Home / Wordpress / Comment protéger l’interface d’administration de WordPress.

Comment protéger l’interface d’administration de WordPress.

Chaque personne ayant un blog a déjà subit au moins une fois une attaque. Régulièrement des script test vos mots de passe et login pour se connecter à votre interface d’administration. Pour bloquer toutes ces tentatives voici un plugin essentiel à mettre en place sur votre blog : Limit Login Attempts.

 

A travers ce tutoriel nous allons voir comment mettre en place une stratégie de blocage des attaques avec ce plugin.

Tout d’abord vous devez télécharger la dernière version de Limit Login Attempts à cette adresse : http://wordpress.org/extend/plugins/limit-login-attempts/

Pour installer le plugin, connectez-vous à votre interface d’administration puis aller dans Extension -> Ajouter.

Puis dans le formulaire de recherche saisissez le nom du plugin et cliquer sur Rechercher.

Puis enfin cliquer sur Installer maintenant. Vous pouvez maintenant paramétrer et utiliser ce plugin de Sécurité.

Penser quand même avant à activer le plugin.

Découvrons ensemble ses possibilités. Pour régler les paramètres du plugin aller dans Réglages -> Limit Login Attempts. Ensuite vous arrivez sur cette page.

  • 1: Affiche le nombre d’attaque que votre formulaire d’authentification WordPress a subi.
  • 2 : Affiche le nombre d’erreur de saisie autorisée par défaut 4.
  • 3: Au bout de 4 tentatives infructueuses, l’authentification sur votre site est bloquée pendant 20 minutes
  • 4: Pour les scripts les plus tenaces, au bout de 4 blocages soit 16 tentatives, le temps de blocage est de 24 heures.
  • 5: Il faut un délai de 12 heures avant que les tentatives (=échecs) soient réinitialisées.
  • 6: Un reverse proxy est un serveur entre votre site et Internet (généralement utilisé pour la mise en cache ou l’équilibrage de charge). L’obtention de l’IP publique du client est donc un peu plus compliquée car votre site ne voit que l’IP du proxy. Généralement laisser la valeur par défaut.
  • 7: Une des fonctions intéressantes de ce plugin c’est la possibilité de logger l’adresse ip de l’assaillant et d’envoyer un mail d’alerte à l’administrateur du site au bout de x blocage. La valeur par défaut 4 est un peu élevé à mon gout j’ai donc mis 1 blocage ce qui laisse 4 tentatives de connexion infructueuses ce qui n’est déjà pas mal. Le but est de récupérer l’adresse ip et de la bloquer avec votre .htaccess pour ne plus être embêter. Pour bloquer une ip dans le fichier htaccess vous pouvez consulter ce tutoriel https://quick-tutoriel.com/supprimer-les-spams-de-son-blog-wordpress

Maintenant vous pouvez essayer de saisir des données erronées pour vérifier si la protection est en place.

Voici avant un petit hack, si vous ne voulez pas attendre 20 minutes ou 24 heures avant de pouvoir vous connectez à l’interface d’administration de WordPress. Pour cela vous devez avoir accès à votre base de donnée via l’interface de votre compte, généralement Cpanel.

En utilisant cette requête vous allez pouvoir annuler le blocage en cours.

UPDATE wp_options SET option_value = ” WHERE option_name = ‘limit_login_lockouts

Voici quelques exemples de messages d’erreurs :

Dans la foulée vous devriez recevoir un mail vous indiquant l’adresse ip de l’attaquant.

Maintenant si vous ne voulez pas attendre le délai indiqué, aller sur l’interface d’administration de votre compte d’hébergement généralement Cpanel.

Puis dans l’onglet Base de données sélectionner phpMyAdmin.

Une fois sur l’interface, sélectionner votre base de données dans la liste et cliquer sur l’onglet SQL et copier la requête ci-dessus.

Puis cliquer sur exécuter, vous avez débloqué votre site, vous pouvez maintenant vous connectez sans problème.

Si vous retournez dans l’interface du plugin, vous verrez les tentatives de connexion infructueuses.

  • 1: Nombre total d’attaques subies
  • 2: Journal des attaques avec l’adresse ip, le login utilisé et enfin le nombre de blocage.

Voici un plugin ABSOLUMENT nécessaire pour être tranquille et dormir sur ses deux oreilles.

That’s All.

4 Potins

  1. Merci pour toute ces infos utiles je vous recommande d utiliser le plugin de sécurité Itheme security il est simple d utilisation efficace et bien noté par les utilisateurs.
    Cette extension détecte tout ce qui ne vas pas il suffit juste de cliquer afin de corriger les problèmes.
    cette extension permet en autre de renommé le compte admin,de modifier votre .htaccess….
    Si vous êtes pas totalement sur de ce que vous faites ne touchez pas aux options avancés .

  2. Il y a aussi Login Lock Down qui fait ça trés bien, j’ai écrit un article complet sur Login Lock Down dispo sur mon site ainsi qu’un article sur comment sécuriser WordPress http://www.david-creation.fr/securiser-votre-site-wordpress/ ;-)

  3. Bonjour,

    Merci pour cette info. En effet ce plugin est beaucoup plus complet et propose de nombreuses options de sécurité. Je vais me pencher dessus sérieusement.
    Pouvez-vous me dire si il consomme beaucoup de CPU et de mémoire et si il ralentit WordPress ?

    A bientôt.

  4. Bonjour,

    Je préfère installer wordfence qui fait aussi cette fonction mais bien d’autres en plus

    Patrick

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

libero Praesent leo. at ut felis leo in nunc ipsum quis
Partagez
Tweetez3
+11
Enregistrer1
Reddit
Partagez1
Pocket
6 Partages
QuickTutoriel

GRATUIT
VOIR