D’après les statistiques officielles, WordPress reste le CMS le plus prisé des utilisateurs. En effet, WordPress détient pour lui seule 65,3 % de part de marché des systèmes de gestion de contenu. Ce qui fait de ce CMS un logiciel libre très bien soutenu. Pourtant, cette popularité attire également les hackers qui ne cessent de chercher la moindre faille dans ce système.
La méthode la plus utilisée par ces hackers reste l’attaque par force brute. C’est pourquoi il est impératif de bien protéger la page de connexion WordPress. Cela commence par un nom d’utilisateur unique protégé par un mot de passe long et solide, avec une combinaison de lettres, chiffres et caractères spéciaux.
Cependant, nous pouvons également utiliser un bon plugin de sécurité WordPress pour renforcer le bouclier. Dans cet article, je vous montre comment lutter contre les attaques par force brute à l’aide du plugin Loginizer. Vous verrez, à la fin de cet article, vous serez en mesure de protéger convenablement votre site WordPress.
Loginizer, c’est quoi ?
Loginizer est une extension de sécurité WordPress, disponible en version gratuite et payante. Elle a pour fonction principale de lutter contre les attaques par force brute en bloquant la connexion à l’IP après X tentatives autorisées. Vous pouvez aussi mettre sur liste noire ou liste blanche les adresses IP pour la connexion. Dépendant de votre version de Loginizer, vous aurez diverses autres fonctionnalités telles que l’authentification à double facteur, reCAPTCHA, PasswordLess Login, etc. pour améliorer la sécurité de votre site Web.
Les fonctionnalités principales de Loginizer
Il est à noter que certaines fonctionnalités ne sont disponibles qu’avec la version payante du plugin.
- Protection contre la force brute :
Protégez-vous contre les tentatives répétées des pirates d’accéder à votre compte avec la protection contre la force brute de Loginizer.
- Verrouillages étendus :
Configurez le verrouillage automatique pour les adresses IP après un nombre maximal de tentatives infructueuses. Les paramètres optimaux sont préconfigurés et vous pouvez les modifier.
- Journaux détaillés :
Obtenez des journaux détaillés des tentatives infructueuses et de toutes les autres activités suspectes avec loginizer et surveillez-les facilement lors de vos déplacements.
- Notification par e-mail :
Recevez immédiatement une notification par e-mail en cas d’échec des tentatives de connexion pour prendre des mesures rapides contre la force brute.
- Liste blanche/noir IP’s :
Créez une liste d’adresses IP fiable ou non fiables, ces utilisateurs seront autorisés ou bloqués pour se connecter au site Web.
- Somme de contrôle MD5 :
Effectuez une somme de contrôle MD5 pour les fichiers CORE de votre site Web pour savoir si quelqu’un a modifié quelque chose ou ajouté du code malveillant.
- reCaptcha
- Questions d’identification
- Connexion sans mot de passe par e-mail
Désactivez complètement la connexion avec mot de passe. Entrez simplement le nom d’utilisateur/e-mail, vous recevrez un e-mail avec le lien pour vous connecter.
- 2FA :
Ajoutez une couche de sécurité en deux étapes pour la connexion
- Renommer la page de connexion :
Vous pouvez modifier le lien wp-login.php en un lien personnalisé afin que vous seul connaissiez le lien de connexion et que personne d’autre ne puisse se connecter.
- Désactiver les pingbacks
- Désactiver XML-RPC
Protégez-vous des attaques par force brute
Avant toute chose, nous devons installer Loginizer.
Installation
Pour installer Loginizer, rien de plus simple. L’installation n’échappe pas aux règles générales des plugins gratuits WordPress. Il faut se rendre à la page d’ajout d’extension de votre site WordPress et faire une recherche avec le mot-clé « Loginizer ». Une fois la recherche terminée, cliquer sur le bouton « installer maintenant ».
N’oubliez pas d’activer le plugin.
Configurer la protection contre les attaques par force brute
Une fois Loginizer installé et activé, rendez-vous dans votre barre d’administration WordPress, Loginizer > Brute Force.
Ici, vous avez la journalisation des tentatives de connexion.
Si vous défilez vers le bas vous verrez la section « Brute Force Settings ».
Définissez ici les limites de tentatives de connexion, ainsi que délai du verrouillage par Loginizer si les limites de connexions sont dépassées.
Vous pouvez également configurer la notification par mail ici, en définissant le nombre de verrouillages qui déclenchera une notification par mail. N’oubliez pas de renseigner l’adresse mail qui recevra les notifications.
Un peu plus bas, vous avez une liste blanche et noir pour filtrer les adresses IPs autorisées et bloquées.
Enfin, vous avez les options pour personnaliser les messages de blocages de Loginizer.
CONCLUSION
Loginizer est un bon plugin de sécurité pour WordPress. Il vous aidera à mettre en place rapidement et facilement un bouclier contre les attaques par force brute. De plus, Loginizer est utilisé par plus de 1 000 000 de sites WordPress. De ce fait, il reçoit régulièrement des mis à jour. La version gratuite permet déjà de se protéger contre les attaques par force brute des hackers, mais la version premium dispose de plus de fonctionnalités indispensables pour la sécurité de votre site WordPress.
Vous pouvez également passer par un plugin premium comme Defender Pro. À mon humble avis, c’est un plugin beaucoup plus pro et plus puissant en matière de sécurité WordPress.