de votre équipe de confiance.
Maintenant, configurons Sucuri sur votre site pour mettre en œuvre des tentatives de connexion limitées et d’autres mesures de protection.
Étape 1 : Installer et activer Sucuri
Sucuri est un scanner de sécurité gratuit disponible dans le dépôt WordPress.
Nous vous recommandons d’installer et d’activer d’abord ce plugin sur votre site. Cela vous permettra d’accéder à vos paramètres de sécurité et de les gérer directement à partir de votre tableau de bord WordPress.
Pour accéder au puissant pare-feu qui protégera votre site web des attaques par force brute, vous devez vous inscrire à la version Pro.
Nous vous recommandons d’utiliser le plan Pro qui coûte 299 $ par an. Elle vous donne accès à toutes les fonctionnalités dont vous aurez besoin pour bloquer non seulement les attaques par force brute, mais aussi d’autres piratages tels que les injections de logiciels malveillants et les attaques DDoS.
Une fois que vous vous êtes inscrit et que vous avez créé un compte chez Sucuri, vous pouvez commencer.
Étape 2 : Activer le scanner de sécurité de Sucuri
Depuis votre tableau de bord WordPress, naviguez jusqu’à l’onglet Sucuri ” Dashboard “.
Sur cette page, vous devez entrer votre clé API. Pour ce faire, cliquez sur le bouton ” Générer une clé API “.
Cela ouvrira une fenêtre popup dans laquelle votre site WordPress et votre email d’administrateur seront pré-remplis. Vous pouvez les modifier si vous le souhaitez.
Cochez ensuite les cases pour accepter les conditions d’utilisation et la politique de confidentialité. Enfin, cliquez sur le bouton “Soumettre” pour générer la clé API.
Une fenêtre contextuelle s’affiche pour vous indiquer que votre site a été enregistré avec succès. Vous pouvez vous rendre sur le tableau de bord de Sucuri.
Votre site dispose alors d’un scanner de sécurité actif. Il vous indiquera si votre site est propre ou non, et si vous figurez sur une liste de blocage.
Étape 3 : Activer le pare-feu Sucuri Security Firewall
Pour activer le pare-feu Sucuri, naviguez vers l’onglet Sucuri ” Firewall (WAF ) sur votre tableau de bord WordPress.
Ici, vous devrez entrer votre clé API.
Vous trouverez cette clé dans votre compte sur le site web de Sucuri sous l’onglet Paramètres ” API.
Copiez la clé, entrez-la dans votre tableau de bord WordPress et enregistrez vos paramètres. Et le tour est joué ! Votre pare-feu est activé.
Étape 4 : Modifier les paramètres DNS
Vous devez maintenant diriger votre trafic vers le pare-feu de Sucuri afin qu’il puisse le vérifier et filtrer les mauvais éléments. Après cela, il acheminera le trafic vers votre serveur d’hébergement web.
Pour ce faire, rendez-vous dans l’onglet Paramètres ” Général du tableau de bord de Sucuri.
Tout d’abord, vous verrez l’option la plus facile, à savoir l’intégration automatique. Si vous avez les détails de connexion de votre hébergement web, vous pouvez utiliser cette option.
Il vous suffit de sélectionner l’hébergement ‘cPanel’ ou ‘Plesk’. La plupart des hébergeurs utilisent cPanel, mais vous pouvez consulter l’équipe d’assistance de votre hébergeur si vous ne savez pas lequel utiliser.
Vous devrez fournir vos identifiants de connexion à l’hébergement et l’intégration se fera automatiquement.
Si cela ne fonctionne pas pour vous, sur la même page, vous verrez des options pour utiliser les serveurs DNS de Sucuri ou vous pouvez configurer manuellement vos propres serveurs DNS.
Suivez les instructions fournies et mettez à jour l’adresse IP de l’enregistrement “A” de votre site.
Si vous ne comprenez pas ce que cela signifie, ne vous inquiétez pas. Vous pouvez contacter votre hébergeur ou votre registraire de domaine et ils vous guideront. Vous pouvez également ouvrir un ticket avec Sucuri, et leur équipe vous aidera à changer les enregistrements DNS.
Une fois cette opération terminée, votre trafic sera d’abord dirigé vers le pare-feu de Sucuri, puis vers vos serveurs d’hébergement WordPress.
Les modifications apportées à votre DNS peuvent prendre jusqu’à 48 heures pour être prises en compte, mais elles sont généralement effectuées en quelques heures.
Étape 5 : Surveiller votre site
Le pare-feu de Sucuri protège votre site et bloque les attaques des pirates et des robots malveillants. Il vous présentera également des rapports sur son tableau de bord, tels que les attaques bloquées, le trafic moyen par heure et le trafic par pays.
Vous devriez utiliser ces rapports pour surveiller la sécurité de votre site et vous tenir au courant des attaques qui ont échoué.
Étape 6 : Inscrire les adresses IP des utilisateurs sur la liste blanche (facultatif)
Si vous souhaitez empêcher toutes les IP d’accéder à votre panneau d’administration et n’autoriser que votre équipe ou les utilisateurs autorisés, vous pouvez le faire sous l’onglet Contrôle d’accès.
Ici, vous pouvez ajouter toutes les IP que vous souhaitez mettre sur liste blanche. Ensuite, passez à l’onglet Sécurité.
Vous verrez une option permettant d’activer l’option “Panneau d’administration limité aux adresses IP figurant sur la liste blanche”.
Cochez cette case et enregistrez vos options de sécurité. Désormais, seules les adresses IP figurant sur votre liste blanche peuvent accéder à votre page de connexion.
Et c’est tout ! Sucuri appliquera automatiquement une protection de connexion à votre site. Et ce n’est pas tout, votre site sera protégé contre toutes sortes de logiciels malveillants et d’attaques.
Nous espérons que cet article vous a été utile. Si vous souhaitez améliorer la sécurité de votre site, nous vous recommandons de lire :
- Comment réaliser un audit de sécurité WordPress (étape par étape)
- 9 meilleurs plugins de sécurité WordPress comparés
- Comment choisir un mot de passe sécurisé pour WP Admin [4 moyens FACILES]
Ces articles peuvent vous aider à renforcer la sécurité de votre site afin de tenir les pirates à distance.
Commentaires laisser une réponse